Cómo solucionar problemas de tráfico que fluye en una sola dirección a través del túnel IPsec

• Firewall
• Túnel IPsec

1. Averigüe en qué dirección del tráfico ha dejado de pasar por el túnel.Compruebe a cada lado del túnel si los paquetes encap frente a los paquetes decap han dejado de incrementarse. Inicie sesión en cada uno firewall en el punto final del túnel y emita un par de veces el siguiente comando:

   show vpn flow name <value> | match cap

2. Compare la configuración del túnel en ambos extremos del túnel para verificar el protocolo coincidente, el algoritmo de autenticación, el algoritmo enc y que la ip local, spi e ip de id proxy de uno es igual a la ip remota, spi e ip de id proxy del otro. Utilice el siguiente comando en los cortafuegos de cada lado del túnel para eso:

   show running tunnel flow name <value>

3. Inicie una sesión desde una parte de host local de la subred local de uno firewall hacia el host remoto de la subred del mismo nivel del mismo nivel firewall. Suponiendo que el paso 1 le ayudó a identificar la dirección problemática, inicie el tráfico en esa dirección del túnel IPsec. Considere un ejemplo simple como el que se muestra a continuación:

Donde la sesión se inicia desde el host local con la dirección 172.17.240.10 al host remoto con IP IP la dirección 172.17.241.100.

4. Establecer una captura de paquetes en ambos firewalls Introducción: Captura de paquetes.
5. Compruebe si hay descartes de paquetes mediante la captura de paquetes y los contadores globales:

   show counter global filter packet-filter yes delta yes

6. Compruebe si el enrutamiento en ambos firewall se ha configurado correctamente para la propagación de rutas privadas.

   test routing fib-lookup virtual-router default ip 172.17.241.100

   La salida en PAN-FW-1 debe ser similar a la siguiente, donde la interfaz vista sería la interfaz del túnel.

--------------------------------------------------------------------------------
runtime route lookup
--------------------------------------------------------------------------------
virtual-router:   default
destination:      172.17.241.100
result:
  via 172.17.241.1 interface tunnel.1, source 192.168.1.10, metric 10
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
runtime route lookup
--------------------------------------------------------------------------------
virtual-router:   default
destination:      172.17.241.100
result:
  interface ethernet1/6, source 172.17.241.1
--------------------------------------------------------------------------------

7. Compruebe qué zonas se han configurado para la interfaz interna y externa del túnel (para identificar la interfaz interna y externa del túnel, utilice la salida del paso 2), así como la zona de interfaz de entrada del CLI tráfico para 1 y la interfaz de salida del tráfico para PAN-FW-PAN-FW-2. Utilice el siguiente comando para verificar qué seguridad se ve afectada por el tráfico interesante para verificar que sus reglas de seguridad policy policy estén configuradas correctamente para permitir este tráfico.

   test security-policy-match from L3-Trust source 172.17.240.1 to L3-WAN destination 172.17.241.100 protocol 6 destination-port 443

   Ejemplo del comando test security--policymatch.
8. Si NAT se supone que se aplica al tráfico, asegúrese de que se crea la regla adecuada NAT en los firewalls en Directivas > NAT.
9. Compruebe si el perfil de protección de zona se aplica a la zona de interfaz exterior del túnel de ambos firewalls en Network > Zone y, si ese es el caso, si la protección contra ataques basada en paquetes con Dirección estricta IP está marcada para ese perfil de zona en Network > Network Profiles > Zone Protection. En ese caso, pruebe deshabilitar esa comprobación y confirmar ese cambio para ver si eso soluciona el problema.
10. Si ninguna de las opciones anteriores soluciona su problema, consulte Lista de recursos: Configuración y solución de problemas de IPSec o póngase en contacto con nuestro equipo de soporte técnico.

Nota1: El paso 9 es aplicable si está ejecutando una PAN-OS versión (9.1.12 y 9.1.13) afectada por PAN-186937. Este problema se solucionó en 9.1.13-h1 y 9.1.14.