VPN Tunnel Encapsulation de trafic incrémentation mais aucun Decaps

VPN Tunnel Encapsulation de trafic incrémentation mais aucun Decaps

57316
Created On 09/26/18 13:50 PM - Last Modified 06/06/23 19:22 PM


Resolution


Demande client

Le trafic d’un côté voit le bon programme et decaps tandis que le trafic de l’autre côté ne voit pas decaps.

Cause

La question est que le tunnel se termine sur une interface dans une zone différente de d'où proviennent les paquets ESP (Encapsulation charges utiles de sécurité).

Exemple:

  • Tunnel aboutissant à une adresse IP sur Ethernet/2 dans la zone DMZ.
  • Détecter les paquets de ESP sur Ethernet/1 dans la zone WAN.

Lorsque la négociation IKE est terminée, le pare-feu de Palo Alto Networks va créer une session de tunnel pour l’ESP pour pouvoir correctement encapsulent et trafic décapsule. Trafic entrant arrive sur Ethernet/1 dans la zone de WAN.  Il ne correspondra pas la session de tunnel car la session tunnel attend trafic ESP à pénétration sur la zone DMZ.

Résolution

Passer la passerelle IKE à une interface dans la même zone WAN (peut être l’interface loopback). Le trafic entrant de ESP peut correspondre correctement et puis une décapsulation appropriée peut être effectuée.

propriétaire : mohamed
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClsiCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language