tunnel GRE en panne en raison d'un routage récursif

tunnel GRE en panne en raison d'un routage récursif

7186
Created On 01/03/25 17:51 PM - Last Modified 10/17/25 13:28 PM


Symptom


  • System logs report a critical event for GRE tunnel interface down with recursive routing : 
    admin@syadav-vm-1-vm-100> show log system direction equal backward subtype equal gre
cmd#00008 2023-04-06 16:32:39 (show log system direction equal backward subtype equal gre)
Time                Severity Subtype Object EventID ID Description
===============================================================================
2023/04/07 00:29:27 critical gre     gre-tu tunnel- 0  Tunnel intf: tunnel.1 is going down due to recursive routing


Environment


  • Tunnel GRE
  • NGFW

Cause


La raison la plus courante de cette erreur est que la acheminer vers l’homologue GRE est résolue via l’ interface du tunnel GRE elle-même.

Resolution


  1. Vérifiez l'entrée de la table de routage pour l'homologue GRE : Use the following command to check if the route to the GRE peer is resolving via the GRE tunnel interface: 
    > test routing fib-lookup virtual-router <name-of-virtual-router> ip <IP-address-of-GRE-peer>
    If the output shows that the next hop for the GRE peer's IP address is the GRE tunnel interface, it confirms that this is the cause of the recursive routing issue.
  2. Configurer ou modifier la route, la route statique ou la règle de transfert basée sur la politique PBF : assurez-vous que la acheminer vers l'homologue GRE est résolue via une interface physique ou un autre tunnel, et non via le tunnel GRE lui-même.
  3. Valider les modifications : After making changes, recheck the routing for the GRE peer using the 
    > test routing fib-lookup virtual-router <name-of-virtual-router> ip <IP-address-of-GRE-peer>
    command to confirm that the next hop does not resolve to the GRE tunnel interface.
  4. Surveiller l'état du tunnel : Surveiller l'état du tunnel :Confirm that the GRE tunnel interface status changes to UP by monitoring the interface status in the GUI or CLI: 
    > show interface tunnel.<tunnel number>

Additional Information


Si le routage est correctement configuré et que votre pare-feu est en mode HA active/passive , vérifiez s'il rencontre ce problème :
PAN-200946
Correction d'un problème avec les pare-feu dans les configurations HA active/passive où les tunnels GRE tombaient en panne en raison d'un routage récursif lors du démarrage du pare-feu passif. Lorsque le pare-feu passif devenait actif et qu'aucun routage récursif n'était configuré, le tunnel GRE restait en panne.
Versions publiées avec le correctif : 10.1.9, 10.2.4, 11.0.5 et versions ultérieures.

De plus, pour les anciennes versions de PAN-OS, vérifiez si le problème survient :
PAN-179413
Correction d'un problème où les tunnels GRE battaient pendant les tâches de valider .
Versions publiées avec le correctif : 10.0.10, 10.1.5 et versions ultérieures.

Pour plus de détails sur la configuration d'un tunnel GRE, reportez-vous à Configuration tunnel GRE entre les pare-feu PaloAlto .
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HEkOCAW&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language