Die Firewall der VM-Serie hinter AWS Gateway Load Balancer (GWLB) empfängt keine Antwortpakete

7503

Created On 01/09/23 13:37 PM - Last Modified 02/02/24 06:02 AM

Symptom

Aus Sicht des Clients schlägt die Anfrage (z. B. Ping oder HTTP) fehl.
Der Server empfängt die Anforderung nie.
Die Firewall-Paketerfassung der VM-Serie zeigt nur Client-Anforderungspakete (z. B. ICMP-Anfrage oder TCP SYN) an, aber keine Server-Antwortpakete (z. B. ICMP-Antwort oder TCP SYN-ACK).
Quell- und Ziel-MAC-Adressen sind sowohl für die Empfangs- als auch für die Sendephase identisch, während sie für die Sendephase hätten umgedreht werden müssen. Dies liegt daran, dass die Pakete in der Firewall-Schnittstelle der VM-Serie ankommen (z. B. die MAC-Adresse von ethernet1/1 als Ziel), von der Firewall überprüft und dann über dieselbe Schnittstelle (z. B. die MAC-Adresse von ethernet1/1 als Quelle) mit Vwire wieder ausgesendet werden.

Amazon Web Services (AWS)
Consumer-VPCs, die über Transit Gateway mit einer Sicherheits-VPC verbunden sind
Die Sicherheits-VPC enthält mehrere Firewalls der VM-Serie in verschiedenen Availability Zones (AZ) hinter einem Gateway Load Balancer (GWLB)
Jede Availability Zone in der Security VPC enthält einen Gateway Load Balancer Endpoint (GWLBE)
Firewall der VM-Serie mit aktiviertem Overlay-Routing (PAN-OS-Versionen 10.1.6-10.1.6-h3 und 10.2.1-10.2.2)

PAN-194776 - Zoneninterne Pakete wurden mit der falschen Quell-/Ziel-MAC-Adresse erneut gekapselt.