VPN トンネル トラフィックのカプセル化インクリメントない Decaps が、

問題

1 つの側面からのトラフィックが適切なレッドブラウンを見て、decaps の反対側からのトラフィックが表示されないに対し decaps。

原因

問題は、トンネル ゾーンから ESP (カプセル化セキュリティ ペイロード) パケットが生成された別のインターフェイスで終了です。

例:

• トンネル イーサネット/2 DMZ ゾーン内の ip アドレスで終了します。
• イーサネット/1 WAN ゾーンでの ESP パケット ingressing。

IKE ネゴシエーションが完了すると、パロ ・ アルトのネットワーク ファイアウォールは正しくカプセル化できるようにする ESP トラフィック、およびカプセル化の解除トラフィックのトンネル セッションを作成します。着信トラフィックは、イーサネット/1 WAN ゾーンの上に来ています。  トンネル セッション、DMZ ゾーンに侵入する ESP トラフィックを期待しているので、トンネル セッションは一致しません。

解決方法

(ループバック インターフェイスをすることができます) 同じ WAN ゾーン インターフェイスに IKE ゲートウェイを移動します。ESP トラフィックを正確に一致することができますおよび、適切なカプセル化解除を実行できます。

所有者: rkim