Fehlerbehebung bei Datenverkehr, der nur in eine Richtung durch den IPsec-Tunnel fließt

• Firewall
• IPsec-Tunnel

1. Finden Sie heraus, in welche Richtung der Verkehr nicht mehr durch den Tunnel geleitet wird.Überprüfen Sie auf jeder Seite Ihres Tunnels, ob Encap-Pakete im Vergleich zu Decap-Paketen nicht mehr inkrementiert werden. Melden Sie sich am Endpunkt des Tunnels an und firewall geben Sie den folgenden Befehl mehrmals ein:

   show vpn flow name <value> | match cap

2. Vergleichen Sie die Tunnelkonfiguration an beiden Enden des Tunnels, um zu überprüfen, ob das Protokoll, der Authentifizierungsalgorithmus und der enc-Algorithmus übereinstimmen und dass die lokale IP-, SPI- und Proxy-ID-IP des einen mit der Remote-IP-, SPI- und Proxy-ID-IP des anderen identisch ist. Verwenden Sie dazu den folgenden Befehl auf den Firewalls auf jeder Seite des Tunnels:

   show running tunnel flow name <value>

3. Initiieren Sie eine Sitzung von einem lokalen Host, einem Teil des lokalen Subnetzes eines Subnetzes firewall , zum Remotehost des Peer-Subnetzes des Peers firewall. Unter der Annahme, dass Schritt 1 Ihnen geholfen hat, die problematische Richtung zu identifizieren, initiieren Sie den Datenverkehr in diese Richtung des IPsec-Tunnels. Betrachten Sie ein einfaches Beispiel wie das unten gezeigte:

Dabei wird die Sitzung vom lokalen Host mit der Adresse 172.17.240.10 zum Remote-Host mit IP IP der Adresse 172.17.241.100 initiiert.

4. Legen Sie eine Paketerfassung für beide Firewalls fest Erste Schritte: Paketerfassung.
5. Überprüfen Sie, ob Pakete mithilfe der Paketerfassung und der globalen Leistungsindikatoren verloren gehen:

   show counter global filter packet-filter yes delta yes

6. Überprüfen Sie, ob das Routing auf beiden firewall Seiten ordnungsgemäß für die Weitergabe privater Routen konfiguriert wurde.

   test routing fib-lookup virtual-router default ip 172.17.241.100

   Die Ausgabe auf PAN-FW-1 sollte ähnlich wie unten sein, wo die angezeigte Schnittstelle die Tunnelschnittstelle wäre.

--------------------------------------------------------------------------------
runtime route lookup
--------------------------------------------------------------------------------
virtual-router:   default
destination:      172.17.241.100
result:
  via 172.17.241.1 interface tunnel.1, source 192.168.1.10, metric 10
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
runtime route lookup
--------------------------------------------------------------------------------
virtual-router:   default
destination:      172.17.241.100
result:
  interface ethernet1/6, source 172.17.241.1
--------------------------------------------------------------------------------

7. Überprüfen Sie, welche Zonen für die innere und äußere Schnittstelle des Tunnels konfiguriert wurden (um die innere und äußere Schnittstelle des Tunnels zu identifizieren, verwenden Sie die Ausgabe von CLI in Schritt 2) sowie die Zone der Eingangsschnittstelle des Datenverkehrs für 1 und die Ausgangsschnittstelle des Datenverkehrs für PAN-FW-PAN-FW-2. Verwenden Sie den folgenden Befehl, um zu überprüfen, welche Sicherheit policy für den interessanten Datenverkehr getroffen wird, um sicherzustellen, dass Ihre Sicherheitsregeln policy ordnungsgemäß konfiguriert sind, um diesen Datenverkehr zuzulassen.

   test security-policy-match from L3-Trust source 172.17.240.1 to L3-WAN destination 172.17.241.100 protocol 6 destination-port 443

   Beispiel für den Befehl test security-policy-match.
8. Wenn NAT auf den Datenverkehr angewendet werden soll, stellen Sie sicher, dass die richtige NAT Regel auf den Firewalls unter Richtlinien > NATerstellt wird.
9. Überprüfen Sie, ob das Zonenschutzprofil auf die Zone der äußeren Schnittstelle des Tunnels beider Firewalls unter Netzwerk- >Zone angewendet wird, und wenn dies der Fall ist, ob der paketbasierte Angriffsschutz mit strikter IP Adresse für dieses Zonenprofil unter Netzwerk- > Netzwerkprofile > Zonenschutz aktiviert ist. Testen Sie in diesem Fall, ob Sie diese Prüfung deaktivieren und diese Änderung festschreiben, um zu sehen, ob das Problem dadurch behoben wird.
10. Wenn das Problem durch keine der oben genannten Maßnahmen behoben wird, lesen Sie die Ressourcenliste: IPSec-Konfiguration und Fehlerbehebung oder wenden Sie sich an unser technisches Support-Team.

Hinweis1: Schritt 9 ist anwendbar, wenn Sie eine PAN-OS Version (9.1.12 und 9.1.13) ausführen, die von betroffen ist PAN-186937. Dieses Problem wurde in 9.1.13-h1 und 9.1.14 behoben.