Keine Zielzone von der Weiterleitung
16716
Created On 07/21/20 03:01 AM - Last Modified 10/26/21 03:30 AM
Symptom
Ein IPSec-Tunnel bricht den Tunnelverkehr aufgrund flow_policy_nofwd ab:
name value rate severity category aspect description -------------------------------------------------------------------------------- flow_policy_nofwd 3 0 drop flow session Session setup: no destination zone from forwarding appid_ident_by_icmp 3 0 info appid pktproc Application identified by icmp type --------------------------------------------------------------------------------
Environment
- IPSec-Tunnel auf VM- Serienfirewalls
- IPSec-Tunnel auf NGFW hardware
- Alle Versionen von PAN-OS
Cause
- Bei der Übertragung firewall geschieht dies, wenn sich die Quelle des Datenverkehrs in einem anderen virtuellen Router befindet als die Tunnelschnittstelle selbst.
- Wenn der firewall Tunneldatenverkehr eingehende empfängt, schlägt er aus demselben Grund fehl, meldet jedoch einen anderen Ablagetyp:
name value rate severity category aspect description -------------------------------------------------------------------------------- pkt_recv 2 0 info packet pktproc Packets received pkt_sent 3 0 info packet pktproc Packets transmitted session_allocated 3 0 info session resource Sessions allocated session_installed 3 0 info session resource Sessions installed flow_fwd_l3_noroute 3 0 drop flow forward Packets dropped: no route
Resolution
Die Zielschnittstelle auf der firewall sollte im selben virtuellen Router wie die Tunnelschnittstelle platziert werden.