Dispositivos administrados no puede establecer conexiones con el Panorama después de la configuración de direcciones IP permitidas

Dispositivos administrados no puede establecer conexiones con el Panorama después de la configuración de direcciones IP permitidas

84866
Created On 09/26/18 13:48 PM - Last Modified 07/07/22 04:28 AM


Resolution


Incidencia

Los dispositivos de firewall administrado no mostrar conectados a Panorama y no son capaces de establecer una nueva conexión a Panorama.

Panorama-dispositivo-disconnected.PNG

 

 

Causa

La interfaz de gestión el Panorama fue configurada para direcciones de IP permitido, que no incluye los dispositivos.  incluyen las direcciones IP de la interfaz de firewall desde donde está configurado para conectarse al Panorama (verifica la configuración de ruta de servicio del servidor de seguridad), de lo contrario no será capaz de conectar y enviar registros a Panorama o recibir actualizaciones de la configuración.

Secundaria + caja +-+Mgmt+Access+list.jpg

 

Resolución

Para resolver este problema, desde el panorama webgui, vaya a panorama > Setup > Management > configuración de la interfaz de administración > direcciones IP permitidas y, por favor, agregue la IP de administración (o el rango de red) de los dispositivos administrados a la IP permitida Lista de direcciones para habilitar las comunicaciones de administración apropiadas entre el firewall y el panorama.

Nota: también, asegúrese de que no se ha configurado la misma restricción en el dispositivo cortafuegos que se administrará.

 

HA config

Si los dispositivos de PA están en HA (activo/pasivo) y si deshabilita HA sin suspender la sesión HA entonces los dispositivos regularmente por mantener desconectar del panorama. Reiniciar el firewall lo conseguirá reconecta al panorama pero el problema se repite después de algunos días.

 

Solución: traiga ambos dispositivos en ha, verá tanto los dispositivos conectados panorama. Suspender la sesión HA en los extremos y luego desactivar la HA.

 

Solución de problemas

Para solucionar este problema, puede realizar una captura de paquetes en la interfaz de administración de Panorama.

Deben mostrar paquetes SYN recibidos de dispositivos en Puerto 3978, pero no SYN-ACK se envía del Panorama.

 

Usar los siguientes comandos de la CLI para ver esto:

> filtro de tcpdump "Puerto de 3978"

> ver pcap mgmt-pcap mgmt.pcap

 

Ver también

¿Hay una conexión independiente para registros de la expedición a Panorama?

Solución de problemas de conectividad de Panorama

Alta disponibilidad en M-100 deja de funcionar después de configurar la regla de dirección de IP permitidas en el dispositivo secundario

 

Propietario: dmaynard
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clp2CAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language