GRE- Tunnel aufgrund rekursiven Routings ausgefallen

GRE- Tunnel aufgrund rekursiven Routings ausgefallen

7208
Created On 01/03/25 17:51 PM - Last Modified 10/17/25 13:28 PM


Symptom


  • System logs report a critical event for GRE tunnel interface down with recursive routing : 
    admin@syadav-vm-1-vm-100> show log system direction equal backward subtype equal gre
cmd#00008 2023-04-06 16:32:39 (show log system direction equal backward subtype equal gre)
Time                Severity Subtype Object EventID ID Description
===============================================================================
2023/04/07 00:29:27 critical gre     gre-tu tunnel- 0  Tunnel intf: tunnel.1 is going down due to recursive routing


Environment


  • GRE-Tunnel
  • NGFW

Cause


Der häufigste Grund für diesen Fehler besteht darin, dass die weiterleiten zum GRE-Peer über die GRE Schnittstelle Tunnel aufgelöst wird.

Resolution


  1. Überprüfen Sie den Routing-Tabelleneintrag für den GRE-Peer: Use the following command to check if the route to the GRE peer is resolving via the GRE tunnel interface: 
    > test routing fib-lookup virtual-router <name-of-virtual-router> ip <IP-address-of-GRE-peer>
    If the output shows that the next hop for the GRE peer's IP address is the GRE tunnel interface, it confirms that this is the cause of the recursive routing issue.
  2. Konfigurieren oder bearbeiten Sie die Route, die statische Route oder die auf PBF -Richtlinien basierende Weiterleitungsregel: Stellen Sie sicher, dass die weiterleiten zum GRE-Peer über eine physische Schnittstelle oder einen anderen Tunnel und nicht über den GRE Tunnel selbst aufgelöst wird.
  3. Änderungen validieren: After making changes, recheck the routing for the GRE peer using the 
    > test routing fib-lookup virtual-router <name-of-virtual-router> ip <IP-address-of-GRE-peer>
    command to confirm that the next hop does not resolve to the GRE tunnel interface.
  4. Überwachen Sie den Tunnelstatus: Überwachen Sie den Tunnelstatus:Confirm that the GRE tunnel interface status changes to UP by monitoring the interface status in the GUI or CLI: 
    > show interface tunnel.<tunnel number>

Additional Information


Wenn das Routing richtig konfiguriert ist und Ihre Firewall im HA aktiv/passiv ist, prüfen Sie, ob dieses Problem auftritt:
PAN-200946
Ein Problem mit Firewalls in aktiv/passiv HA -Konfigurationen wurde behoben, bei dem GRE-Tunnel aufgrund von rekursivem Routing ausfielen, während die passive Firewall hochfuhr. Als die passive Firewall aktiv wurde und kein rekursives Routing konfiguriert war, blieb der GRE- Tunnel ausgefallen.
Release-Versionen mit dem Fix: 10.1.9, 10.2.4, 11.0.5 und spätere Releases.

Überprüfen Sie außerdem bei älteren PAN-OS-Versionen, ob das Problem auftritt:
PAN-179413
Ein Problem wurde behoben, bei dem GRE-Tunnel während ausführen -Jobs flatterten.
Release-Versionen mit dem Fix: 10.0.10, 10.1.5 und spätere Releases.

Weitere Einzelheiten zum Konfigurieren eines GRE Tunnel finden Sie unter Konfigurieren eines GRE- Tunnel zwischen PaloAlto-Firewalls .
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HEkOCAW&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language