Le pare-feu Palo Alto n’est pas en mesure d’envoyer des journaux au collecteur Panorama ou Log après la mise à niveau de PAN-OS vers la version 10.2.

• Mise à niveau du pare-feu PAN-OS vers la version 10.2+
• >show logging-status sur le pare-feu indique que la connexion au Panorama/LC est inactive et qu’aucun journal n’est transféré.
• Les captures de paquets indiquent que l’établissement de liaison tcp à 3 voies terminé avec Client Hello est envoyé par le micrologiciel et reçu sur le Panorama.
• Cependant, le Server Hello envoyé par le Panorama n’est pas reçu sur le Firewall.
• Ensuite, le pare-feu réinitialise la connexion.

• Panorama sur PAN-OS 10.2+
• Pare-feu mis à niveau vers PAN-OS 10.2+
• Pare-feu configuré pour envoyer des journaux à Panorama
• Pare-feu intermédiaire entre le pare-feu et le panorama permettant le panorama de l’application sur le port 3978 dans la règle de sécurité

• Après la mise à niveau de PAN-OS vers la version 10.2, la communication entre le micrologiciel et Panorama commence à l’aide de TLSv1.3.
• Par conséquent, cette communication est identifiée comme « SSL/3978 » sur 10.2+ au lieu de « panorama/3978 » comme sur PAN-OS 10.1 et versions antérieures.
• La règle de sécurité existante sur le PA-FW intermédiaire dans le chemin autorise l’application « panorama » et non l’application « SSL » sur 3978.
• Ainsi, le micrologiciel intermédiaire bloque le trafic au niveau du serveur Hello.

1. Sur le pare-feu intermédiaire, modifiez ou configurez la règle de sécurité pour autoriser l’application « SSL » sur le port 3978.
2. Validez la configuration.

Pourquoi le trafic sur le port 3978 est-il identifié comme application SSL au lieu de l’application Panorama ?

FW pcaps :
13:58:09.954344 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [S], seq 2850888901, win 29200, options [mss 1460,sackOK,TS val 1871328907 ecr 0,nop,wscale 7], length 0
13:58:09.954737 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [S.], seq 3658760759, ack 2850888902, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 8], length 0
13:58:09.954760 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [.], ack 1, win 229, length 0
13:58:09.955314 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [P.], seq 1:387, ack 1, win 229, length 386
13:58:09.956098 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [.], ack 387, win 119, length 0
13:58:09.958796 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [R.], seq 1, ack 387, win 119, length 0

Panorama pcaps :
13:58:09.954601 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [S], seq 2850888901, win 29200, options [mss 1460,sackOK,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,wscale 7], length 0
13:58:09.954645 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [S.], seq 3658760759, ack 2850888902, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 8], length 0
13:58:09.954812 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [.], ack 1, win 229, length 0
13:58:09.955982 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [P.], seq 1:387, ack 1, win 229, length 386
13:58:09.956012 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [.], ack 387, win 119, length 0
13:58:09.958136 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [P.], seq 1:2545, ack 387, win 119, length 2544. <<<<<<<<<< Server Hello not reaching the FW
13:58:09.958811 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [R.], seq 387, ack 1461, win 119, length 0