Este artículo analiza el problema en el que el tráfico VPN IPSec falla con el error
"Paquete descargado, no se puede manejar el paquete enlazado a host IPv4 ESP/ah"
Problema
En la sección siguiente se muestran los registros Packet-Diag en los que el cortafuegos deja caer el paquete ESP.
Aquí el paquete ESP se recibe desde el origen 118.201.215.22 al destino 103.80.209.5
IP: 118.201.215.22-> 103.80.209.5, protocolo 50
versión 4, DIH 5, tos 0x00, Len 120,
ID 19317, frag_off 0x0000, TTL 43, checksum 48553
L4 dump binario: 16 bytes
00000000: D1 IX 2D D2 00 00 00 61 A7 8C A7 7F 18 D5 38 C0.. -.... a...... 8.
configuración de sesión: vsys 1
sesión Setup: entrada interfaz AE1 salida interfaz de entrada en bucle. 3 (zona 14)
búsqueda de directivas, índice de regla emparejado 4,
asignación nueva sesión 169972.
Paquete descargado, no se puede manejar el paquete de paquetes IPv4 enlazados ESP/ah
, error al configurar la sesión
Los contadores siguientes se pueden ver en la salida de los contadores globales:
> Mostrar contador global filtro Delta sí paquete-filtro sí | la gota del fósforo
flow_host_slowpath_drop 1 0 gota del túnel de flujo ESP/ah paquete encuadernado del anfitrión viene antes de que el túnel termine la instalación
Causa
La causa raíz de este problema se atribuye al problema de configuración en el que la interfaz de entrada del paquete ESP y la interfaz de terminación VPN IPSec se encuentran en una zona de seguridad diferente.
Resolución
Para resolver este problema, asegúrese de que ambas interfaces estén en la misma zona de seguridad.
En el ejemplo anterior, la interfaz AE1 ( interfaz de ingreso del paquete ESP ) y la interfaz de bucle invertido. 3 (interfaz de terminación VPN IPSec ) deben estar en la misma zona de seguridad.
Para comprobar esto, dentro de la webgui > red > interfaces. y ver cuáles son las zonas de seguridad para las interfaces.