No se pueden insertar actualizaciones dinámicas desde Panorama firewalls administrados

28296

Created On 03/01/22 08:07 AM - Last Modified 06/08/23 08:05 AM

Symptom

No se pueden insertar actualizaciones dinámicas desde firewalls Panorama administrados,
La inserción de configuración a los firewalls funciona sin ningún problema.
El mensaje de error que se ve es el siguiente

Error message: Failed to upload image. Device msg:'Failed to download <File> Download error: Couldn't connect to server.

El puerto 3978 se utiliza para la comunicación entre Panorama firewalls administrados y Managed Firewalls. Este puerto se utiliza para la administración de dispositivos y la recopilación de registros de dispositivos.
TCP El puerto 28443 se utiliza para que los dispositivos gestionados recuperen actualizaciones de software y contenido de Panorama.
Panorama Comunica su dirección privada IP de administración a los dispositivos administrados en una conexión cifrada a través del puerto 3978.
Esto IP será utilizado por los dispositivos en el puerto 28443 para conectarse Panorama con el fin de obtener las actualizaciones dinámicas. Dado que los firewalls no pueden acceder Panorama utilizando esta IP dirección debido a , se produce un NATerror en la implementación.

A partir de PAN-OS 8.0.8, ejecute el siguiente comando para Panorama compartir el FQDN (que se resuelve en su público IP) con los dispositivos administrados.

 > set dlsrvr server <fqdn>

Asegúrese de abrir TCP el puerto 28443 o configurar app-id "paloalto-updates" en la seguridad en cualquier dispositivo intermedio/grupo de seguridad policy entre el firewall y Panorama.

Nota:

Esto FQDN debe poder resolverse desde los dispositivos administrados.
Para mostrar el valor actual de esta configuración, ejecute el comando "show dlsrvr server".
Si deja de implementar un NAT dispositivo entre Panorama firewalls, elimine el valor ejecutando el comando "delete dlsrvr server".