IPSec トンネルは、カプセル化エラーが原因でドロップされたトンネル トラフィックでアップしません
20202
Created On 07/11/22 00:55 AM - Last Modified 01/31/23 01:45 AM
Symptom
- カプセル化エラーが原因で、IPSec トンネルが起動せず、トンネリングされたトラフィックがドロップされる
- フェーズ 1 が失敗しています
- ここにはないIKE/ISAKMPによって開始されたパケットfirewallピアに向かって
- グローバル カウンタは、トンネリングされたトラフィックのフィルタリング中に、以下に示すようにカプセル化エラーを示します
flow_tunnel_encap_err 1 1 drop flow tunnel Packet dropped: tunnel encapsulation error
- cli から vpn ゲートウェイをテストすると、メッセージ「SA以下の例に示すように、ikemgr.log に「テスト開始が無視されました: トンネル構成が見つかりません。」
> test vpn ike-sa gateway <GATEWAY>
<DATE> [INFO]: { 3: }: <GATEWAY>: IKEv2 SA test initiate ignored: cannot find tunnel configuration
- フローの基本的なデバッグは、トンネル解決の失敗によりドロップされた対象パケットを示しています
Packet enters tunnel encap stage, tunnel interface null Resolving tunnels in multi-tunnel case for ifp:tunnel.x <-------- x is the associated tunnel interface Packet dropped, tunnel resolution failure
Environment
- 次世代 Firewall
- PAN-OS 10.1.5、10.1.6
- IPSec が構成され、別の次世代で終了する Firewall
Cause
WebUI から有効に見えても、IPSec トンネル構成が無効になっている
無効になっているかどうかを確認するには、次のコマンドを実行します
admin@firewall(active)> configure
admin@firewall(active)# show network tunnel ipsec ShapeTX_AWS_Tunnel
tunnel-interface tunnel.1;
disabled yes; <-------------------- DISABLED
comment "Left IPSEC tunnel to AWS";Resolution
WebUI または WebUI から IPSec トンネル構成を有効にします。CLI
WebUI から:
- から通信網> IPSec トンネル> IPSec トンネル構成を選択します
- 選択する有効
- 専念変更点
からCLI:
> configure Entering configuration mode # set network tunnel ipsec <Name of IPSec Tunnel> disabled no # commit