VPN-Tunnel Verkehr Kapselung inkrementieren, aber keine Decaps

VPN-Tunnel Verkehr Kapselung inkrementieren, aber keine Decaps

57318
Created On 09/26/18 13:50 PM - Last Modified 06/06/23 19:22 PM


Resolution


Problem

Verkehr von der einen Seite sieht richtige Encaps und decaps, während der Verkehr von der anderen Seite nicht zu sehen decaps.

Ursache

Das Problem ist, dass der Tunnel endet an einer Schnittstelle in einer Zone von wo die ESP (Encapsulation Security Nutzlasten)-Pakete stammen.

Beispiel:

  • Tunnel auf eine IP-Adresse am Ethernet/2. in DMZ-Zone beenden.
  • ESP-Pakete eindringendes auf Ethernet/1 in WAN-Zone.

Nachdem die IKE-Aushandlung abgeschlossen ist, wird die Palo Alto Networks Firewall eine Tunnel-Sitzung für ESP in der Lage sein, richtig zu Kapseln und Decapsulate Datenverkehr erstellen. Eingehender Datenverkehr kommt auf Ethernet/1 in der WAN-Zone.  Es wird die Tunnel-Sitzung nicht überein, da die Tunnel-Sitzung ESP Verkehr Eindringen auf den DMZ-Zone erwartet wird.

Lösung

Bewegen Sie das IKE-Tor zu einer Schnittstelle in derselben WAN Zone (Loopbackschnittstelle kann sein). Die eingehende Datenverkehr ESP richtig abgestimmt werden kann und dann eine richtige Delamination durchgeführt werden kann.

Besitzer: Rkim
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClsiCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language