Le trafic du tunnel est abandonné lorsque « Appliquer le retour symétrique » est activé dans la règle PBF après la mise à niveau du pare-feu vers la version 11.0.0.

• Les utilisateurs GP ne peuvent pas accéder à Internet lorsque le trafic passe par le pare-feu.
• Ce problème ne se limite pas uniquement au tunnel GP, il peut se produire avec n’importe quel trafic de tunnel, y compris les VPN IPSec et GRE.
• La règle PBF est configurée avec l'option « Appliquer le retour symétrique » activée et avec le prochain saut comme adresse IP du ISP et interface sélectionnée comme interface externe du pare-feu.
• Le ping vers 8.8.8.8 depuis l'utilisateur GP échoue avec « Request Time Out »
• À partir des journaux « Afficher l'ID de session » ci-dessous, il n'y a pas de « Symmetric Return Mac » pour le flux « s2c » et donc le flux s2c n'est pas installé.

admin@PaloAlto> show session id 7xx

Session             7xx

        c2s flow:
                source:      10.x.x.x [SSLVPN]
                dst:         8.8.8.8
                proto:       1
                sport:       1               dport:      104
                state:       INIT            type:       FLOW
                src user:    test
                dst user:    unknown
                pbf rule:    Test-pbf

        s2c flow:
                source:      8.8.8.8 [UNTRUST]
                dst:         10.x.x.x
                proto:       1
                sport:       104             dport:      1
                state:       INIT            type:       FLOW
                src user:    unknown
                dst user:    test
                pbf rule:    Test-pbf
                symmetric return mac: ***N/A***. >>>> No Symmetric Return MAC available
 ......(Output Omitted).......

• Le pare-feu supprime le trafic de retour en incrémentant le compteur global « flow_tunnel_encap_err » :

admin@PaloAlto> show counter global filter delta yes packet-filter yes severity drop

Global counters:
Elapsed time since last sampling: 4.792 seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------

flow_tunnel_encap_err                      1        0 drop      flow      tunnel    Packet dropped: tunnel encapsulation error

Remarque : pour obtenir des compteurs de chute spécifiques, « Filtres de capture de paquets » Doit être appliqué et activé. Reportez-vous à la section Prise en main - Capture de paquets .

• Depuis la CLI, la sortie de « show pbf return-mac all » n'a aucune entrée.

admin@PaloAlto> show pbf return-mac all
current pbf configuation version:   2
total return nexthop addresses :    0

index   pbf id  ver  hw address          ip address
                     return mac          egress port
--------------------------------------------------------------------------------

maximum of ipv4 return mac entries supported :     1500
total ipv4 return mac entries in table :           0
total ipv4 return mac entries shown :              0
status: s - static, c - complete, e - expiring, i - incomplete

pbf rule        id   ip address      hw address        port         status   ttl
--------------------------------------------------------------------------------

maximum of ipv6 return mac entries supported :     1500
total ipv6 return mac entries in table :           0
total ipv6 return mac entries shown :              0
status: s - static, c - complete, e - expiring, i - incomplete

pbf rule        id   ip address                              hw address        status
--------------------------------------------------------------------------------

• Pare-feu Palo Alto
• PAN-OS 11.0.0
• règle PBF configurée avec l'option Appliquer le retour symétrique activée.
• VPN GP, IPSec ou GRE.

• Problème de logiciel

1. Le problème a été résolu dans PAN-220921 dans PAN-OS 11.0.2h1 et 11.0.3
2. La mise à niveau vers le codeur ci-dessus ou des versions plus récentes résoudra le problème.