So beheben Sie Probleme mit keinem Datenverkehrsfluss durch den IPsec-Tunnel

So beheben Sie Probleme mit keinem Datenverkehrsfluss durch den IPsec-Tunnel

66170
Created On 08/04/22 16:50 PM - Last Modified 08/23/23 20:59 PM


Objective


Problembehandlung bei keinem Datenverkehrsfluss durch den IPsec-Tunnel

Environment


  • Palo Alto Firewall
  • IPsec-Tunnel

Procedure


  1. Führen Sie die Überprüfungen durch, die unter Fehlerbehebung für Datenverkehr, der nur in eine Richtung durch den IPsec-Tunnel fließt, erwähnt werden , die sich hauptsächlich auf die Konfiguration auf der .PAN-FW
  2. Wenn Ihr IPsec-Tunnel zwischen zwei PAN-FW konfiguriert ist und sich ein NAT Gerät dazwischen befindet, stellen Sie sicher, dass Traversal (NAT-T) auf beiden Seiten des Tunnels aktiviert NAT ist, und überprüfen Sie dann IPSec-Tunnel VPN mit NAT Traversal.
  3. Wenn Ihr IPsec-Tunnel zwischen PAN-FW und Cisco konfiguriert ist und sich ein NAT Gerät dazwischen befindet, stellen Sie sicherNAT-T, dass der Cisco ASA ASA den NAT-T Port 4500/udp geöffnet hat.
  4. Wenn Ihr IPsec-Tunnel aktiv ist, aber Pakete mit falscher SPI Zählererhöhung verworfen werden, überprüfen Sie den hervorgehobenen Link.
  5. Wenn Ihr IPsec-Tunnel aktiv ist und Sie dynamisches Routing über IPsec für einen Cisco Router konfiguriert haben, stellen Sie sicher, dass Sie die unter Konfigurieren von dynamischem Routing über IPSec für Cisco Router aufgeführten Schritte ausgeführt haben.
  6. Wenn der Datenverkehr nicht durch einen eingerichteten IPSec-Tunnel von einer VM-Serie firewall auf OpenStack geleitet wird, überprüfen Sie den hervorgehobenen Link.
  7. Überprüfen Sie, ob Upstream-Geräte Port- und Adressübersetzungen durchführen. Da ESP es sich um ein Layer-3-Protokoll handelt, ESP haben Pakete keine Portnummern. Wenn solche Geräte Pakete empfangen ESP , besteht eine hohe Wahrscheinlichkeit, dass sie diese stillschweigend ablegen, da sie die zu übersetzenden Portnummern nicht sehen.
  8. Wenn das Problem durch keine der oben genannten Maßnahmen behoben wird, lesen Sie die Ressourcenliste: IPSec-Konfiguration und -Fehlerbehebung oder wenden Sie sich an unser technisches Support-Team.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Cr59CAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language