방화벽 11.0.0으로 업그레이드한 후 PBF 규칙에서 "대칭 리턴 적용"을 활성화하면 터널 트래픽이 삭제됩니다.

방화벽 11.0.0으로 업그레이드한 후 PBF 규칙에서 "대칭 리턴 적용"을 활성화하면 터널 트래픽이 삭제됩니다.

7323
Created On 06/26/23 07:46 AM - Last Modified 01/03/25 07:48 AM


Symptom


  • 트래픽이 방화벽 통과할 때 GP 사용자는 인터넷에 접속할 수 없습니다.
  • 이 문제는 GP 터널에만 국한되지 않으며 IPSec 및 GRE VPN을 포함한 모든 터널 트래픽에서 발생할 수 있습니다.
  • PBF 규칙 은 "대칭 반환 적용" 옵션이 활성화되어 있고 다음 홉이 ISP IP 주소 이고 인터페이스 방화벽의 외부 인터페이스 로 선택되어 구성되어 있습니다.
  • GP 사용자로부터 8.8.8.8로의 핑(ping) 이 "요청 시간 초과" 로 실패합니다.
  • 아래의 "show 세션 id" 로그에서 "s2c" 흐름에 대한 "Symmetric Return Mac"이 없으므로 s2c 흐름이 설치되지 않습니다.
admin@PaloAlto> show session id 7xx

Session             7xx

        c2s flow:
                source:      10.x.x.x [SSLVPN]
                dst:         8.8.8.8
                proto:       1
                sport:       1               dport:      104
                state:       INIT            type:       FLOW
                src user:    test
                dst user:    unknown
                pbf rule:    Test-pbf

        s2c flow:
                source:      8.8.8.8 [UNTRUST]
                dst:         10.x.x.x
                proto:       1
                sport:       104             dport:      1
                state:       INIT            type:       FLOW
                src user:    unknown
                dst user:    test
                pbf rule:    Test-pbf
                symmetric return mac: ***N/A***. >>>> No Symmetric Return MAC available
 ......(Output Omitted).......
  • 방화벽은 글로벌 카운터 "flow_tunnel_encap_err" 을 증가시켜 반환 트래픽을 삭제합니다.
admin@PaloAlto> show counter global filter delta yes packet-filter yes severity drop

Global counters:
Elapsed time since last sampling: 4.792 seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------

flow_tunnel_encap_err                      1        0 drop      flow      tunnel    Packet dropped: tunnel encapsulation error

참고: 특정 드롭 카운터를 얻으려면 "패킷 캡처 필터"를 사용하세요. 적용하고 활성화해야 합니다. 시작하기 - 패킷 캡처를 참조하세요.

  • cli에서 "show pbf return-mac all" 의 출력에는 항목이 없습니다.
admin@PaloAlto> show pbf return-mac all
current pbf configuation version:   2
total return nexthop addresses :    0

index   pbf id  ver  hw address          ip address
                     return mac          egress port
--------------------------------------------------------------------------------

maximum of ipv4 return mac entries supported :     1500
total ipv4 return mac entries in table :           0
total ipv4 return mac entries shown :              0
status: s - static, c - complete, e - expiring, i - incomplete

pbf rule        id   ip address      hw address        port         status   ttl
--------------------------------------------------------------------------------

maximum of ipv6 return mac entries supported :     1500
total ipv6 return mac entries in table :           0
total ipv6 return mac entries shown :              0
status: s - static, c - complete, e - expiring, i - incomplete

pbf rule        id   ip address                              hw address        status
--------------------------------------------------------------------------------

Environment


  • 팔로 알토 방화벽
  • PAN-OS 11.0.0
  • PBF 규칙 대칭 반환 적용을 활성화하여 구성되었습니다.
  • GP, IPSec 또는 GRE VPN.

Cause


  • 소프트웨어 문제

Resolution


  1. 이 문제는 PAN-OS 11.0.2h1 및 11.0.3의 PAN-220921 에서 해결되었습니다.
  2. 위의 코더나 최신 버전으로 업그레이드하면 문제가 해결됩니다.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kIAHCA2&lang=ko&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language