Comment atténuer une augmentation anormale du compteur global « flow_tunnel_ipsec_auth_failed »

• Pour atténuer une augmentation anormale de flow_tunnel_ipsec_auth_failed compteur global.

> show counter global filter delta yes severity drop
....
name value rate severity category aspect description
--------------------------------------------------------------------------------
flow_tunnel_ipsec_auth_failed 3 0 drop flow tunnel Packet dropped: Authentication failed

• Ce compteur s’incrémente flow_tunnel_ipsec_auth_failed lorsque, pour un tunnel IPsec, un paquet ESP reçu est abandonné parce qu’il a échoué à la vérification d’authentification.

• Pare-feu nouvelle génération
• PAN-OS pris en charge
• IPsec VPN Tunnel
• flow_tunnel_ipsec_auth_failed compteur mondial

1. Inspectez les journaux système du pare-feu : MONITOR> Logs> System et utilisez le filtre de recherche (sous-type eq vpn). Vérifiez quel tunnel VPN IPsec est en panne, défectueux ou instable.
2. Sur la base de vos résultats à l’étape 1, effectuez la capture de paquets appropriée pour les paquets ESP et déchiffrez ces paquets, utilisez-les comme référence dans les articles ci-dessous :

• Comment décrypter des paquets d'IKE et d'ESP sur un dispositif de réseaux de Palo Alto
• Comment décrypter les paquets IKEv2

3. Vérifiez si le paquet ESP déchiffré est corrompu. Dans ce cas, vérifiez s’il existe un périphérique positionné entre les extrémités du tunnel qui modifie ces paquets.Collaborez avec le fournisseur de l’appareil intermédiaire ou la partie responsable de l’appareil pour résoudre le problème.
4. Comparez la configuration du tunnel aux deux extrémités du tunnel pour vérifier que le protocole, l’algorithme d’authentification et l’algorithme enc correspondent et que l’adresse IP locale, l’adresse IP et l’adresse IP du proxy de l’un sont égales à l’adresse IP distante, à l’adresse IP du spi et à l’adresse IP de l’autre utilisateur. Pour cela, utilisez la commande suivante sur les pare-feu PANW :

> show running tunnel flow name <value>

5. Assurez-vous qu’aucun problème d’interopérabilité n’est détecté entre les homologues du tunnel IPsec. Par exemple, le NGFW abandonnera le paquet ESP si l'en-tête ESP next ne correspond pas à la charge utile.
6. Si le pare-feu continue de rencontrer des problèmes d'augmentation anormale de flow_tunnel_ipsec_auth_failed compteur global malgré les étapes ci-dessus, récupérez le fichier de support technique du pare-feu et envisagez de contacter l'équipe d'assistance client de Palo Alto Networks pour obtenir de l'aide.

Comment résoudre les problèmes de connectivité VPN IPSec.
Comment résoudre les problèmes d’absence de flux de trafic dans le tunnel IPsec.