Cómo solucionar problemas de no flujo de tráfico a través del túnel IPsec
65993
Created On 08/04/22 16:50 PM - Last Modified 08/23/23 20:59 PM
Objective
Solución de problemas de ningún flujo de tráfico a través del túnel IPsec
Environment
- Palo Alto Firewall
- Túnel IPsec
Procedure
- Realice las comprobaciones mencionadas en Cómo solucionar problemas de tráfico que fluye en una sola dirección a través del túnel IPsec, que están relacionadas principalmente con la configuración en el PAN-FW.
- Si el túnel IPsec está configurado entre dos PAN-FW y hay un NAT dispositivo en el medio, asegúrese de habilitar NAT Traversal (NAT-T) a ambos lados del túnel y, a continuación, compruebe Túnel IPSec VPN con NAT Traversal.
- Si su túnel IPsec está configurado entre PAN-FW y Cisco y hay un NAT dispositivo en el medio, asegúrese de habilitarNAT-T, pero también de que Cisco ASA ASA tenga abierto el NAT-T puerto 4500 / udp.
- Si el túnel IPsec está activo pero los paquetes se eliminan con un Counter Increase incorrectoSPI, compruebe el vínculo resaltado.
- Si el túnel IPsec está activo y ha configurado el enrutamiento dinámico a través de IPsec en un router Cisco, asegúrese de haber seguido los pasos enumerados en Cómo configurar el enrutamiento dinámico a través de IPSec en los routers Cisco.
- Si el tráfico no pasa a través de un túnel IPSec establecido desde una VM-serie firewall en OpenStack, compruebe el enlace resaltado.
- Compruebe si algún dispositivo ascendente está realizando traducciones de puertos y direcciones. Debido a que ESP es un protocolo de capa 3, ESP los paquetes no tienen números de puerto. Cuando tales dispositivos reciben ESP paquetes, existe una alta posibilidad de que los dejen caer silenciosamente, porque no ven los números de puerto para traducir.
- Si ninguna de las opciones anteriores soluciona su problema, consulte Lista de recursos: Configuración y solución de problemas de IPSec o póngase en contacto con nuestro equipo de soporte técnico.