Firewall incapaz de conectarse a Panorama debido a la fragmentación

30865

Created On 10/24/19 03:44 AM - Last Modified 06/09/23 01:17 AM

Symptom

El firewall no puede conectarse a Panorama debido a la fragmentación y al problema de MTU

Environment

Cualquier Palo Alto Firewalls.
Panorama 7.1 y superior.
PAN-OS 7.1 y superior.

Cause

La fragmentación en los dispositivos de red entre Firewall y Panorama causa el problema. Las comunicaciones FW a panorama se basan en SSL (TCP-3978) que se marca como no fragmentar.
Cuando se envía un paquete Ethernet estándar (1500 bytes de longitud), puede interrumpirse si la infraestructura tiene un valor MTU inferior a 1500.
En el siguiente ejemplo, la MTU se establece como 1500 bytes (predeterminado) y los paquetes de más de 1400 bytes tendrán que fragmentarse antes de que puedan enviarse fuera de la interfaz. Si el indicador Don't Fragment (DF) está establecido en el encabezado IP del paquete, entonces los dispositivos a lo largo de la ruta tendrán que soltar el paquete y enviar el código de error ICMP "Fragmentation needed but DF bit set" (tipo 3, código 4) a la fuente. Dado que se está utilizando una conexión SSL (HTTPS), los paquetes con el certificado de servidor suelen ser paquetes grandes y pueden caerse causando que falle el protocolo de enlace SSL / TLS.

Esto se puede verificar siguiendo los tres pasos siguientes.

Confirme en el firewall que el estado panorama se considera desconectado mediante mostrar el estado del panorama.

fw01 (activo)> mostrar el estado del panorama
Servidor Panorama 1 : 10.66.57.131
    Conectado : no
    Estado ha : desconectado

Servidor Panorama 2 : 10.32.6.131
    Conectado : no
    Estado ha : desconectado

Confirme en el firewall que la conexión a Panorama se muestra como "establecida".

fw01(activo)> mostrar netstat todo sí numérico sí | Partido 3978
TCP 0 0 10.4.110.26:37305 10.66.57.131:3978 ESTABLECIDO
TCP 0 0 10.4.110.26:48055 10.32.6.131:3978 ESTABLECIDO

Con TCPdump, capture los paquetes en la administración del firewall. El PCAP muestra"mala longitud hdr 32 - demasiado largo, > 24" mensaje

20:11:44.017947 IP 10.66.57.131.pan-panorama > 10.4.110.26.34412: P 2897:3250(353) ack 296 ganar 61 <nop,nop,timestamp 1667104066="" 660833754="">
20:11:44.017980 IP 10.4.110.26.34412 > 10.66.57.131.pan-panorama: . ack 1 ganar 115 <nop,nop,timestamp 660833767="" 1667104066,nop,nop,sack="" 1="" {2897:3250}="">
20:11:44.017986 IP 10.66.57.131.pan-panorama > 10.4.110.26.34412: . [longitud hdr mala 32 - demasiado largo, > 24]
20:11:44.364196 IP 10.66.57.131.pan-panorama > 10.4.110.26.34412: . [longitud hdr mala 32 - demasiado largo, > 24]
20:11:44.367325 IP 10.66.57.131 > 10.4.110.26: tcp</nop,nop,timestamp> </nop,nop,timestamp>

Haga ping desde el firewall a Panorama sin fragmento ni valor MTU establecido en el firewall. El ping falla con los mensajes necesarios de Frag .La siguiente salida se recibirá si los dispositivos de red a lo largo de la ruta pueden responder con un ICMP inaccesible.

fw01(activo)> ping do-not-fragment yes size 1500 host 10.66.57.131
Desde 10.4.110.26 icmp_seq=1 Frag necesario y conjunto DF (mtu = 1500)
Desde 10.4.110.26 icmp_seq=1 Frag necesario y conjunto DF (mtu = 1500)
Desde 10.4.110.26 icmp_seq=1 Frag necesario y conjunto DF (mtu = 1500)

NOTA: 10.66.57.131 es la IP panorámica

Repita el paso anterior en la dirección opuesta, desde el panorama hasta el firewall para determinar dónde está nuestro problema.

Resolution

Solución-1

Determine la MTU (unidad de transmisión máxima) exacta que se puede utilizar entre el firewall y Panorama. Para hacer esto, haga ping desde el firewall a Panorama (o viceversa) sin opción de fragmento con diferentes valores de MTU comenzando con el más alto hasta que el ping sea exitoso. En este ejemplo, el tamaño del paquete de 1450 funciona bien sin que se use ninguna opción de fragmento.

fw01 (activo)> ping no fragmento sí tamaño 1450 host 10.66.57.131
PING 10.66.57.131 (10.66.57.131) 1450(1478) bytes de datos.
1458 bytes de 10.66.57.131: icmp_seq=1 ttl=48 tiempo=238 ms
1458 bytes de 10.66.57.131: icmp_seq=2 TTL=48 Tiempo=178 ms

NOTA: 10.66.57.131 es la IP panorámica

Una vez determinado el tamaño de MTU, vaya a la interfaz de administración tanto del firewall como de Panorama y cambie la MTU al valor determinado. En este ejemplo, es 1450.

GUI: Configuración de > dispositivo > interfaces > administración >

Una vez que se cambie el MTU, confirme los cambios en el Firewall y el panorama. La conectividad al panorama debe establecerse en unos segundos.

Solución-2

La mayoría de los firewalls y enrutadores tienen la capacidad de ajustar el valor de MSS en una conexión TCP a través de ellos.Pueden reescribir el valor MSS en los paquetes SYN y SYN-ACK intercambiados entre el cliente y el servidor. Esto se puede usar para establecer el valor de MSS en el valor óptimo de MSS calculado para que tanto el cliente como el servidor construyan sus segmentos con ese tamaño.
El MSS TCP, el tamaño máximo del segmento, es un parámetro del campo de opciones del encabezado TCP que especifica la mayor cantidad de datos, especificados en bytes, que un equipo o dispositivo de comunicaciones puede recibir en un solo segmento TCP. No incluye el encabezado TCP (20bytes) ni el encabezado IP (20bytes).
Este valor de MSS se anuncia (a menudo erróneamente llamado negociación) de ambos lados durante el TCP 3WHS.

Cada lado dice: Puedo aceptar segmentos TCP hasta el tamaño de x.

Una vez que cada lado anuncia su MSS, se espera que el lado remoto envíe paquetes que contengan un segmento TCP no mayor que el valor de MSS anunciado.A continuación se muestra un ejemplo del MSS que se anuncia dentro del 3WHS:

10.1.1.100 192.1.1.100 [SYN] Seq=0 Len=0 MSS=1460 TSV=556758839
192.1.1.100 10.1.1.100 [SYN, ACK] Seq=0 ACK=1 Win=16484 Len=0 MSS=1280 WS=0  
10.1.1.100 192.1.1.100 [ACK] Seq=1 ACK=1 Win=5888 Len=0

Additional Information

Artículos relacionados: Solución de
problemas de conectividad panorámica