VPN Site a Site Palo Alto Pas de traffic retour

cancel
Showing results for 
Show  only  | Search instead for 
Did you mean: 
Announcements
Please sign in to see details of an important advisory in our Customer Advisories area.

VPN Site a Site Palo Alto Pas de traffic retour

L1 Bithead

Bonjour

j'ai monté un tunnel vpn entre un PA-850 et un PA-220. La gateway IKE et le tunnel sont au vert.

Je n'obtiens aucuns trafic en reception dans le tunnel sur le site A. Le site B quant a lui recoit mes requetes et y repond, mais comme je n'ai pas de reception je n'obtiens pas la reponse.

Du coup je me suis dis il  y a une policy qui bloque ou une zone mal défini. J'ai fais le tour et je ne vois pas ou est le blocage.

Les 2 Palo sont en version 8.1.5.

 

Infos site A

 

tunnel Tunnel
id: 13
type: IPSec
gateway id: 4
local ip: XXX.XXX.XXX.XXX
peer ip: YYY.YYY.YYY.YYY
inner interface: tunnel.4
outer interface: ethernet1/1.4
state: active
session: 23233
tunnel mtu: 1424
soft lifetime: 86349
hard lifetime: 86400
lifetime remain: 86399 sec
lifesize remain: N/A
latest rekey: 1 seconds ago
monitor: on
monitor status: down
monitor dest: 192.168.11.2
monitor interval: 3 seconds
monitor threshold: 5 probe losses
monitor bitmap: 00000
monitor packets sent: 485
monitor packets recv: 0
monitor packets seen: 0
monitor packets reply:0
en/decap context: 2172
local spi: 81E36347
remote spi: 884AF897
key type: auto key
protocol: ESP
auth algorithm: SHA256
enc algorithm: AES256
traffic selector:
protocol: 0
local ip range: 0.0.0.0 - 255.255.255.255
local port range: 0 - 65535
remote ip range: 0.0.0.0 - 255.255.255.255
remote port range: 0 - 65535
anti replay check: yes
copy tos: no
authentication errors: 0
decryption errors: 0
inner packet warnings: 0
replay packets: 0
packets received
when lifetime expired:0
when lifesize expired:0
sending sequence: 0
receive sequence: 0
encap packets: 809
decap packets: 0
encap bytes: 102808
decap bytes: 0
key acquire requests: 442
owner state: 0
owner cpuid: s1dp0
ownership: 1

 

----------------------------------------------------------------------------------------------------------------

 

Interface: tunnel.4
--------------------------------------------------------------------------------

Logical interface counters read from CPU:
--------------------------------------------------------------------------------
bytes received 0
bytes transmitted 2804416
packets received 0
packets transmitted 16238
receive errors 0
packets dropped 0
packets dropped by flow state check 0
forwarding errors 0
no route 0
arp not found 0
neighbor not found 0
neighbor info pending 0
mac not found 0
packets routed to different zone 0
land attacks 0
ping-of-death attacks 0
teardrop attacks 0
ip spoof attacks 0
mac spoof attacks 0
ICMP fragment 0
layer2 encapsulated packets 0
layer2 decapsulated packets 0
tcp cps 0
udp cps 0
sctp cps 0
other cps 0
--------------------------------------------------------------------------------

 

test routing fib-lookup virtual-router default ip 192.168.11.2

--------------------------------------------------------------------------------
runtime route lookup
--------------------------------------------------------------------------------
virtual-router: default
destination: 192.168.11.2
result:
via 10.1.1.1 interface tunnel.4, source 10.1.1.2, metric 10

----------------------------------------------------------------

 

 

Infos Site B

 

admin@PA220-ENSAN> test routing fib-lookup virtual-router default ip 10.100.100.101

