Comment faire pour résoudre les problèmes d’absence de flux de trafic via le tunnel IPsec
66164
Created On 08/04/22 16:50 PM - Last Modified 08/23/23 20:59 PM
Objective
Résolution des problèmes liés à l’absence de flux de trafic via le tunnel IPsec
Environment
- Palo Alto (Palo Alto) Firewall
- Tunnel IPsec
Procedure
- Effectuez les vérifications mentionnées dans Comment dépanner le trafic circulant dans une seule direction via le tunnel IPsec qui sont principalement liées à la configuration sur le PAN-FW.
- Si votre tunnel IPsec est configuré entre deux et qu'il y a un NAT périphérique entre les deux, assurez-vous d'activer NAT Traversal (NAT-T) des deux PAN-FW côtés du tunnel, puis vérifiez Tunnel IPSec VPN avec NAT Traversal.
- Si votre tunnel IPsec est configuré entre et Cisco ASA et qu'il y a un NAT périphérique entre PAN-FW les deux, assurez-vous d'activer NAT-T mais aussi que le Cisco ASA a le NAT-T port 4500 / udp ouvert.
- Si votre tunnel IPsec est en place mais que les paquets sont abandonnés avec une mauvaise SPI augmentation de compteur, vérifiez le lien en surbrillance.
- Si votre tunnel IPsec est opérationnel et que vous avez configuré le routage dynamique sur IPsec par rapport à un routeur Cisco, assurez-vous d’avoir suivi les étapes répertoriées dans Comment configurer le routage dynamique sur IPSec par rapport aux routeurs Cisco.
- Si le trafic ne passe pas par un tunnel IPSec établi à partir d’une VM-série firewall sur OpenStack, vérifiez le lien en surbrillance.
- Vérifiez si des périphériques en amont effectuent des traductions de port et d’adresse. Parce qu’il ESP s’agit d’un protocole de couche 3, ESP les paquets n’ont pas de numéro de port. Lorsque ces appareils reçoivent ESP des paquets, il est fort possible qu’ils les abandonnent silencieusement, car ils ne voient pas les numéros de port à traduire.
- Si aucune des solutions ci-dessus ne résout votre problème, reportez-vous à la liste des ressources : configuration et dépannage d’IPSec ou contactez notre équipe d’assistance technique.