Comment faire pour résoudre le trafic circulant dans une seule direction via le tunnel IPsec
31470
Created On 08/03/22 18:59 PM - Last Modified 02/21/24 17:26 PM
Objective
Résolution des problèmes de trafic circulant dans une seule direction via le tunnel IPsec
Environment
- Firewall
- Tunnel IPsec
Procedure
- Découvrez dans quelle direction de circulation a cessé d’être passée par le tunnel.Vérifiez de chaque côté de votre tunnel si les paquets d’encap par rapport aux paquets de décapage ont cessé d’incrémenter. Connectez-vous à chacun firewall d’eux au point final du tunnel et exécutez plusieurs fois la commande ci-dessous:
show vpn flow name <value> | match cap
Si les paquets Encap ont cessé d’incrémenter, cela indique que le trafic sortant du firewall auquel vous avez émis cette commande a cessé de traverser le tunnel.
Si Decap Packets a cessé d’incrémenter, cela indique que le trafic entrant vers le firewall auquel vous avez émis cette commande a cessé de traverser le tunnel.
- Comparez la configuration du tunnel aux deux extrémités du tunnel pour vérifier que le protocole correspondant, l’algorithme auth algorith, enc et que l’ip ip, spi et proxy id local de l’un est égal à l’ip distant, spi et proxy id ip de l’autre. Utilisez la commande suivante sur les pare-feu de chaque côté du tunnel pour cela :
show running tunnel flow name <value>
- Lancez une session à partir d’une partie hôte locale du sous-réseau local d’un vers l’hôte distant du sous-réseau homologue de l’homologue firewall firewall. En supposant que l’étape 1 vous a aidé à identifier la direction problématique, initier le trafic dans cette direction du tunnel IPsec. Considérez un exemple simple comme celui montré ci-dessous:
Où la session est lancée à partir de l’hôte local avec l’adresse 172.17.240.10 à l’hôte distant avec IP IP l’adresse 172.17.241.100.
- Définir une capture de paquets sur les deux pare-feu Mise en route : Capture de paquets.
- Vérifiez les pertes de paquets à l’aide de la capture de paquets et des compteurs globaux :
show counter global filter packet-filter yes delta yes
- Vérifiez si le routage sur les deux firewall a été correctement configuré pour la propagation des itinéraires privés.
test routing fib-lookup virtual-router default ip 172.17.241.100
La sortie sur PAN-FW-1 devrait être similaire à ci-dessous où l’interface vue serait l’interface tunnel.
-------------------------------------------------------------------------------- runtime route lookup -------------------------------------------------------------------------------- virtual-router: default destination: 172.17.241.100 result: via 172.17.241.1 interface tunnel.1, source 192.168.1.10, metric 10 --------------------------------------------------------------------------------
La sortie sur PAN-FW-2 devrait être similaire à ci-dessous où l’interface vue serait une interface interne.
-------------------------------------------------------------------------------- runtime route lookup -------------------------------------------------------------------------------- virtual-router: default destination: 172.17.241.100 result: interface ethernet1/6, source 172.17.241.1 --------------------------------------------------------------------------------
- Vérifiez quelles zones ont été configurées pour l’interface interne et extérieure du tunnel (pour identifier l’interface interne et externe du tunnel, utilisez la sortie de l’étape 2) ainsi que la zone d’interface d’entrée CLI du trafic pour 1 et l’interface de sortie du trafic pour PAN-FW-PAN-FW-2. Utilisez la commande ci-dessous pour vérifier quelle sécurité est atteinte pour le trafic intéressant afin de vérifier que vos règles de sécurité policy policy sont correctement configurées pour autoriser ce trafic.
test security-policy-match from L3-Trust source 172.17.240.1 to L3-WAN destination 172.17.241.100 protocol 6 destination-port 443
Exemple de la commande test security--policymatch. - Si NAT est censé être appliqué au trafic, assurez-vous que la règle appropriée NAT est créée sur les pare-feu sous Stratégies > NAT.
- Vérifiez si le profil de protection de zone est appliqué à la zone d’interface externe du tunnel des deux pare-feu sous Zone > réseau et, si tel est le cas, si la protection contre les attaques basées sur les paquets avec adresse stricte IP est vérifiée pour ce profil de zone sous Profils réseau > réseau > Protection de zone. Dans ce cas, testez la désactivation de cette vérification et la validation de cette modification pour voir si cela résout le problème.
- Si aucune des solutions ci-dessus ne résout votre problème, reportez-vous à la liste des ressources : configuration et dépannage d’IPSec ou contactez notre équipe d’assistance technique.
Additional Information
Note1 : L’étape 9 s’applique si vous exécutez une PAN-OS version (9.1.12 et 9.1.13) affectée par PAN-186937. Ce problème est résolu dans 9.1.13-h1 et 9.1.14.