この資料では、IPSEC VPN トラフィックがエラーで失敗する問題について説明します。
"パケットが破棄され、IPv4 ホストが ESP/AH パケットをバインドできません"
問題
次のセクションでは、ESP パケットがファイアウォールによって削除されるパケット diag ログを示します。
ここでは、ESP パケットをソース118.201.215.22 から宛先103.80.209.5 に受信します。
IP アドレス: 118.201.215.22-> 103.80.209.5, プロトコル 50
バージョン 4, ihl 5, tos 0x00, len 120,
id 19317, frag_off 0x0000, ttl 43, チェックサム 48553
L4 バイナリダンプ:16 バイト
00000000: d1 9e 2d d2 00 00 00 61 a7 8c a7 7f 18 d5 38 c0.-.......8.
セッションのセットアップ: vsys 1
セッションのセットアップ: 入口インターフェイス ae1 出口インターフェイスループバック. 3 (ゾーン 14)
ポリシールックアップ、一致したルールインデックス4、
割り当てられた新しいセッション169972。
パケットが破棄され、IPv4 ホストにバインドされた ESP/AH パケット
パケットが破棄されて処理できない、セッションセットアップに失敗しました
グローバルカウンタの出力には、次のカウンタが表示されます。
> カウンタグローバルフィルタデルタを表示しますはいパケットフィルタはい |マッチドロップ
flow_host_slowpath_drop 1 0 ドロップフロートンネル ESP/AH ホストバウンドパケットは、トンネルがインストールを完了する前に来る
原因
この問題の根本原因は、ESP パケットと IPSEC VPN 終端インターフェイスの進入インターフェイスが異なるセキュリティゾーンにある構成の問題に起因します。
解決方法
この問題を解決するには、両方のインターフェイスが同じセキュリティゾーンにあることを確認します。
上記の例では、ae1 インタフェース ( ESP パケットの進入インタフェース) とループバック3インタフェース (IPSEC VPN 終端インタフェース) は同じセキュリティゾーンにあるはずです。
これをチェックするには、 WebGUI > ネットワーク > インタフェースの 内部を確認します。そして、どのようなセキュリティゾーンは、インターフェイスのためのものを参照してください。