서비스 연결에서 디폴트 라우팅하다 광고를 활성화한 후 로그가 Strata Cloud Manager로 전달되지 않는 이유

다음 내용은 logrcvr.log에 기록되어 있습니다.

2024-11-28 13:43:12.227 -0500 Error:  pan_mgmt_secure_conn_ocsp_crl_check(pan_sec_conn_client.c:273): [Secure conn cert verify stage] cert[CN: *.lcaas.prod.ca1.cs.paloaltonetworks.com] revoked, not valid!
2024-11-28 13:43:12.227 -0500 Error:  pan_sec_conn_client_validation_impl(pan_sec_conn_client.c:465): [Secure conn] Failed to verify OCSP/CRL for the certificate.
2024-11-28 13:43:12.227 -0500 Error:  pan_mgmt_peer_validation(pan_sec_conn_client.c:839): Peer validation for server[34.95.13.92] failed
2024-11-28 13:43:12.227 -0500 Error:  pan_conn_mgr_do_connect(cs_conn.c:12959): Untrusted LCaaS cert detected, Error connecting to LCaaS

또한 아래 명령의 출력은 SSL 실패를 보여줍니다.

> 로그 수집기 전달 상태 요청

SSL :
msg : SSL connect retry. sslerr=2
status : failure
timestamp : 2024/11/28 13:43:12

프리즈마 액세스

Prisma에서 SC에서 디폴트 라우팅하다 광고하면 VR1이라는 두 번째 Virtual Router (VR) 생성됩니다.

그러면 loopback.1 인터페이스 가 새로운 Virtual Router (VR) 로 이동합니다.

Prisma 노드는 OCSP/ CRL 검증을 위해 루프백.1을 통한 서비스 경로(service route) 사용합니다.

crl-status {
                source {
                  address <address ommited>;
                  interface loopback.1;

결과적으로 이 트래픽은 이제 SC로 전달되고 결국 온프레미스 방화벽 으로 전달되며 ethernet1/1을 통한 인터넷으로 전달되지 않습니다.

이 트래픽이 명확하게 허용되지 않은 경우 OCSP/ CRL 서버와의 통신이 끊어지고 결과적으로 로깅 서버와의 SSL 터널 설정할 수 없습니다.

이를 극복하기 위해 SCM > 워크플로 > Prisma Access 설정 > 서비스 연결 > 고급 설정에서 CRL/ OCSP 트래픽을 인터넷으로 직접 보내기를 활성화했습니다.

Panorama > 클라우드 서비스 > 구성 > 트래픽 스티어링