Impossible de télécharger les images Pan-OS lorsque le pare-feu est derrière un autre dispositif de sécurité

Demande client

Vous êtes en mesure de cliquer sur "vérifier maintenant" sur la page du logiciel sous Device > Software. Toutefois, lorsque vous cliquez sur «Télécharger» pour télécharger une nouvelle image logicielle, rien ne se passe, ou vous obtenez une erreur sur Timeout.

Nous supposons que la topologie ressemble à ceci:

Trust/DMZ > Palo Alto Networks Firewall > pare-feu/proxy > Internet

Cause

Le problème peut se produire parce que les updates.paloaltonetworks.com sont acheminés vers des réseaux de distribution de contenu (CDN) tels que A23-4-1-166.deploy.static.akamaitechnologies.com. Bien que les IPS CDN sont généralement dynamiques aussi bien, avec les serveurs qui hébergent du contenu et de répondre en fonction de la latence la plus faible.

Résolution

Sur l'autre dispositif de sécurité qui est en face de l'appareil de Palo Alto Networks, le trafic du pare-feu de Palo Alto Networks doit être autorisé à accéder à Downloads.paloaltonetworks.com ainsi que la catégorie CDN si l'appareil (Firewall/proxy ) a la capacité de le faire.