Dieser Artikel behandelt die Frage, wo der IPSEC VPN-Verkehr mit dem Fehler scheitert
"Paket fallen gelassen, kann nicht mit IPv4 Host gebunden ESP/AH-Paket"
Problem
Der folgende Abschnitt zeigt die Packet-Diag-Protokolle, in denen das ESP-Paket von der Firewall abgeworfen wird.
Hier wird das ESP-Paket von der Quelle 118.201.215.22 zum Ziel empfangen 103.80.209.5
IP: 118.201.215.22-> 103.80.209.5, Protokoll 50
Version 4, IHL 5, TOS 0x00, len 120,
ID 19317, frag_off 0x0000, TTL 43, Prüfsumme 48553
L4 binäre Dump: 16 Bytes
00000000: D1 9E 2D-D2 00 00 00 61 A7 8c A7 7F 18 D5 38 C0.. -.... a...... 8.
Session-Setup: Vsys 1
Session-Setup: Eindringen-Schnittstelle AE1 Egress-Interface-Loopback. 3 (Zone 14)
Policy Lookup, aufeinander abgestimmtes Regel Index 4,
neue Session 169972.
Paket fallen gelassen, kann nicht mit IPv4-Host gebunden ESP/AH-Paket
Paket fallen gelassen, Session-Setup fehlgeschlagen
Folgende Zähler sind in der Ausgabe der globalen Zähler zu sehen:
> Counter Global Filter Delta ja Packet-Filter Ja | Match Drop
flow_host_slowpath_drop 1 0 Drop-Flow-Tunnel ESP/AH-Host-gebundenes Paket kommt vor der Installation der Tunnel Veredelung
Ursache
Die Ursache für dieses Problem ist die Konfigurations Frage, bei der sich die Eindringen-Schnittstelle des ESP-Pakets und die IPSEC VPN-Kündigungs Schnittstelle in verschiedenen Sicherheitszonen befinden.
Lösung
Um dieses Problem zu lösen, stellen Sie sicher, dass sich die beiden Schnittstellen in der gleichen Sicherheitszone befinden.
Im obigen Beispiel sollten die AE1-Schnittstelle ( eIndringen-Schnittstelle des ESP -Pakets) und die Loopback. 3-schnittSTELLE (IPSec VPN-Kündigungs Schnittstelle ) in der gleichen Sicherheitszone sein.
Um dies zu überprüfen, innerhalb des WEBGUI > Netzwerk > Interfaces . und sehen Sie, was die SicherheitsZonen für die Schnittstellen sind.