サービス接続でデフォルトルーティングするアドバタイズを有効にした後、ログが Strata Cloud Manager に転送されない理由

logrcvr.logに以下の内容が記録されます

2024-11-28 13:43:12.227 -0500 Error:  pan_mgmt_secure_conn_ocsp_crl_check(pan_sec_conn_client.c:273): [Secure conn cert verify stage] cert[CN: *.lcaas.prod.ca1.cs.paloaltonetworks.com] revoked, not valid!
2024-11-28 13:43:12.227 -0500 Error:  pan_sec_conn_client_validation_impl(pan_sec_conn_client.c:465): [Secure conn] Failed to verify OCSP/CRL for the certificate.
2024-11-28 13:43:12.227 -0500 Error:  pan_mgmt_peer_validation(pan_sec_conn_client.c:839): Peer validation for server[34.95.13.92] failed
2024-11-28 13:43:12.227 -0500 Error:  pan_conn_mgr_do_connect(cs_conn.c:12959): Untrusted LCaaS cert detected, Error connecting to LCaaS

また、以下のコマンドの出力にはSSLの失敗が示されています。

> ログコレクター転送ステータスを要求

SSL :
msg : SSL connect retry. sslerr=2
status : failure
timestamp : 2024/11/28 13:43:12

プリズマアクセス

Prisma の SC からデフォルトルーティングするをアドバタイズすると、VR1 と呼ばれる 2 番目のvirtual router ( 仮想ルーター - VR)が作成されます。

これにより、loopback.1インターフェイスが新しいvirtual router ( 仮想ルーター - VR)に移動します。

Prismaノードは、 OCSP/ CRL検証のためにループバック1経由のサービス ルートを使用します。

crl-status {
                source {
                  address <address ommited>;
                  interface loopback.1;

その結果、このトラフィックは ethernet1/1 経由でインターネットに転送されるのではなく、 SC に転送され、最終的にはオンプレミスのファイアウォールに転送されるようになりました。

このトラフィックが明示的に許可されていない場合、 OCSP/ CRLサーバーとの通信が切断され、結果としてログ サーバーとの SSLトンネルを確立できなくなります。

これを克服するために、SCM > ワークフロー > Prisma Access セットアップ > サービス接続 > 詳細設定から、 CRL/ OCSPトラフィックをインターネットに直接送信するを有効にしました。

Panorama >クラウドサービス >構成 >トラフィックステアリング