Pas de zone de destination de l’adage
16696
Created On 07/21/20 03:01 AM - Last Modified 10/26/21 03:30 AM
Symptom
Un tunnel IPsec laisse tomber le trafic tunnel en raison de flow_policy_nofwd:
name value rate severity category aspect description -------------------------------------------------------------------------------- flow_policy_nofwd 3 0 drop flow session Session setup: no destination zone from forwarding appid_ident_by_icmp 3 0 info appid pktproc Application identified by icmp type --------------------------------------------------------------------------------
Environment
- Tunnel IPsec sur les VM- pare-feu de série
- tunnel IPsec sur NGFW hardware
- Toutes les versions de PAN-OS
Cause
- Sur la firewall transmission, cela se produit lorsque la source du trafic est dans un routeur virtuel différent de l’interface du tunnel lui-même.
- Si le firewall trafic du tunnel est entrant, il échoue pour la même raison, mais signale un type de chute différent:
name value rate severity category aspect description -------------------------------------------------------------------------------- pkt_recv 2 0 info packet pktproc Packets received pkt_sent 3 0 info packet pktproc Packets transmitted session_allocated 3 0 info session resource Sessions allocated session_installed 3 0 info session resource Sessions installed flow_fwd_l3_noroute 3 0 drop flow forward Packets dropped: no route
Resolution
L’interface de destination sur firewall le doit être placé dans le même routeur virtuel que l’interface du tunnel.