Impossible d’envoyer les mises à jour dynamiques de Panorama vers les pare-feu gérés

• Impossible d’envoyer les mises à jour dynamiques des pare-feu Panorama gérés,
• Config push to firewalls fonctionne sans aucun problème.
• Le message d’erreur affiché est le suivant

Error message: Failed to upload image. Device msg:'Failed to download <File> Download error: Couldn't connect to server.

• PAN-OS 8.0 ou version ultérieure
• Panorama derrière un NAT appareil
• Panorama a un public IP configuré
• Pare-feu configurés pour utiliser Panorama des pare-feu publics IP

• Le port 3978 est utilisé pour la communication entre Panorama les pare-feu gérés et les pare-feu gérés. Ce port est utilisé pour la gestion des périphériques et la collecte du journal des périphériques.
• TCP Le port 28443 permet aux périphériques gérés de récupérer les mises à jour logicielles et de contenu à partir de Panorama.
• Panorama communique son adresse privée IP de gestion aux périphériques gérés sur une connexion chiffrée via le port 3978.
• Cela IP sera utilisé par les périphériques sur le port 28443 pour se connecter Panorama afin de récupérer les mises à jour dynamiques. Étant donné que les pare-feu ne peuvent pas atteindre Panorama à l’aide de cette IP adresse en raison de NAT, le déploiement échoue.

1. À partir de PAN-OS la version 8.0.8 et ultérieure, exécutez la commande ci-dessous pour Panorama partager le FQDN (qui se résout dans son public IP) avec les appareils gérés.

 > set dlsrvr server <fqdn>​

2. Assurez-vous d’ouvrir TCP le port 28443 ou de configurer app-id « paloalto-updates » dans la sécurité sur tous les périphériques/groupes de sécurité policy intermédiaires entre le firewall et Panorama.

• Ce problème FQDN doit pouvoir être résolu à partir des appareils gérés.
• Pour afficher la valeur actuelle de ce paramètre, exécutez la commande « show dlsrvr server ».
• Si vous arrêtez de déployer un NAT périphérique entre Panorama et des pare-feu, supprimez la valeur en exécutant la commande « delete dlsrvr server ».

​​​​