Túnel VPN tráfico encapsulado incremento pero no Decaps
Resolution
Incidencia
Tráfico de un lado ve tapas adecuadas y decaps Considerando que el tráfico desde el otro lado no ve decaps.
Causa
El tema es que el túnel termina en una interfaz en una zona diferente de donde se originan los paquetes ESP (cargas de seguridad de encapsulación).
Ejemplo:
- Túnel que termina en una IP en Ethernet/2 en la zona DMZ.
- Entre de los paquetes ESP en Ethernet/1 en la zona WAN.
Una vez finalizada la negociación de IKE, el firewall de Palo Alto Networks creará una sesión de túnel para tráfico de ESP para poder encapsular correctamente y desencapsulan. Tráfico entrante viene el Ethernet/1 en la zona WAN. No se coincide con la sesión de túnel porque la sesión de túnel está esperando tráfico ESP para ingreso en la zona DMZ.
Resolución
Mueva la puerta IKE a una interfaz en la misma zona WAN (puede ser la interfaz de loopback). El tráfico entrante de la ESP puede combinarse correctamente y luego puede realizarse una desencapsulación adecuada.
Propietario: rkim