Azure CNGFW ne peut pas se connecter à On-Prem Panorama avec l’état d’intégrité « Non applicable » ou « Défectueux » sur le portail Azure.

Azure CNGFW ne peut pas se connecter à On-Prem Panorama avec l’état d’intégrité « Non applicable » ou « Défectueux » sur le portail Azure.

8481
Created On 01/30/24 00:14 AM - Last Modified 02/02/24 05:44 AM


Symptom


- Cloud NGFW sur le portail Azure affiche « Défectueux » avec la raison d’intégrité « Le pare-feu ne peut pas s’inscrire à Panorama ».
- Aucun trafic n’est observé à partir de l’adresse IP du pare-feu de nouvelle génération cloud sur Panorama : le pare-feu de nouvelle génération du cloud n’apparaît pas dans Panorama
sous Gérer les appareils.

Environment


Panorama
sur site PAN-OS 10.2.7 et versions ultérieures
Cloud NGFW sur Azure Version du plug-in Azure
: 5.1.1

Cause


Pour l’état d’intégrité indiquant « Non applicable » sur le portail Azure :- L’instance Cloud NGFW est toujours en phase d’initiation et peut ne pas être entièrement déployée

Pour l’état d’intégrité indiquant « Défectueux » :


CNGFW-health-status-Unhealthy.png

- Il peut y avoir un problème de routage dans Azure en raison duquel le trafic de retour n’atteint pas le panorama et conduit à un routage asymétrique
 

Resolution


Pour le scénario affichant l’état d’intégrité « Défectueux »
- Vérifiez que le port 3978 est ouvert pour la connectivité
Panorama - Assurez-vous que l’adresse IP de Cloud NGFW est sur liste
blanche - Étant donné qu’il existe un accès panoramique sur site via VPN, assurez-vous que la connexion de la passerelle VPN est correctement configurée et que le réseau virtuel hub dispose d’une route pointant vers l’adresse IP privée de Panorama.
- Sous Mise en réseau et NAT dans le portail Azure, sous NAT source, assurez-vous que l’option « Utiliser les adresses IP publiques ci-dessus » est cochée
image (1). png
- S’il y a toujours un problème avec le trafic de retour après la vérification des pcaps, le TAC Azure doit être impliqué pour vérifier le routage- Dans ce scénario, le client avait un UDR (route définie par l’utilisateur) manquant pour l’itinéraire hôte sous la table de routage
par défaut dans Azure. Le client a créé une route d’hôte UDR pointant vers le Pare-feu Azure pour l’adresse IP DNAT NGFW du cloud et qui a résolu le problème de connectivité avec Panorama. 
- Le pare-feu s’affichait comme « sain » et s’affichait sous Appareils

gérés Pour les scénarios affichant l’état d’intégrité comme « Non applicable » sur le portail Azure :
- Cela se produit lorsque le pare-feu de nouvelle génération dans le cloud n’est toujours pas entièrement déployé et s’affiche comme étant en cours d’initiation lorsque nous vérifions auprès de Dev- La correction consiste à effectuer un nouveau déploiement, car les pare-feu de
nouvelle génération du cloud ne sont toujours pas présents.
 

Additional Information


DIT-36610
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008WrRCAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language