Cet article traite du problème dans lequel le trafic VPN IPSec échoue avec l'erreur
"Paquet supprimé, impossible de gérer le paquet ESP/AH lié à l'hôte IPv4"
Problème
La section suivante affiche les journaux de paquets-diag où le paquet ESP est supprimé par le pare-feu.
Ici, le paquet ESP est reçu de la source 118.201.215.22 à la destination 103.80.209.5
IP: 118.201.215.22-> 103.80.209.5, Protocol 50
version 4, DIH 5, TOS 0x00, Len 120,
ID 19317, frag_off 0x0000, TTL 43, checksum 48553
L4 Binary dump: 16 bytes
00000000: D1 9e 2D D2 00 00 00 61 a7 8C a7 7F 18 D5 38 C0.. -.... a...... 8.
configuration de la session: VSys 1
session Setup: Ingres interface AE1 sortie interface bouclage. 3 (zone 14)
recherche de stratégie, index de règle correspondant 4,
alloué nouvelle session 169972.
Le paquet a chuté, ne peut pas traiter le paquet de paquet d'ESP/Ah lié par hôte IPv4
supprimé, échec d'installation de session
Les compteurs suivants peuvent être vus dans la sortie des compteurs globaux:
> Show compteur global Filter Delta Oui paquet-filtre Oui | match Drop
flow_host_slowpath_drop 1 0 goutte Flow tunnel ESP/Ah paquet lié hôte vient avant le tunnel termine l'installation
Cause
La cause principale de ce problème est attribuée au problème de configuration où l'interface d'infiltration du paquet ESP et l'interface de terminaison VPN IPSec se trouvent dans une zone de sécurité différente.
Résolution
Pour résoudre ce problème, assurez-vous que les deux interfaces se trouvent dans la même zone de sécurité.
Dans L'exemple ci-dessus, l'interface AE1 ( interface d'infiltration du paquet ESP ) et l'interface de bouclage. 3 (interface de terminaison VPN IPSec ) doivent se trouvent dans la même zone de sécurité.
Pour vérifier cela, à l'intérieur de la WebGUI > réseau > interfaces. et voir ce que les zones de sécurité sont pour les interfaces.