Firewall kann aufgrund der Fragmentierung keine Verbindung mit Panorama herstellen

30869

Created On 10/24/19 03:44 AM - Last Modified 06/09/23 01:17 AM

Symptom

Die Firewall kann aufgrund von Fragmentierung und MTU-Problemen keine Verbindung zu Panorama herstellen

Environment

Alle Palo Alto Firewalls.
Panorama 7.1 und höher.
PAN-OS 7.1 und höher.

Cause

Die Fragmentierung auf den Netzwerkgeräten zwischen Firewall und Panorama verursacht das Problem. Die Kommunikation zwischen FW und Panorama basiert auf SSL (TCP-3978), das als Do-Not-Fragment gekennzeichnet ist.
Wenn ein Standard-Ethernet-Paket (1500 Byte lang) gesendet wird, kann es verworfen werden, wenn die Infrastruktur einen niedrigeren MTU-Wert als 1500 hat.
Im folgenden Beispiel ist die MTU auf 1500 Byte (Standard) festgelegt, und Pakete mit einer Größe von mehr als 1400 Byte müssen fragmentiert werden, bevor sie aus der Schnittstelle gesendet werden können. Wenn das DF-Flag (Don't Fragment) auf dem IP-Header des Pakets festgelegt ist, müssen die Geräte entlang der Route das Paket verwerfen und den ICMP-Fehlercode "Fragmentation erforderlich, aber DF-Bit gesetzt" (Typ 3, Code 4) an die Quelle senden. Da eine SSL-Verbindung (HTTPS) verwendet wird, handelt es sich bei den Paketen mit dem Serverzertifikat in der Regel um große Pakete, die verworfen werden können, wodurch der SSL/TLS-Handshake fehlschlägt.

Dies kann mit den folgenden drei Schritten überprüft werden.

Bestätigen Sie auf der Firewall, dass der Panoramastatus mithilfe des Anzeigepanoramastatus als getrennt angezeigt wird.

fw01(aktiv)> Panorama-Status anzeigen
Panorama Server 1 : 10.66.57.131
    Verbunden : nein
    HA-Zustand : getrennt

Panorama Server 2 : 10.32.6.131
    Verbunden : nein
    HA-Zustand : getrennt

Bestätigen Sie an der Firewall, dass die Verbindung zu Panorama als "hergestellt" angezeigt wird.

fw01(aktiv)> netstat alle anzeigen Ja Numerisch Ja | Spiel 3978
TCP 0 0 10.4.110.26:37305 10.66.57.131:3978 ANSÄSSIGEN
TCP 0 0 10.4.110.26:48055 10.32.6.131:3978 ANSÄSSIGEN

Erfassen Sie mithilfe von TCPdump die Pakete bei der Firewall-Verwaltung. Die PCAP zeigt"schlechte hdr Länge 32 - zu lang, > 24" Meldung

20:11:44.017947 IP 10.66.57.131.pan-panorama > 10.4.110.26.34412: P 2897:3250(353) ack 296 win 61 <nop,nop,timestamp 1667104066="" 660833754="">
20:11:44.017980 IP 10.4.110.26.34412 > 10.66.57.131.pan-panorama: . ack 1 Sieg 115 <nop,nop,timestamp 660833767="" 1667104066,nop,nop,sack="" 1="" {2897:3250}="">
20:11:44.017986 IP 10.66.57.131.pan-panorama > 10.4.110.26.34412: . [schlechte hdr Länge 32 - zu lang, > 24]
20:11:44.364196 IP 10.66.57.131.pan-panorama > 10.4.110.26.34412: . [schlechte hdr Länge 32 - zu lang, > 24]
20:11:44.367325 IP 10.66.57.131 > 10.4.110.26: tcp</nop,nop,timestamp> </nop,nop,timestamp>

Pingen von der Firewall zu Panorama ohne Fragment und MTU-Wert für die Firewall festgelegt. Der Ping schlägt fehl bei Frag benötigten Nachrichten.Die folgende Ausgabe wird empfangen, wenn die Netzwerkgeräte entlang der Route mit einem ICMP nicht erreichbar antworten können.

