Le pare-feu de la série VM derrière AWS Gateway Load Balancer (GWLB) ne reçoit pas de paquets de réponse

7521

Created On 01/09/23 13:37 PM - Last Modified 02/02/24 06:09 AM

Symptom

Du point de vue du client, la requête (par exemple, ping ou HTTP) échoue.
Le serveur ne reçoit jamais la demande.
La capture de paquets de pare-feu de la série VM affiche uniquement les paquets de demande client (par exemple, la requête ICMP ou TCP SYN), mais pas les paquets de réponse du serveur (par exemple, la réponse ICMP ou TCP SYN-ACK).
Les adresses MAC source et de destination sont les mêmes pour les étages de réception et de transmission, alors qu’elles auraient dû être inversées pour l’étage de transmission. En effet, les paquets arrivent dans l'interface du pare-feu de la série VM (par exemple, l'adresse MAC d'Ethernet1/1 comme destination), sont inspectés par le pare-feu, puis transmis à nouveau via la même interface (par exemple, l'adresse MAC d'Ethernet1/1 comme source) à l'aide de Vwire.

Amazon Web Services (AWS)
VPC grand public connectés via Transit Gateway à un VPC de sécurité
Le VPC de sécurité contient plusieurs pare-feu de la série VM dans différentes zones de disponibilité (AZ) derrière un équilibreur de charge de passerelle (GWLB)
Chaque zone de disponibilité du VPC de sécurité contient un point de terminaison d’équilibrage de charge de passerelle (GWLBE)
Pare-feu de la série VM avec routage de superposition activé (versions 10.1.6-10.1.6-h3 et 10.2.1-10.2.2 de PAN-OS)

PAN-194776 - Les paquets intra-zone ont été réencapsulés avec l’adresse MAC source/destination incorrecte.