So mildern Sie einen abnormalen Anstieg des globalen "flow_tunnel_ipsec_auth_failed"-Zählers

• Um einen abnormalen Anstieg flow_tunnel_ipsec_auth_failed globalen Zählers abzumildern.

> show counter global filter delta yes severity drop
....
name value rate severity category aspect description
--------------------------------------------------------------------------------
flow_tunnel_ipsec_auth_failed 3 0 drop flow tunnel Packet dropped: Authentication failed

• Dieser Leistungsindikator flow_tunnel_ipsec_auth_failed erhöht, wenn für einen IPsec-Tunnel ein empfangenes ESP-Paket verworfen wird, weil die Authentifizierungsüberprüfung fehlgeschlagen ist.

• Firewall der nächsten Generation
• Unterstütztes PAN-OS
• IPsec-VPN-Tunnel
• flow_tunnel_ipsec_auth_failed globalen Zähler

1. Überprüfen Sie die Systemprotokolle der Firewall: MONITOR> Protokolle> System, und verwenden Sie den Suchfilter (Untertyp eq vpn). Überprüfen Sie, welcher IPsec-VPN-Tunnel ausgefallen, fehlerhaft oder nicht stabil ist.
2. Führen Sie auf der Grundlage Ihrer Ergebnisse in Schritt 1 die entsprechende Paketerfassung für ESP-Pakete durch und entschlüsseln Sie diese Pakete, die Sie als Referenz in den folgenden Artikeln verwenden:

• Wie man IKE und ESP-Pakete auf einem Palo Alto-Netz Gerät entschlüsselt
• Wie ikEv2 Pakete zu entschlüsseln

3. Überprüfen Sie, ob das entschlüsselte ESP-Paket beschädigt ist. Überprüfen Sie in diesem Fall, ob sich zwischen den Endpunkten des Tunnels ein Gerät befindet, das diese Pakete ändert.Arbeiten Sie mit dem Hersteller des Zwischengeräts oder der für das Gerät verantwortlichen Partei zusammen, um das Problem zu beheben.
4. Vergleichen Sie die Tunnelkonfiguration an beiden Enden des Tunnels, um zu überprüfen, ob das Protokoll, der Authentifizierungsalgorithmus und der ENC-Algorithmus übereinstimmen und ob die lokale IP-, SPI- und Proxy-ID-IP des einen mit der Remote-IP-, SPI- und Proxy-ID-IP des anderen identisch ist. Verwenden Sie dazu den folgenden Befehl auf den PANW-Firewalls:

> show running tunnel flow name <value>

5. Stellen Sie sicher, dass keine Interoperabilitätsprobleme zwischen den Peers des IPsec-Tunnels gefunden werden. Beispielsweise würde die NGFW das ESP-Paket verwerfen, wenn der nächste Header des ESP nicht mit der Nutzlast übereinstimmt.
6. Wenn die Firewall trotz Befolgung der oben genannten Schritte weiterhin Probleme mit flow_tunnel_ipsec_auth_failed ungewöhnlichen Anstieg des globalen Zählers hat, holen Sie die technische Supportdatei der Firewall ab und wenden Sie sich an das Kundensupport-Team von Palo Alto Networks, um weitere Unterstützung zu erhalten.

So beheben Sie IPSec-VPN-Verbindungsprobleme.
So beheben Sie das Problem, dass kein Datenverkehr durch den IPsec-Tunnel fließt.