fw01(aktiv)> ping do-not-fragment ja Größe 1500 Host 10.66.57.131
Ab 10.4.110.26 icmp_seq=1 Frag benötigt und DF gesetzt (mtu = 1500)
Ab 10.4.110.26 icmp_seq=1 Frag benötigt und DF gesetzt (mtu = 1500)
Ab 10.4.110.26 icmp_seq=1 Frag benötigt und DF gesetzt (mtu = 1500)

HINWEIS: 10.66.57.131 ist die Panorama-IP

Wiederholen Sie den obigen Schritt in die entgegengesetzte Richtung, vom Panorama zur Firewall, um festzustellen, wo unser Problem liegt.

Resolution

Lösung-1

Bestimmen Sie die genaue MTU (Maximum Transmission Unit), die zwischen der Firewall und Panorama verwendet werden kann. Dazu ist Ping von der Firewall zu Panorama (oder umgekehrt) ohne Fragmentoption mit unterschiedlichen MTU-Werten, beginnend mit dem höchsten bis zum Ping, erfolgreich. In diesem Beispiel funktioniert die Paketgröße von 1450 einwandfrei, ohne dass eine Fragmentoption verwendet wird.

fw01(aktiv)> ping do-not-fragment ja Größe 1450 host 10.66.57.131
PING 10.66.57.131 (10.66.57.131) 1450(1478) Bytes an Daten.
1458 Bytes von 10.66.57.131: icmp_seq=1 TTL=48 Zeit=238 ms
1458 Bytes von 10.66.57.131: icmp_seq=2 TTL=48 Zeit=178 ms

HINWEIS: 10.66.57.131 ist die Panorama-IP

Sobald die MTU-Größe ermittelt ist, wechseln Sie zur Verwaltungsschnittstelle der Firewall und von Panorama und ändern Sie die MTU auf den ermittelten Wert. In diesem Beispiel ist es 1450.

GUI: Device > Setup > Interfaces > Management >

Sobald die MTU geändert wurde, übernehmen Sie die Änderungen auf der Firewall und Panorama. Die Anbindung an Panorama sollte innerhalb weniger Sekunden hergestellt werden.

Lösung-2

Die meisten Firewalls und Router sind in der Lage, den MSS-Wert einer TCP-Verbindung über sie anzupassen.Sie können den MSS-Wert für die SYN- und SYN-ACK-Pakete, die zwischen Client und Server ausgetauscht werden, neu schreiben. Dies kann verwendet werden, um den MSS-Wert auf den berechneten optimalen MSS-Wert festzulegen, sodass sowohl Client als auch Server ihre Segmente auf diese Größe erstellen.
TCP MSS, die maximale Segmentgröße, ist ein Parameter des Optionsfelds des TCP-Headers, der die größte Datenmenge in Byte angibt, die ein Computer oder ein Kommunikationsgerät in einem einzelnen TCP-Segment empfangen kann. Der TCP-Header (20 Byte) oder der IP-Header (20 Byte) sind nicht enthalten.
Dieser MSS-Wert wird während des TCP 3WHS von beiden Seiten angekündigt (oft fälschlicherweise als Aushandlung bezeichnet).

Jede Seite sagt: Ich kann TCP-Segmente bis zur Größe von x akzeptieren.

Sobald jede Seite ihre MSS ankündigt, wird erwartet, dass die Remote-Seite Pakete sendet, die ein TCP-Segment enthalten, das nicht größer als der angekündigte MSS-Wert ist.Nachfolgend finden Sie ein Beispiel für die MSS, die im Rahmen des 3WHS angekündigt wird:

10.1.1.100 192.1.1.100 [SYN] seq=0 len=0 mss=1460 TSV=556758839
192.1.1.100 10.1.1.100 [SYN, ACK] Seq=0 Ack=1 Win=16484 Len=0 MSS=1280 WS=0  
10.1.1.100 192.1.1.100 [ACK] seq=1 ack=1 win=5888 len=0

Additional Information