El tráfico del túnel se descarta cuando se habilita "Aplicar retorno simétrico" en la regla PBF después de actualizar el cortafuegos a 11.0.0.
7299
Created On 06/26/23 07:46 AM - Last Modified 01/03/25 07:42 AM
Symptom
- Los usuarios de GP no pueden acceder a Internet cuando el tráfico pasa a través del cortafuegos.
- Este problema no se limita únicamente al túnel GP, puede ocurrir con cualquier tráfico de túnel, incluidos IPSec y VPN GRE.
- La regla PBF está configurada con la opción "Aplicar retorno simétrico" habilitada y con el siguiente salto como Dirección IP del ISP y la interfaz seleccionada como interfaz externa del firewall.
- El ping a 8.8.8.8 desde el usuario GP falla con "Tiempo de espera de solicitud"
- Desde los registros "mostrar ID de sesión " a continuación, no hay ningún "Mac de retorno simétrico" para el flujo "s2c" y, por lo tanto, el flujo s2c no se instala.
admin@PaloAlto> show session id 7xx
Session 7xx
c2s flow:
source: 10.x.x.x [SSLVPN]
dst: 8.8.8.8
proto: 1
sport: 1 dport: 104
state: INIT type: FLOW
src user: test
dst user: unknown
pbf rule: Test-pbf
s2c flow:
source: 8.8.8.8 [UNTRUST]
dst: 10.x.x.x
proto: 1
sport: 104 dport: 1
state: INIT type: FLOW
src user: unknown
dst user: test
pbf rule: Test-pbf
symmetric return mac: ***N/A***. >>>> No Symmetric Return MAC available
......(Output Omitted).......
- El firewall descarta el tráfico de retorno incrementando el contador global "flow_tunnel_encap_err" :
admin@PaloAlto> show counter global filter delta yes packet-filter yes severity drop
Global counters:
Elapsed time since last sampling: 4.792 seconds
name value rate severity category aspect description
--------------------------------------------------------------------------------
flow_tunnel_encap_err 1 0 drop flow tunnel Packet dropped: tunnel encapsulation error
Nota: Para obtener contadores de caída específicos, "Filtros de captura de paquetes" Debe estar aplicado y habilitado. Consulte Primeros pasos: captura de paquetes .
- Desde CLI, la salida de "show pbf return-mac all" no tiene entradas.
admin@PaloAlto> show pbf return-mac all
current pbf configuation version: 2
total return nexthop addresses : 0
index pbf id ver hw address ip address
return mac egress port
--------------------------------------------------------------------------------
maximum of ipv4 return mac entries supported : 1500
total ipv4 return mac entries in table : 0
total ipv4 return mac entries shown : 0
status: s - static, c - complete, e - expiring, i - incomplete
pbf rule id ip address hw address port status ttl
--------------------------------------------------------------------------------
maximum of ipv6 return mac entries supported : 1500
total ipv6 return mac entries in table : 0
total ipv6 return mac entries shown : 0
status: s - static, c - complete, e - expiring, i - incomplete
pbf rule id ip address hw address status
--------------------------------------------------------------------------------Environment
- Cortafuegos de Palo Alto
- PAN-OS 11.0.0
- regla PBF configurada con la opción Aplicar retorno simétrico habilitado.
- VPN GP, IPSec o GRE.
Cause
- Problema de software
Resolution
- El problema se ha abordado en PAN-220921 en PAN-OS 11.0.2h1 y 11.0.3.
- Actualizar al codificador mencionado anteriormente o versiones más nuevas resolverá el problema.