PAN-OS 升级到 10.2 后,Palo Alto 防火墙无法将日志发送到 Panorama 或日志收集器。

PAN-OS 升级到 10.2 后,Palo Alto 防火墙无法将日志发送到 Panorama 或日志收集器。

3892
Created On 11/20/23 02:54 AM - Last Modified 06/19/25 03:14 AM


Symptom


  • 防火墙的 PAN-OS 升级到 10.2+
  • 防火墙上的 >show logging-status 显示与 Panorama/LC 的连接处于非活动状态,并且没有转发任何日志。
  • 数据包捕获指示 tcp 3 向握手完成,客户端 Hello 由固件发送并在 Panorama 上接收。
  • 但是,防火墙上未收到 Panorama 发送的服务器 Hello。
  • 然后,防火墙将重置连接。

Environment


  • PAN-OS 10.2+ 上的全景
  • 防火墙升级到 PAN-OS 10.2+
  • 配置为将日志发送到 Panorama 的防火墙
  • 防火墙和 Panorama 之间的中间防火墙允许在安全规则中的端口 3978 上进行应用程序全景

Cause


  • PAN-OS 升级到 10.2 后,固件和 Panorama 之间的通信开始使用 TLSv1.3。
  • 因此,此通信在 10.2+ 上被标识为“SSL/3978”,而不是在 PAN-OS 10.1 及更早版本上被标识为“panorama/3978”。
  • 路径中中间 PA-FW 上的现有安全规则允许应用程序“全景”,而不是 3978 上的应用程序“SSL”。
  • 因此,中间固件会阻止 Server Hello 上的流量。

Resolution


  1. 在中间防火墙上,更改或配置安全规则以允许端口 3978 上的应用程序“SSL”。
  2. 提交 配置。

Additional Information


为什么端口 3978 上的流量被标识为 SSL 应用程序而不是 Panorama 应用程序?

Pcap 供参考: 
FW pcaps :
13:58:09.954344 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [S], seq 2850888901, win 29200, options [mss 1460,sackOK,TS val 1871328907 ecr 0,nop,wscale 7], length 0
13:58:09.954737 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [S.], seq 3658760759, ack 2850888902, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 8], length 0
13:58:09.954760 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [.], ack 1, win 229, length 0
13:58:09.955314 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [P.], seq 1:387, ack 1, win 229, length 386
13:58:09.956098 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [.], ack 387, win 119, length 0
13:58:09.958796 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [R.], seq 1, ack 387, win 119, length 0
  
Panorama pcaps :
13:58:09.954601 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [S], seq 2850888901, win 29200, options [mss 1460,sackOK,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,wscale 7], length 0
13:58:09.954645 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [S.], seq 3658760759, ack 2850888902, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 8], length 0
13:58:09.954812 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [.], ack 1, win 229, length 0
13:58:09.955982 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [P.], seq 1:387, ack 1, win 229, length 386
13:58:09.956012 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [.], ack 387, win 119, length 0
13:58:09.958136 IP Y.Y.Y.Y.3978 > X.X.X.X.40698: Flags [P.], seq 1:2545, ack 387, win 119, length 2544. <<<<<<<<<< Server Hello not reaching the FW
13:58:09.958811 IP X.X.X.X.40698 > Y.Y.Y.Y.3978: Flags [R.], seq 387, ack 1461, win 119, length 0

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhCiCAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language