Cómo mitigar un aumento anormal en el contador global "flow_tunnel_ipsec_auth_failed"

• Para mitigar un aumento anormal en flow_tunnel_ipsec_auth_failed contador global.

> show counter global filter delta yes severity drop
....
name value rate severity category aspect description
--------------------------------------------------------------------------------
flow_tunnel_ipsec_auth_failed 3 0 drop flow tunnel Packet dropped: Authentication failed

• Este contador flow_tunnel_ipsec_auth_failed incrementa cuando, para un túnel IPsec, se descarta un paquete ESP recibido porque no superó la comprobación de autenticación.

• Firewall de próxima generación
• PAN-OS compatible
• Túnel VPN IPsec
• flow_tunnel_ipsec_auth_failed contador global

1. Inspeccione los registros del sistema de firewall: MONITOR> Registros> Sistema y utilice el filtro de búsqueda (subtipo eq vpn). Compruebe qué túnel VPN IPsec está inactivo, en mal estado o no es estable.
2. En función de los hallazgos del paso 1, realice la captura de paquetes adecuada para los paquetes ESP y descifre esos paquetes que se utilizan como referencia en los siguientes artículos:

• Cómo descifrar paquetes IKE y ESP en un dispositivo de redes palo alto
• Cómo descifrar paquetes IKEv2

3. Compruebe si el paquete ESP descifrado está dañado. En ese caso, compruebe si hay un dispositivo colocado entre los puntos finales del túnel que esté modificando esos paquetes.Trabaje con el proveedor del dispositivo intermedio o la parte responsable del dispositivo para resolver el problema.
4. Compare la configuración del túnel en ambos extremos del túnel para verificar que coincida el protocolo, el algoritmo de autenticación, el algoritmo enc y que la IP local, el SPI y la IP de ID de proxy de uno sean iguales a la IP remota, SPI e IP de ID de proxy del otro. Utilice el siguiente comando en los firewalls PANW para ello:

> show running tunnel flow name <value>

5. Asegúrese de que no se encuentre ningún problema de interoperabilidad entre los pares del túnel IPsec. Por ejemplo, el NGFW descartaría el paquete ESP si el siguiente encabezado ESP no coincide con la carga útil.
6. Si el firewall continúa experimentando problemas con un aumento anormal de flow_tunnel_ipsec_auth_failed contador global a pesar de seguir los pasos anteriores, recopile el archivo de soporte técnico del firewall y considere ponerse en contacto con el equipo de atención al cliente de Palo Alto Networks para obtener más ayuda.

Cómo solucionar problemas de conectividad VPN IPSec.
Cómo solucionar problemas de flujo de tráfico a través del túnel IPsec.