Enrutamiento asimétrico entre túneles IPSec

Enrutamiento asimétrico entre túneles IPSec

27838
Created On 07/17/20 22:28 PM - Last Modified 03/26/21 18:30 PM


Symptom


  • En entornos asimétricos donde el tráfico puede rutear un túnel pero regresar a través de otro túnel, el firewall cae el tráfico.
  • La solución alternativa al ruteo asimétrico no resuelve el problema.
  • Los contadores globales también pueden indicar un error de instalación de sesión/error de inserción hash para el tráfico filtrado.
  • En este caso, el tráfico del servidor al cliente (s2c) está volviendo a través de un diverso túnel.



 

Environment


  • Entornos de túnel IPsec dual
  • Todas las versiones de PAN-OS
  • IPsec en Palo Alto NGFW hardware y VM- serie
  • Entornos de enrutamiento asimétricos

Cause


Esto se debe a un error de hash. Los contadores globales pueden indicar un error de instalación de la sesión/un error de inserción hash para el tráfico filtrado. En este caso, el tráfico del servidor al cliente (s2c) está volviendo a través de un diverso túnel.


 
Global counters:
Elapsed time since last sampling: 12.70  seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------
pkt_sent                                   1        0 info      packet    pktproc   Packets transmitted
session_allocated                          2        0 info      session   resource  Sessions allocated
session_freed                              1        0 info      session   resource  Sessions freed
session_installed                          1        0 info      session   resource  Sessions installed
session_install_error                      1        0 warn      session   pktproc   Sessions installation error
session_install_error_s2c                  1        0 warn      session   pktproc   Sessions installation error s2c
session_hash_insert_duplicate              1        0 warn      session   pktproc   Session setup: hash insert failure due to duplicate entry

 

Resolution


Para resolver este problema, coloque ambas interfaces de túnel en la misma zona de seguridad.
 
Global counters:
Elapsed time since last sampling: 12.659 seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------
pkt_recv                                   1        0 info      packet    pktproc   Packets received
pkt_sent                                   1        0 info      packet    pktproc   Packets transmitted
pkt_sent_host                              1        0 info      packet    pktproc   Packets successfully transmitted to host interface
session_allocated                         13        1 info      session   resource  Sessions allocated
session_freed                              4        0 info      session   resource  Sessions freed
session_installed                         13        1 info      session   resource  Sessions installed
flow_fwd_mtu_exceeded                     10        0 info      flow      forward   Packets lengths exceeded MTU
flow_ipfrag_frag                          20        1 info      flow      ipfrag    IP fragments transmitted
flow_host_pkt_xmt                        393       31 info      flow      mgmt      Packets transmitted to control plane

 

Additional Information


  • Lo ideal es abordar cualquier problema de ruteo asimétrico o aplicar el retorno simétrico con PBF policy un-- para el tráfico de túnel entrante.
  • Si ninguno de ellos es opciones deseables, se recomienda colocar ambos túneles en la misma zona de seguridad.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UuECAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language