Oi pessoal,
Acabamos de implantar um VM500 na Azure. Tenho um PA-440 no meu escritório e uma operadora de internet separada com um IP estático. Configurei um túnel IPSec S2S regular do PA-440 para o meu VM500 na Azure. O que vejo no sniffer tanto no PA-440 quanto no VM500 na Azure é que o tráfego de saída está seguindo as regras corretas para a VPN em relação às redes pares de cada lado, mas nenhum está recebendo nada de volta. Passei cerca de 12 horas revisando as configurações e não vi nada errado de um lado nem do outro. Nesse ponto, estou achando que o problema está na Azure e estou me perguntando se há algo que estamos deixando passar no lado da Azure para que essa passagem de tráfego realmente aconteça.
Estamos com peering BGP do VM500 para o vWAN na Azure onde está a máquina de testes. Estou redistribuindo rotas estáticas para o BGP no meu VM500 para que o vWAN aprenda sobre o ramo. As NSGs na Azure estão todas configuradas para permitir qualquer coisa em todas as NICs. O IP público de confiança na Azure está deNATando corretamente para o IP privado de confiança definido diretamente na porta de confiança no VM500. Consigo acessar o VM500 via internet aberta pelo IP público de confiança.
Alguém já passou por isso e, se sim, qual foi a solução? Para o que vale, também tenho um ASA na Azure que precisa receber outros túneis S2S de ramo, e ele tem exatamente o mesmo problema, o que reforça minha teoria de que há algo errado na Azure.
Edição: Firewall do Windows está desativado nos dois lados. Ping é permitido em todos os lugares. Recarreguei tanto o PA-440 quanto o VM500. Executei todos os comandos de reinício dos VPNs em ambos os lados. Sem alterações.