Azure CNGFW no puede conectarse a Panorama local con el estado de mantenimiento "No aplicable" o "Incorrecto" en Azure Portal.

Azure CNGFW no puede conectarse a Panorama local con el estado de mantenimiento "No aplicable" o "Incorrecto" en Azure Portal.

8497
Created On 01/30/24 00:14 AM - Last Modified 02/02/24 05:45 AM


Symptom


- Cloud NGFW en Azure Portal muestra "Incorrecto" con el motivo de mantenimiento "El firewall no se puede registrar en Panorama".
- No se observa tráfico desde la IP de Cloud NGFW en Panorama
: Cloud NGFW no aparece en Panorama en Administrar dispositivos

Environment


On-Prem Panorama
PAN-OS 10.2.7 y superior
Cloud NGFW en Azure Versión del complemento de Azure
: 5.1.1

Cause


Para el estado de mantenimiento que muestra "No aplicable" en Azure Portal:- La instancia de NGFW en la nube aún se encuentra en la fase de inicio y es posible que no se implemente

por completo Para el estado de mantenimiento que muestra "Incorrecto":


CNGFW-health-status-Unhealthy.png

- Puede haber un problema con el enrutamiento en Azure debido a que el tráfico de retorno no llega a la panorámica y conduce al enrutamiento asimétrico
 

Resolution


Para el escenario que muestra el estado de mantenimiento "Incorrecto"
: se ha comprobado que el puerto 3978 está abierto para la conectividad
de Panorama: se ha asegurado de que la IP de Cloud NGFW esté en la lista
blanca: dado que hay acceso panorámico local a través de VPN, asegúrese de que la conexión de puerta de enlace de VPN esté configurada correctamente y de que la red virtual del hub tenga una ruta que apunte a la dirección IP privada de Panorama.
- En Redes y NAT en Azure Portal, en NAT de origen, asegúrese de que la opción "Usar las direcciones IP públicas anteriores" esté activada
imagen (1).png
: si sigue habiendo un problema con el tráfico de retorno después de comprobar los pcaps, el TAC de Azure debe estar involucrado para comprobar el enrutamiento. En este escenario, al cliente le faltaba una UDR (ruta definida por el usuario) para la ruta del host en la tabla de enrutamiento
predeterminada en Azure. El cliente creó una ruta de host UDR que apuntaba a la dirección IP de DNAT de Azure Firewall for the Cloud NGFW y que resolvió el problema de conectividad con Panorama. 
- El firewall aparecía como "Correcto" y aparecía en Dispositivos

administrados Para los escenarios que muestran el estado de mantenimiento como "No aplicable" en Azure Portal:
Esto sucede cuando el NGFW en la nube aún no está completamente implementado y se muestra como iniciando cuando verificamos con Dev
- La corrección debe ir con una implementación nueva, ya que los NGFW en la nube aún no están presentes
 

Additional Information


DIT-36610
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008WrRCAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language