Trafic ne passant pas par un tunnel IPSec établi à partir VM- d’une firewall série sur OpenStack

Trafic ne passant pas par un tunnel IPSec établi à partir VM- d’une firewall série sur OpenStack

17996
Created On 07/10/19 21:55 PM - Last Modified 03/26/21 17:43 PM


Symptom


  • Le trafic intéressant ne passe pas par le tunnel IPSec
  • VM-Série Firewall , déployée sur un nuage OpenStack
  • Tunnel IPSec entre la série OpenStack PA-VM- et un point de firewall terminaison extérieur
  • Le tunnel est en place, les phases 1 et 2 établies
  • Captures de paquets sur firewall les ESP paquets d’exposition envoyés à partir de la Firewall
  • Ces ESP paquets non reçus sur le pair tunnel

Environment


  • VM série firewall
  • OpenStack Cloud
  • Tunnel IPSec

Cause


  • OpenStack Neutron Port Security / Groupes de sécurité ont été la baisse du ESP trafic
  • Il y avait une règle de groupe de sécurité neutronique qui devrait permettre le ESP trafic

Resolution


  • La désactivation de la sécurité du port neutronique sur les ports correspondant aux firewall interfaces de l’avion de données était la seule solution de contournement qui permettait ESP au trafic de circuler.
# neutron port-update ccbd0ed6-3dfd-4431-af29-4a2d921abb38 --port_security_enabled=False


Additional Information


  • Liens de soutien pour les informations OpenStack
https://superuser.openstack.org/articles/managing-port-level-security-openstack/
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PMKaCAO&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language