IPsec トンネルを介して一方向のみに流れるトラフィックのトラブルシューティング方法

• Firewall
• IPsec トンネル

1. トラフィックのどの方向がトンネルの通過を停止したかを調べます。トンネルの両側を確認してください。カプセル化パケット対デキャップ パケット増加を停止しました。 それぞれにログインfirewallトンネルの終点で、以下のコマンドを数回発行します。

   show vpn flow name <value> | match cap

2. トンネルの両端でトンネル構成を比較して、一致していることを確認しますプロトコル、認証アルゴリズム、 enc アルゴリズムそしてそれはローカル ip、spi およびプロキシ id ipの1はに等しいリモート ip、spi およびプロキシ id ipもう一方の。 そのためには、トンネルの両側のファイアウォールで次のコマンドを使用します。

   show running tunnel flow name <value>

3. 1 つのローカル サブネットのローカル ホスト部分からセッションを開始するfirewallピアのピア サブネットのリモート ホストに向けてfirewall. ステップ 1 が問題のある方向を特定するのに役立ったと仮定すると、IPsec トンネルのその方向でトラフィックを開始します。 以下に示すような簡単な例を考えてみましょう。

セッションがローカルホストから開始される場所IPアドレス 172.17.240.10 をリモート ホストにIPアドレス 172.17.241.100。

4. 両方のファイアウォールでパケット キャプチャを設定するはじめに: パケット キャプチャ.
5. パケット キャプチャとグローバル カウンタを使用して、パケット ドロップがないかどうかを確認します。

   show counter global filter packet-filter yes delta yes

6. 両方でルーティングされているかどうかを確認しますfirewallプライベート ルートの伝播用に適切に構成されています。

   test routing fib-lookup virtual-router default ip 172.17.241.100

   出力オンPAN-FW-1 は以下のように表示され、表示されるインターフェイスはトンネル インターフェイスになります。

--------------------------------------------------------------------------------
runtime route lookup
--------------------------------------------------------------------------------
virtual-router:   default
destination:      172.17.241.100
result:
  via 172.17.241.1 interface tunnel.1, source 192.168.1.10, metric 10
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
runtime route lookup
--------------------------------------------------------------------------------
virtual-router:   default
destination:      172.17.241.100
result:
  interface ethernet1/6, source 172.17.241.1
--------------------------------------------------------------------------------

7. トンネルの内部インターフェイスと外部インターフェイスに対して構成されているゾーンを確認します (トンネルの内部インターフェイスと外部インターフェイスを識別するには、次の出力を使用します)。CLIステップ 2) のトラフィックの入力インターフェイスのゾーンと同様にPAN-FW-1 およびトラフィックの出力インターフェイスPAN-FW-2. 次のコマンドを使用して、セキュリティを確認します。policyセキュリティを確認するために、対象のトラフィックがヒットされます。policyこのトラフィックを許可するようにルールが適切に構成されています。

   test security-policy-match from L3-Trust source 172.17.240.1 to L3-WAN destination 172.17.241.100 protocol 6 destination-port 443

   テストセキュリティの例-policy -マッチ コマンド。
8. もしもNATトラフィックに適用されることになっている適切なNATルールはファイアウォールで作成されますポリシー >NAT .
9. 両方のファイアウォールのトンネルの外部インターフェイスのゾーンにゾーン保護プロファイルが適用されているかどうかを確認しますネットワーク > ゾーンその場合、Strict を使用したパケット ベースの攻撃保護IPそのゾーン プロファイルのアドレスがチェックされます。ネットワーク > ネットワーク プロファイル > ゾーン保護. その場合は、そのチェックを無効にしてその変更をコミットして、問題が解決するかどうかを確認してください。
10. 上記のいずれでも問題が解決しない場合は、次を参照してください。リソース リスト: IPSec の構成とトラブルシューティングまたは、テクニカル サポート チームにお問い合わせください。

注 1: 手順 9 は、PAN-OS影響を受けるバージョン (9.1.12 および 9.1.13)PAN-186937 . この問題は、9.1.13-h1 および 9.1.14 で修正されています。