Palo Alto Firewall no puede enviar registros al recopilador Panorama o Log después de la actualización de PAN-OS a la versión 10.2.

Palo Alto Firewall no puede enviar registros al recopilador Panorama o Log después de la actualización de PAN-OS a la versión 10.2.

3894
Created On 11/20/23 02:54 AM - Last Modified 06/19/25 03:14 AM


Symptom


  • PAN-OS actualizado del Firewall a 10.2+
  • >show logging-status en el cortafuegos muestra que la conexión al Panorama/LC está inactiva y que no se están reenviando registros.
  • Las capturas de paquetes indican que el protocolo de enlace tcp de 3 vías se completó con el saludo del cliente enviado por el FW y recibido en el Panorama.
  • Sin embargo, el saludo del servidor enviado por el Panorama no se recibe en el cortafuegos.
  • A continuación, el cortafuegos restablece la conexión.

Environment


  • Panorama en PAN-OS 10.2+
  • Firewall actualizado a PAN-OS 10.2+
  • Firewall configurado para enviar registros a Panorama
  • Firewall intermedio entre el firewall y Panorama, lo que permite el panorama de la aplicación en el puerto 3978 en la regla de seguridad

Cause


  • Después de la actualización de PAN-OS a la versión 10.2, la comunicación entre el firmware y Panorama comienza mediante TLSv1.3.
  • Por lo tanto, esta comunicación se identifica como "SSL/3978" en 10.2+ en lugar de "panorama/3978" como en PAN-OS 10.1 y versiones anteriores.
  • La regla de seguridad existente en el PA-FW intermedio en la ruta permite la aplicación "panorama" y no la aplicación "SSL" en 3978.
  • Por lo tanto, el FW intermedio bloquea el tráfico en el servidor Hello.

Resolution


  1. En el firewall intermedio, cambie o configure la regla de seguridad para permitir la aplicación "SSL" en el puerto 3978.
  2. Confirme la configuración.

Additional Information


¿Por qué el tráfico en el puerto 3978 se identifica como aplicación SSL en lugar de aplicación Panorama?

Pcaps como referencia: 
FW pcaps :
13:58:09.954344 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [S], seq 2850888901, win 29200, options [mss 1460,sackOK,TS val 1871328907 ecr 0,nop,wscale 7], length 0
13:58:09.954737 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [S.], seq 3658760759, ack 2850888902, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 8], length 0
13:58:09.954760 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [.], ack 1, win 229, length 0
13:58:09.955314 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [P.], seq 1:387, ack 1, win 229, length 386
13:58:09.956098 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [.], ack 387, win 119, length 0
13:58:09.958796 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [R.], seq 1, ack 387, win 119, length 0
  
Panorama pcaps :
13:58:09.954601 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [S], seq 2850888901, win 29200, options [mss 1460,sackOK,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,wscale 7], length 0
13:58:09.954645 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [S.], seq 3658760759, ack 2850888902, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 8], length 0
13:58:09.954812 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [.], ack 1, win 229, length 0
13:58:09.955982 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [P.], seq 1:387, ack 1, win 229, length 386
13:58:09.956012 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [.], ack 387, win 119, length 0
13:58:09.958136 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [P.], seq 1:2545, ack 387, win 119, length 2544. <<<<<<<<<< Server Hello not reaching the FW
13:58:09.958811 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [R.], seq 387, ack 1461, win 119, length 0

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhCiCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language