IPSEC トンネルが登場しますが、ピアの背後にあるホストは到達できません

問題

場合によっては、パロアルトネットワークデバイスと別のデバイスとの間のサイト間の IPSec VPN では、フェーズ1とフェーズ2が最大になります。ただし、ピアの背後にあるホストは到達できません。

詳細

トンネルインターフェイスが配置されているゾーンを確認します。トンネルインターフェイスが untrust ゾーンにある場合、トラフィックは、トンネルを離れた状態で、パロアルトネットワークデバイスの既定の NAT 規則によってパブリック IP に NATed されます。

解決方法

この問題を解決するには、次の2つの方法があります。

• トンネルを出ている間、トラフィックが NATed にならないように、トンネルインターフェースを内側のゾーンの1つに移動させます。
• 内部ゾーンからピアの背後にある宛先アドレスへのトラフィックの NAT 規則を作成します。

所有者: achalla