Die Palo Alto Firewall ist nach dem PAN-OS-Upgrade auf 10.2 nicht in der Lage, Protokolle an das Panorama oder den Log-Collector zu senden.

• PAN-OS Upgrade der Firewall auf 10.2+
• >show logging-status auf der Firewall zeigt an, dass die Verbindung zum Panorama/LC inaktiv ist und keine Logs weitergeleitet werden.
• Paketerfassungen weisen darauf hin, dass der 3-Wege-TCP-Handshake, der mit Client Hello abgeschlossen wurde, von der Firmanz gesendet und im Panorama empfangen wurde.
• Das vom Panorama gesendete Server-Hallo wird jedoch nicht von der Firewall empfangen.
• Dann setzt die Firewall die Verbindung zurück.

• Panorama unter PAN-OS 10.2+
• Firewall auf PAN-OS 10.2+ aktualisiert
• Die Firewall ist so konfiguriert, dass Protokolle an Panorama gesendet werden
• Zwischenfirewall zwischen Firewall und Panorama, die das Anwendungspanorama auf Port 3978 in der Sicherheitsregel zulässt

• Nach dem PAN-OS-Upgrade auf 10.2 beginnt die Kommunikation zwischen der Firmware und Panorama mit TLSv1.3.
• Daher wird diese Kommunikation unter 10.2+ als "SSL/3978" und nicht wie unter PAN-OS 10.1 und früher als "panorama/3978" identifiziert.
• Die vorhandene Sicherheitsregel für die zwischengeschaltete PA-FW im Pfad erlaubt die Anwendung "Panorama" und nicht die Anwendung "SSL" auf 3978.
• Somit blockiert die Zwischenfirme den Datenverkehr am Server Hello.

1. Ändern oder konfigurieren Sie in der Zwischenfirewall die Sicherheitsregel so, dass die Anwendung "SSL" auf Port 3978 zugelassen wird.
2. Führen Sie einen Commit für die Konfiguration aus.

Warum wird der Datenverkehr auf Port 3978 als SSL-Anwendung und nicht als Panorama-Anwendung identifiziert?

FW pcaps :
13:58:09.954344 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [S], seq 2850888901, win 29200, options [mss 1460,sackOK,TS val 1871328907 ecr 0,nop,wscale 7], length 0
13:58:09.954737 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [S.], seq 3658760759, ack 2850888902, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 8], length 0
13:58:09.954760 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [.], ack 1, win 229, length 0
13:58:09.955314 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [P.], seq 1:387, ack 1, win 229, length 386
13:58:09.956098 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [.], ack 387, win 119, length 0
13:58:09.958796 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [R.], seq 1, ack 387, win 119, length 0

Panorama pcaps :
13:58:09.954601 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [S], seq 2850888901, win 29200, options [mss 1460,sackOK,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,wscale 7], length 0
13:58:09.954645 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [S.], seq 3658760759, ack 2850888902, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 8], length 0
13:58:09.954812 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [.], ack 1, win 229, length 0
13:58:09.955982 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [P.], seq 1:387, ack 1, win 229, length 386
13:58:09.956012 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [.], ack 387, win 119, length 0
13:58:09.958136 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [P.], seq 1:2545, ack 387, win 119, length 2544. <<<<<<<<<< Server Hello not reaching the FW
13:58:09.958811 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [R.], seq 387, ack 1461, win 119, length 0