PBF PBF IP トンネルを越えて監視が有効になっている場合、ルールが機能しない

問題

理想的なセットアップでは IPSEC 、 PBF トンネルを作成し IPSEC 、VPN フェールオーバーが必要な場合にトラフィックをトンネルに転送するルールを使用します。

注: デュアル ISP および自動フェイルオーバーを設定するには、 VPN 以下のドキュメントに従います。

Firewallデュアル ISP と自動フェールオーバーを使用してパロアルト ネットワークをセットアップ VPN する方法

また、トンネルモニタリングを IP IP 実行するために、トンネルを横切るモニタリングも設定します。

サブネットが重複している場合は、 NAT トンネルのもう一方の端でルーティングの問題を回避するために、送信元を設定します。

この設定 PBF ルールが機能せず、 PBF ルールが無効になる可能性があります

原因

モニタリングを有効 PBF firewall にすると、発信インターフェイスをソースとして保持アライブメッセージを送信し、パケットを送信します。

出力インターフェイスからモニタリング ソーシングを手動で ping IP IP すると、このトラフィックはルートルックアップとルックアップを通過 NAT します。 その後、このトラフィックはソース ed を取得 NAT- し、ping 応答を取得します。

しかし、キープアライブメッセージはルートルックアップを通過せず、同じ理由で NAT- それは編集されません。これは、もう一方の端にルーティングの問題を引き起こす可能性があり、我々は順番に私たちのルールが無効になるキープアライブ応答を取得しない可能性があります PBF 。

ルール: PBF VPN1(6)

ルールの状態: 無効

アクション: フォワード

対称リターン: なし

出口 IF / VSYS : トンネル.1

NextHop: 0.0.0.0

モニタースロット: 1

モニター IP : 170.66.50.11

次ホップの状態: DOWN

モニタ: アクション: フェイルオーバー、インターバル: 3、しきい値: 5

統計: KA 送信:2971、 KA 得た:0、パケット一致:28675

回避 策

IPトンネル インターフェイスでパブリックを設定し、トンネルのもう一方の端で、トンネルを指すこのパブリック ルートのスタティック ルート IP を作成します。

所有者: skumar1