Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
IPSec tunnel est en place, mais le paquet se fait tomber avec l... - Knowledge Base - Palo Alto Networks

IPSec tunnel est en place, mais le paquet se fait tomber avec le mauvais SPI augmentation du compteur

187421
Created On 09/25/18 19:10 PM - Last Modified 06/06/23 20:04 PM


Symptom


  • Vpn
  • Ipsec
  • Phase 1 et phase 2 sont en place pour le tunnel IPSec, mais les paquets sont déposés quelque part.

Environment


 
  • Sur la sortie du compteur global, l’une des entrées suivantes s’incrémente en même temps :
flow_tunnel_decap_err
 
flow_tunnel_ipsec_wrong_spi
 
flow_tunnel_natt_nomatch

 
  • À partir de l’homologue, le trafic sortant fonctionne normalement.

Cause


Détails
  • Dans L'en-tête ESP, le champ Sequence est utilisé pour protéger la communication d'une attaque de relecture.
  • Si un paquet arrive au pare-feu et que la différence entre le numéro de séquence et les paquets précédents est supérieure à la taille de la fenêtre de relecture, elle sera considérée comme une attaque et supprimée par le pare-feu.
  • Cela peut se produire lorsque la connexion n'est pas stable ou que le paquet n'arrive pas dans l'ordre.
     
  • Les sorties CLI suivantes montrent un exemple des compteurs globaux avec ce problème:
> afficher le flux de catégorie de tunnel d’aspect de perte de gravité globale du filtre de compteur
flow_tunnel_encap_err 38 0 tunnel de flux de goutte Paquet abandonné : erreur d’encapsulation du tunnel
flow_tunnel_decap_err 705072 2 tunnel de flux de goutte Paquet abandonné : erreur de décapsulation du tunnel
flow_tunnel_encap_nested 38 0 tunnel de goutte Paquet abandonné : décapsulation du tunnel imbriqué
flow_tunnel_ipsec_wrong_spi 705074 2 tunnel de flux de goutte Paquet abandonné : IPsec SA pour spi dans le paquet introuvable
 
> afficher le flux de catégorie de tunnel d’aspect de perte de gravité globale du filtre de compteur
flow_tunnel_natt_nomatch 11 0 Tunnel de flux de goutte Paquet abandonné : paquet NATT IPSec sans correspondance SPI de session

 

Resolution


  1. Accédez à l'onglet Général des tunnels IP >> IPSec et désactivez la « protection contre la relecture » pour résoudre le problème.
 
  1. Cliquez sur 'Afficher les options avancées' si cette option n'est pas affichée.

Une fois la « protection de relecture » désactivée, le pare-feu autorise ces paquets même si leur différence de numéro de séquence est supérieure à la taille de la fenêtre de relecture.



 

 

Additional Information


Prudence:
La désactivation de la « protection contre la relecture » peut rendre le réseau vulnérable aux attaques par relecture.
Cela doit être utilisé avec prudence et appliqué uniquement si aucune autre solution n’est possible.



REMARQUE:Après avoir désactivé la protection contre la relecture, si les compteurs globaux indiquent toujours le flow_tunnel_decap_err, nous devrons déchiffrer les paquets IKE et ESP pour un dépannage ultérieur. Veuillez consulter le lien de l’article suivant pour plus d’informations: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClinCAC
 
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 239,485
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClUyCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language