Azure CNGFW は、Azure portal で正常性状態が "該当なし" または "異常" のオンプレミス パノラマに接続できません。
8469
Created On 01/30/24 00:14 AM - Last Modified 02/02/24 05:43 AM
Symptom
- Azure portal の Cloud NGFW に "異常" と表示され、正常性上の理由として "ファイアウォールを Panorama に登録できません" と表示されます。
- Panorama 上の Cloud NGFW の IP からトラフィックが観測されていない - Cloud NGFW が Panorama
の [Manage Devices] に表示されません。
Environment
オンプレミス Panorama
PAN-OS 10.2.7 以降
Azure Azure
Plugin バージョン上の Cloud NGFW: 5.1.1
Cause
Azure Portal で正常性状態が "該当なし" と表示される場合:- Cloud NGFW インスタンスはまだ開始フェーズであり、完全にデプロイ
されていない可能性があります 正常性状態が "異常" と表示される場合:
- Azure でのルーティングに問題があるため、リターン トラフィックがパノラマに到達せず、非対称ルーティングにつながる可能性があります
Resolution
ヘルスステータスが「異常」
と表示されるシナリオの場合 - ポート 3978 が Panorama 接続用に開いていることを確認 - Cloud NGFW の IP がホワイトリストに登録され
ていることを確認した - VPN 経由のオンプレミス Panorama アクセスがあるため、VPN ゲートウェイ接続
が正しく設定され、ハブ VNet に Panorama のプライベート IP アドレスを指すルートがあることを確認しました。
- Azure portal の [ネットワークと NAT] の [ソース NAT] で、[上記のパブリック IP アドレスを使用する] オプションがオン
になっていることを確認します。 pcaps を確認した後もリターン トラフィックに問題が解決しない場合は、Azure TAC が関与してルーティングを確認する必要があります。 - このシナリオでは、Azure の既定のルーティング
テーブルでホスト ルートの UDR (ユーザー定義ルート) が欠落しています。 お客様は、Cloud NGFW DNAT IP アドレスの Azure Firewall を指す UDR ホスト ルートを作成し、Panorama との接続の問題を解決しました。
- ファイアウォールが「正常」と表示され、「管理対象デバイス
」の下に表示されていた Azure Portal で正常性状態が "該当なし" と表示されるシナリオの場合:
- これは、クラウド NGFW がまだ完全にデプロイされておらず、Dev
に確認すると開始中と表示される場合に発生します。 - クラウド NGFW がまだ存在しないため、修復は新しいデプロイで行います
Additional Information
DIT-36610