VM-OpenStack 上のシリーズから確立された IPSec トンネルを通過しないトラフィック firewall
17976
Created On 07/10/19 21:55 PM - Last Modified 03/26/21 17:44 PM
Symptom
- IPSec トンネルを通過しないトラフィック
- VM-Firewallシリーズ、オープンスタッククラウドに展開
- オープンスタック PA-VM- シリーズ firewall と外部エンドポイント間のIPSecトンネル
- トンネルがアップし、フェーズ 1 とフェーズ 2 の両方が確立されています。
- から firewall 送信されるショー パケットのパケット キャプチャ ESP Firewall
- ESPトンネル ピアで受信されないパケット
Environment
- VM シリーズ firewall
- オープンスタッククラウド
- IPSec トンネル
Cause
- OpenStack Neutron ポートセキュリティ/セキュリティグループがトラフィックをドロップしていました ESP
- 交通を許可するはずの中性子セキュリティグループルールがありました ESP
Resolution
- データプレーンインターフェイスに対応するポートで Neutron ポートセキュリティを無効にすることが firewall 、トラフィックのフローを許可する唯一の回避策でした ESP 。
# neutron port-update ccbd0ed6-3dfd-4431-af29-4a2d921abb38 --port_security_enabled=False
Additional Information
- オープンスタック情報のサポートリンク