Der Tunnelverkehr wird unterbrochen, wenn nach dem Upgrade der Firewall auf 11.0.0 in der PBF Regel „Enforce Symmetric Return“ aktiviert ist.

• GP-Benutzer können nicht auf das Internet zugreifen, wenn der Datenverkehr die Firewall durchläuft.
• Dieses Problem ist nicht nur auf GP Tunnel beschränkt, es kann bei jedem Tunnel auftreten, einschließlich IPSec und GRE VPNs.
• Die PBF Regel wird mit aktivierter Option „Symmetrische Rückgabe erzwingen“ und mit dem nächsten Hop als ISP IP-Adresse und der als externe Schnittstelle der Firewall ausgewählten Schnittstelle konfiguriert.
• Der Ping vom GP-Benutzer an 8.8.8.8 schlägt mit „Request Time Out“ fehl
• Aus den unten stehenden „Show Sitzung ID“ -Protokollen geht hervor, dass für den „S2C“ -Flow kein „Symmetric Return Mac“ vorhanden ist und der S2C-Flow daher nicht installiert wird.

admin@PaloAlto> show session id 7xx

Session             7xx

        c2s flow:
                source:      10.x.x.x [SSLVPN]
                dst:         8.8.8.8
                proto:       1
                sport:       1               dport:      104
                state:       INIT            type:       FLOW
                src user:    test
                dst user:    unknown
                pbf rule:    Test-pbf

        s2c flow:
                source:      8.8.8.8 [UNTRUST]
                dst:         10.x.x.x
                proto:       1
                sport:       104             dport:      1
                state:       INIT            type:       FLOW
                src user:    unknown
                dst user:    test
                pbf rule:    Test-pbf
                symmetric return mac: ***N/A***. >>>> No Symmetric Return MAC available
 ......(Output Omitted).......

• Die Firewall verwirft den Rückverkehr, indem sie den globalen Zähler „flow_tunnel_encap_err“ erhöht:

admin@PaloAlto> show counter global filter delta yes packet-filter yes severity drop

Global counters:
Elapsed time since last sampling: 4.792 seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------

flow_tunnel_encap_err                      1        0 drop      flow      tunnel    Packet dropped: tunnel encapsulation error

Hinweis: Um bestimmte Drop-Zähler zu erhalten, "Packet Capture Filters" Muss angewendet und aktiviert werden. Siehe Erste Schritte – Paketerfassung .

• Von der CLI enthält die Ausgabe von „show pbf return-mac all“ keine Einträge.

admin@PaloAlto> show pbf return-mac all
current pbf configuation version:   2
total return nexthop addresses :    0

index   pbf id  ver  hw address          ip address
                     return mac          egress port
--------------------------------------------------------------------------------

maximum of ipv4 return mac entries supported :     1500
total ipv4 return mac entries in table :           0
total ipv4 return mac entries shown :              0
status: s - static, c - complete, e - expiring, i - incomplete

pbf rule        id   ip address      hw address        port         status   ttl
--------------------------------------------------------------------------------

maximum of ipv6 return mac entries supported :     1500
total ipv6 return mac entries in table :           0
total ipv6 return mac entries shown :              0
status: s - static, c - complete, e - expiring, i - incomplete

pbf rule        id   ip address                              hw address        status
--------------------------------------------------------------------------------

• Palo Alto-Firewalls
• PAN-OS 11.0.0
• PBF Regel mit aktivierter „Symmetrische Rückgabe erzwingen“ konfiguriert.
• GP-, IPSec oder GRE-VPNs.

• Softwareproblem

1. Das Problem wurde unter PAN-220921 in PAN-OS 11.0.2h1 und 11.0.3 behoben.
2. Ein Upgrade auf den oben genannten Coder oder eine neuere Version behebt das Problem.