Firewall No se puede hacer ping al nombre de host o FQDN con DNS el servidor accesible

Firewall No se puede hacer ping al nombre de host o FQDN con DNS el servidor accesible

2355
Created On 04/20/21 18:18 PM - Last Modified 05/23/25 21:30 PM


Symptom


Firewall (CLI) no puede hacer ping al nombre de host o FQDN con DNS el servidor accesible

### # Firewall CLI ##

+ Ping a IP la dirección (sin DNS resolución) funcionaría. (por ejemplo: 216.239.35.8 es IP la dirección de time.google.com)admin@fw-01> ping host 216.239.35.8 216.239.35.8 (216.239.35.8): 56 bytes de datos 64 bytes de 216.239.35.8: icmp_seq=0 ttl=84 tiempo=83.518 ms 64 bytes de 216.239.35.8: icmp_seq=1 ttl=84 tiempo=80.949 ms 64 bytes de 216.239.35.8: icmp_seq=2 ttl=84 tiempo=85,729 ms
admin@fw-01> Fuente de ping 172.16.10.1 host 216.239.35.8 216.239.35.8
PING (216.239.35.8) desde 172.16.10.1 :






PING 56(84) bytes de datos.
64 bytes desde 216.239.35.8: icmp_seq=1 ttl=107 tiempo=81,3 ms 64 bytes desde 216.239.35.8: icmp_seq=2 ttl=107 tiempo=89,9 ms

64 bytes desde 216.239.35.8: icmp_seq=3 ttl=107 time=89.2 ms


+ Ping al nombre de host (como time.google.com, etc.) fallaría con "host desconocido"

admin@fw-01> ping host time.google.com ping
: time.google.com

de host desconocido admin@fw-01> origen ping 172.16.10.1 time.google.com de host ping: host desconocido time.google.com


+ El servidor configurado DNS es accesible (por ejemplo: 10.10.10.12)admin@fw-01> Origen ping 172.16.10.1 Host 10.10.10.12 10.10.10.12 (10.10.10.12) desde 172.16.10.1 : 56(84)



PING bytes de datos.
64 bytes desde 10.10.10.12: icmp_seq=1 ttl=122 tiempo=87,6 ms 64 bytes desde 10.10.10.12: icmp_seq=2 ttl=122 tiempo=87,2 ms 64 bytes desde 10.10.10.12: icmp_seq=3 ttl=122 tiempo=87,9 ms




### Captura de paquetes ###Firewall

+ Desde la revisión de pcap, la DNS consulta para el nombre de firewall host se envió correctamente al DNS servidor pero no se recibió respuesta DNS
 

Environment


PAN-OS
Firewall

Cause


+ El problema generalmente ocurre después de firewall la actualización
de panos + Posible corrupción de configuración en la administración en el estado del dispositivo Nota: Al importar el estado
del dispositivo del cliente firewall en firewall el dispositivo de laboratorio, la "Configuración de la interfaz de administraciónIP" mostrará que falta / está vacía (IPdirección y máscara de firewall red)

Imagen de usuario añadido
 

Resolution


Identifique firewall la administraciónIP, la máscara de red y la puerta de enlace predeterminada pertenecen al sospechoso firewally, a continuación, vuelva a configurarlo desde y seguido de CLI "commit force"

> configure
# set deviceconfig system type static# set deviceconfig system ip-address 10.10.0.11
# set deviceconfig system netmask 255.255.255.0# set deviceconfig system default-gateway 10.10.0.1

# commit force

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VBVCA2&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language