No hay zona de destino desde el reenvío
16716
Created On 07/21/20 03:01 AM - Last Modified 10/26/21 03:30 AM
Symptom
Un túnel IPsec cae el tráfico del túnel debido a flow_policy_nofwd:
name value rate severity category aspect description -------------------------------------------------------------------------------- flow_policy_nofwd 3 0 drop flow session Session setup: no destination zone from forwarding appid_ident_by_icmp 3 0 info appid pktproc Application identified by icmp type --------------------------------------------------------------------------------
Environment
- Túnel IPsec en VM- cortafuegos de serie
- Túnel IPsec en NGFW hardware
- Todas las versiones de PAN-OS
Cause
- En la firewall transmisión, esto sucede cuando la fuente del tráfico está en un router virtual diferente que la interfaz del túnel sí mismo.
- Si el firewall tráfico del túnel está recibiendo entrante, falla por la misma razón pero señala un diverso tipo de caída:
name value rate severity category aspect description -------------------------------------------------------------------------------- pkt_recv 2 0 info packet pktproc Packets received pkt_sent 3 0 info packet pktproc Packets transmitted session_allocated 3 0 info session resource Sessions allocated session_installed 3 0 info session resource Sessions installed flow_fwd_l3_noroute 3 0 drop flow forward Packets dropped: no route
Resolution
La interfaz de destino en el firewall debe colocarse en el mismo router virtual que la interfaz del túnel.