PBF Regel funktioniert nicht, wenn die Überwachung für den Tunnel über den PBF Tunnel aktiviert ist. IP

PBF Regel funktioniert nicht, wenn die Überwachung für den Tunnel über den PBF Tunnel aktiviert ist. IP

40620
Created On 09/26/18 13:49 PM - Last Modified 04/08/22 07:14 AM


Resolution


Problem

Im idealen Setup erstellen wir IPSEC Tunnel und verwenden PBF Regel, um den Datenverkehr an Tunnel weiterzuleiten, wenn IPSEC vpn Failover erforderlich ist.

Hinweis: Um ISP Duale und automatische Failover zu VPN konfigurieren, folgen Sie dem folgenden Dokument:

Einrichten eines Palo Alto-Netzwerkes Firewall mit Dual ISPs und automatischem VPN Failover

 

Wir konfigurieren auch die Überwachung IP IP (die sich über den Tunnel erstreckt), um die Tunnelüberwachung durchzuführen.

PBF.PNG

 

Wenn wir überlappende Subnetz haben, konfigurieren wir Quelle, NAT um Routing-Probleme am anderen Ende des Tunnels zu vermeiden.

Wenn diese PBF Einrichtungsregel möglicherweise nicht funktioniert und Sie sehen konnten, dass die Regel deaktiviert PBF wird

 

Ursache

Wenn Sie die Überwachung aktivieren, senden Sie PBF Nachrichten mit firewall ausgehender Schnittstelle als Quelle am Leben und senden die Pakete heraus.

Wenn wir die IP Überwachungs-Sourcing von der Ausgangsschnittstelle manuell IP pingen, wird dieser Datenverkehr durch Routensuche und NAT -suche geleitet. Anschließend wird dieser Datenverkehr NAT- source ed erhalten und wir erhalten Ping-Antworten.

Die Keep Alive-Nachrichten werden jedoch nicht durch die Routensuche gehen und aus dem gleichen Grund wird es nicht NAT- ed. Dies kann zu Routingproblemen am anderen Ende führen, und wir erhalten möglicherweise keine am Leben erhaltenden Antworten, die wiederum dazu führen, dass unsere PBF Regel deaktiviert wird.

 

Regel: PBF VPN1(6)

Regel Zustand: Behinderte

Aktion: vorwärts

Symmetrische Rendite: Nein

Egress IF / VSYS : tunnel.1

Nexthop: 0.0.0.0

Monitor Schlitz: 1

Monitor IP : 170.66.50.11

NextHop-Status: DOWN

Monitor: Aktion: Ausfall, Intervall: 3, Schwelle: 5

Statistik: KA gesendet:2971, KA got:0, Packet Matched:28675

 

Problemumgehung

Konfigurieren Sie eine Öffentliche IP auf der Tunnelschnittstelle und am anderen Ende des Tunnels erstellen Sie eine statische Route für diese Öffentliche, IP die auf den Tunnel verweist.

 

Besitzer: skumar1
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClqvCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language