El firewall de la serie VM detrás de AWS Gateway Load Balancer (GWLB) no recibe paquetes de respuesta

7503

Created On 01/09/23 13:37 PM - Last Modified 02/02/24 06:09 AM

Symptom

Desde la perspectiva del cliente, la solicitud (por ejemplo, ping o HTTP) falla.
El servidor nunca recibe la solicitud.
La captura de paquetes de firewall de la serie VM solo muestra los paquetes de solicitud del cliente (por ejemplo, la solicitud ICMP o TCP SYN), pero no los paquetes de respuesta del servidor (por ejemplo, la respuesta ICMP o TCP SYN-ACK).
Las direcciones MAC de origen y destino son las mismas para las etapas de recepción y transmisión, mientras que deberían haberse invertido para la etapa de transmisión. Esto se debe a que los paquetes llegan a la interfaz del firewall de la serie VM (por ejemplo, la dirección MAC de ethernet1/1 como destino), son inspeccionados por el firewall y, a continuación, se transmiten de nuevo a través de la misma interfaz (por ejemplo, la dirección MAC de ethernet1/1 como origen) mediante Vwire.

Amazon Web Services (AWS)
VPC de consumidor conectadas a través de Transit Gateway a una VPC de seguridad
La VPC de seguridad contiene varios firewalls de la serie de máquinas virtuales en diferentes zonas de disponibilidad (AZ) detrás de un balanceador de carga de puerta de enlace (GWLB)
Cada zona de disponibilidad de la VPC de seguridad contiene un punto de enlace de Gateway Load Balancer (GWLBE)
Firewall de la serie VM con enrutamiento de superposición habilitado (versiones 10.1.6-10.1.6-h3 y 10.2.1-10.2.2) de PAN-OS)

PAN-194776 - Los paquetes dentro de la zona se volvieron a encapsular con la dirección MAC de origen/destino incorrecta.