IPsec トンネルを通過するトラフィック フローがない場合のトラブルシューティング方法
66116
Created On 08/04/22 16:50 PM - Last Modified 08/23/23 20:59 PM
Objective
IPsec トンネルを通過するトラフィック フローがない場合のトラブルシューティング
Environment
- パロアルト Firewall
- IPsec トンネル
Procedure
- に記載されているチェックを通過します。 IPsec トンネルを介して一方向のみに流れるトラフィックのトラブルシューティング方法これは主に の設定に関連していますPAN-FW.
- IPsec トンネルが 2 つの間で構成されている場合PAN-FWそしてあるNAT間にデバイスがある場合は、必ず有効にしてくださいNATトラバーサル (NAT-T ) トンネルの両側で、次にチェックします。 IPSecVPNトンネルNATトラバーサル.
- IPsec トンネルが構成されている場合PAN-FWとシスコASAそしてあるNAT間にデバイスがある場合は、必ず有効にしてくださいNAT-Tだけでなく、CiscoASAを持っていますNAT-Tポート 4500/udp が開いています。
- IPsec の場合トンネルは稼働していますが、パケットが間違ってドロップされていますSPIカウンター増加をクリックし、強調表示されたリンクを確認します。
- IPsec トンネルがアップしていて、Cisco ルーターに対して IPsec を介した動的ルーティングを構成している場合は、 に記載されている手順に従っていることを確認してください。 Cisco ルーターに対して IPSec を介した動的ルーティングを構成する方法.
- もしも確立された IPSec トンネルをトラフィックが通過しないVM-シリーズfirewallOpenStack でをクリックし、強調表示されたリンクを確認します。
- アップストリームのデバイスがポートとアドレスの変換を実行しているかどうかを確認します。 なぜならESPレイヤ 3 プロトコルであり、ESPパケットにはポート番号がありません。 そのようなデバイスが受信するとESP変換するポート番号が表示されないため、黙ってパケットをドロップする可能性が高くなります。
- 上記のいずれでも問題が解決しない場合は、次を参照してください。リソース リスト: IPSec の構成とトラブルシューティングまたは、テクニカル サポート チームにお問い合わせください。