--------------------------------------------------------------------------------
runtime route lookup
--------------------------------------------------------------------------------
virtual-router: default
destination: 10.100.100.101
result:
via 10.1.1.2 interface tunnel.1, source 10.1.1.1, metric 10
--------------------------------------------------------------------------------

admin@PA220-ENSAN> show vpn flow tunnel-id 1

tunnel Tunnel-IPSEC
id: 1
type: IPSec
gateway id: 1
local ip: YYY.YYY.YYY.YYY
peer ip: XXX.XXX.XXX.XXX
inner interface: tunnel.1
outer interface: ethernet1/1
state: active
session: 13687
tunnel mtu: 1424
soft lifetime: 5183974
hard lifetime: 5184000
lifetime remain: 5183999 sec
lifesize remain: N/A
latest rekey: 1 seconds ago
monitor: on
monitor status: down
monitor dest: 10.100.100.101
monitor interval: 3 seconds
monitor threshold: 5 probe losses
monitor bitmap: 00000
monitor packets sent: 433
monitor packets recv: 0
monitor packets seen: 433
monitor packets reply:0
en/decap context: 1229
local spi: FBFE25E2
remote spi: 9569F5C5
key type: auto key
protocol: ESP
auth algorithm: SHA256
enc algorithm: AES256
traffic selector:
protocol: 0
local ip range: 0.0.0.0 - 255.255.255.255
local port range: 0 - 65535
remote ip range: 0.0.0.0 - 255.255.255.255
remote port range: 0 - 65535
anti replay check: no
copy tos: no
authentication errors: 0
decryption errors: 0
inner packet warnings: 0
replay packets: 0
packets received
when lifetime expired:0
when lifesize expired:0
sending sequence: 0
receive sequence: 0
encap packets: 1474
decap packets: 699
encap bytes: 160736
decap bytes: 84424
key acquire requests: 416
owner state: 0
owner cpuid: s1dp0
ownership: 1

 

 

 

Je vous avoue que je ne sais plus trop ou chercher, alors si vous avez une idée....

 

merci

 

 

 

1 accepted solution

Accepted Solutions

La réponse est bete et mechante. Les 2 adresses des Peers doivent appartenir a la meme zone.

Nous avons une topologogie particuliere avec plusieurs liens publiques sans trop rentrer dans les détails et nous avons créé des zones personnalisées pour qu'elles soient plus parlantes que du trust/untrust cela a dû ajouté a la confusion , de plus jusque la je travaillais sur checkpoint ou la notion de zone n'existe pas. Toute la conf vpn etait bonne mais les 2 peer n'etaient pas ds la meme zone , une fois cela corriger le tunnel s'est monté

View solution in original post

4 REPLIES 4

Cyber Elite
Cyber Elite

Hello,

Make sure you have routes setup between the sites so the PAN knows where to route the traffic. Or you can setup dynamic routing so they know.

 

I setup my VPN tunnels with a /30 so each end gets an IP. Then I setup static routes for each IP on the respective PAN so traffic knows there to go. Then test with a ping.

 

Example:

Site A  subet is 192.168.2.0/24 so Site A pan needs a static route to 192.168.99.0/24 destination tunnel interface

 

Site B subnet is 192.168.99.0/24 so SiteB pan needs a static route to 192.168.2.0/24 desitnation tunnel interface

 

Regards,

L1 Bithead

Merci pour cette reponse

Nous avons contrôlé les routes , le NAT, les interfaces et les policies. Notre intégrateur a validé notre configuration. Le vpn ne fonctionne qu'en 1 Way. Le site B recoit et repond, mais le site A n'obtient rien en entrée. Le Compteur decap packets/bytes reste a 0. Nous allons escalder la demande au support Palo Alto.

merci

Bonjour, 

 

Avez-vous pu resoudre votre problème? Nous avons un probléme similaire et je serai très interessée de votre résolution.

 

Bàv,

Eleni

La réponse est bete et mechante. Les 2 adresses des Peers doivent appartenir a la meme zone.

Nous avons une topologogie particuliere avec plusieurs liens publiques sans trop rentrer dans les détails et nous avons créé des zones personnalisées pour qu'elles soient plus parlantes que du trust/untrust cela a dû ajouté a la confusion , de plus jusque la je travaillais sur checkpoint ou la notion de zone n'existe pas. Toute la conf vpn etait bonne mais les 2 peer n'etaient pas ds la meme zone , une fois cela corriger le tunnel s'est monté

  • 1 accepted solution
  • 3476 Views
  • 4 replies
  • 0 Likes
Like what you see?

Show your appreciation!

Click Like if a post is helpful to you or if you just want to show your support.

Click Accept as Solution to acknowledge that the answer to your question has been provided.

The button appears next to the replies on topics you’ve started. The member who gave the solution and all future visitors to this topic will appreciate it!

These simple actions take just seconds of your time, but go a long way in showing appreciation for community members and the LIVEcommunity as a whole!

The LIVEcommunity thanks you for your participation!