Azure CNGFW kann im Azure-Portal keine Verbindung mit dem lokalen Panorama mit dem Integritätsstatus "Nicht zutreffend" oder "Fehlerhaft" herstellen.

Azure CNGFW kann im Azure-Portal keine Verbindung mit dem lokalen Panorama mit dem Integritätsstatus "Nicht zutreffend" oder "Fehlerhaft" herstellen.

8481
Created On 01/30/24 00:14 AM - Last Modified 02/02/24 05:44 AM


Symptom


- Cloud NGFW im Azure-Portal zeigt "Fehlerhaft" mit dem Integritätsgrund "Firewall kann sich nicht bei Panorama registrieren" an.
- Es wird kein Datenverkehr von der IP-Adresse von Cloud NGFW auf Panorama beobachtet - Cloud NGFW wird nicht in Panorama
unter "Geräte verwalten" angezeigt.

Environment


On-Prem Panorama
PAN-OS 10.2.7 und höher
Cloud NGFW in Azure Azure
Plug-In-Version: 5.1.1

Cause


Für den Integritätsstatus, der im Azure-Portal "Nicht zutreffend" anzeigt: Die Cloud-NGFW-Instanz befindet sich noch in der Initiierungsphase und ist möglicherweise noch nicht vollständig bereitgestellt

Für den Integritätsstatus, der "Fehlerhaft" anzeigt:

- Möglicherweise liegt ein Problem mit dem Routing in Azure vor,
CNGFW-health-status-Unhealthy.png

aufgrund dessen der zurückgegebene Datenverkehr das Panorama nicht erreicht und zu asymmetrischem Routing führt
 

Resolution


Für ein Szenario, in dem der Integritätsstatus "Fehlerhaft
" angezeigt wird: Überprüft, ob Port 3978 für Panorama-Konnektivität geöffnet ist. - Stellen Sie sicher, dass die IP-Adresse von Cloud NGFW auf der Whitelist
steht. - Da der lokale Panoramazugriff über VPN verfügbar ist, wurde sichergestellt, dass die VPN-Gatewayverbindung ordnungsgemäß eingerichtet ist und das Hub-VNet über eine Route verfügt, die auf die private IP-Adresse
von Panorama verweist.
- Stellen Sie sicher, dass im Azure-Portal unter "Netzwerk und NAT" unter "Quell-NAT" die Option "Oben genannte öffentliche IP-Adressen verwenden" aktiviert
Bild (1). png
ist. Wenn nach dem Überprüfen der pcaps immer noch ein Problem mit dem zurückgegebenen Datenverkehr auftritt, muss Azure TAC einbezogen werden, um das Routing
zu überprüfen. In diesem Szenario fehlte beim Kunden eine benutzerdefinierte UDR (User Defined Route) für die Hostroute in der Standardroutingtabelle in Azure. Der Kunde hat eine UDR-Hostroute erstellt, die auf die adressierte NGFW-DNAT-IP-Adresse von Azure Firewall für die Cloud verweist und das Problem der Konnektivität mit Panorama behoben hat. 
- Die Firewall wurde als "Fehlerfrei" und unter "Verwaltete Geräte

" angezeigt. Für die Szenarien, in denen der Integritätsstatus im Azure-Portal als "Nicht zutreffend" angezeigt wird: Dies geschieht, wenn die Cloud-NGFW noch nicht vollständig bereitgestellt ist, und wird als initiierend angezeigt, wenn wir mit Dev
überprüfen. Die Korrektur ist mit einer neuen Bereitstellung zu erfolgen,
da die Cloud-NGFWs immer noch nicht vorhanden sind
 

Additional Information


DIT-36610-KARTON
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008WrRCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language