ファイアウォールを11.0.0 にアップグレードした後、 PBFルールで「Enforce Symmetric Return」が有効になっていると、トンネル トラフィックがドロップされます。

• GP ユーザーは、トラフィックがファイアウォールを通過するとインターネットにアクセスできなくなります。
• この問題は GP トンネルだけに限定されず、 IPSecや GRE VPN を含むすべてのトンネルトラフィックで発生する可能性があります。
• PBFルールは、 「Enforce Symmetric Return」オプションが有効に設定され、ネクストホップがISP IPアドレス、インターフェイスがファイアウォールの外部インターフェイスとして選択されています。
• GP ユーザーからの 8.8.8.8 へのping が「リクエスト タイムアウト」で失敗する
• 以下の「show セッション id」ログから、 「s2c」フローの「Symmetric Return Mac」がないため、s2c フローはインストールされません。

admin@PaloAlto> show session id 7xx

Session             7xx

        c2s flow:
                source:      10.x.x.x [SSLVPN]
                dst:         8.8.8.8
                proto:       1
                sport:       1               dport:      104
                state:       INIT            type:       FLOW
                src user:    test
                dst user:    unknown
                pbf rule:    Test-pbf

        s2c flow:
                source:      8.8.8.8 [UNTRUST]
                dst:         10.x.x.x
                proto:       1
                sport:       104             dport:      1
                state:       INIT            type:       FLOW
                src user:    unknown
                dst user:    test
                pbf rule:    Test-pbf
                symmetric return mac: ***N/A***. >>>> No Symmetric Return MAC available
 ......(Output Omitted).......

• ファイアウォールは、グローバル カウンター「flow_tunnel_encap_err」を増分して戻りトラフィックをドロップします。

admin@PaloAlto> show counter global filter delta yes packet-filter yes severity drop

Global counters:
Elapsed time since last sampling: 4.792 seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------

flow_tunnel_encap_err                      1        0 drop      flow      tunnel    Packet dropped: tunnel encapsulation error

注: 特定のドロップカウンタを取得するには、「パケットキャプチャフィルタ」 適用して有効にする必要があります。 「はじめに - パケット キャプチャ」を参照してください。

• CLI からの「show pbf return-mac all」の出力にはエントリがありません。

admin@PaloAlto> show pbf return-mac all
current pbf configuation version:   2
total return nexthop addresses :    0

index   pbf id  ver  hw address          ip address
                     return mac          egress port
--------------------------------------------------------------------------------

maximum of ipv4 return mac entries supported :     1500
total ipv4 return mac entries in table :           0
total ipv4 return mac entries shown :              0
status: s - static, c - complete, e - expiring, i - incomplete

pbf rule        id   ip address      hw address        port         status   ttl
--------------------------------------------------------------------------------

maximum of ipv6 return mac entries supported :     1500
total ipv6 return mac entries in table :           0
total ipv6 return mac entries shown :              0
status: s - static, c - complete, e - expiring, i - incomplete

pbf rule        id   ip address                              hw address        status
--------------------------------------------------------------------------------

• パロアルトファイアウォール
• PAN-OS 11.0.0
• 対称リターンの強制を有効にしてPBFルールが設定されました。
• GP、 IPSec 、または GRE VPN。

• ソフトウェアの問題

1. この問題はPAN-OS 11.0.2h1および11.0.3のPAN-220921で解決されています。
2. 上記のコーダまたはそれ以降のバージョンにアップグレードすると、問題は解決します。