Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
NAT-Richtlinien funktionieren nach dem Upgrade auf PanOS 10.2.8... - Knowledge Base - Palo Alto Networks

NAT-Richtlinien funktionieren nach dem Upgrade auf PanOS 10.2.8 nicht

19973
Created On 03/26/24 22:21 PM - Last Modified 02/20/25 21:29 PM


Symptom


  • Konfigurierte NAT-Adresspools sind nicht an eine Schnittstelle in der Firewall gebunden.
  • Der Upstream-Router zeigt den korrekten ARP-Eintrag für die IP-Adresse der Firewall an.
  • Der Upstream-Router zeigt keine ARP-Einträge für eine Firewall-IP-Adresse an, die Teil des NAT-Pools ist, bei der es sich um die Adresse handelt, die nicht an eine Firewall-Schnittstelle gebunden ist.
  • Die ARP-Paketerfassung zeigt an, dass die ARP-Anforderungen vom Upstream verworfen werden. Siehe So erfassen Sie ARP-Pakete  

Environment


  • Palo Alto Firewalls
  • PAN-OS 10.2.8 und höher
  • Netzwerkadressübersetzung (Network Address Translation, NAT)

Cause


  • In PAN-OS 10.2.8 wird eine strenge Prüfung auf proxy-arp für NAT-übersetzte IPs erzwungen.
  • Die Firewall sendet nur dann eine ARP-Antwort für eine NAT-Pool-IP, wenn sich die Ziel-IP in der ARP-Anforderung und die IP-Adresse der Eingangsschnittstelle im selben Subnetz befinden.
Erwartetes Verhalten:
  • NAT-Adresspools sind nicht an Schnittstellen gebunden. Die folgende Abbildung veranschaulicht das Verhalten der Firewall beim Ausführen von Proxy-ARP für eine Adresse in einem NAT-Adresspool
Strict_NAT_Check_size-8.jpg
  • Die Firewall führt Quell-NAT für einen Client aus und übersetzt die Quelladresse 10.1.1.1 in die Adresse im NAT-Pool 192.168.2.2. Das übersetzte Paket wird an einen Router weitergeleitet.
  • Für den Rückverkehr weiß der Router nicht, wie er 192.168.2.2 erreichen kann (da diese IP nur eine Adresse im NAT-Adresspool ist), daher sendet er eine ARP-Anfrage an die Firewall.
    • Wenn sich die Adresspooladresse 192.168.2.2 im selben Subnetz wie die IP-Adresse 192.168.2.3/24 der Ausgangs-/Eingangsschnittstelle befindet, sendet die Firewall eine Proxy-ARP-Antwort an den Router, die die Layer-2-MAC-Adresse dieser IP angibt.
    • Wenn die IP-Adresse des Adresspools nicht Teil eines Subnetzes auf einer Schnittstelle in der Firmeninstanz ist, sendet die Firewall keine Proxy-ARP-Antwort an den Router.

 
 

Resolution


  1. Stellen Sie sicher, dass die Adressen des NAT-Adresspools an eine Schnittstelle gebunden sind, d. h. an dasselbe Subnetz wie die IP-Adresse der Schnittstelle.
  2. Wenn die Adresse des NAT-Pools nicht Teil desselben Subnetzes wie eine Schnittstellenadresse sein kann, erstellen Sie eine Route im Upstreamrouter für diese Adresse.
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 238,527
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Xi04CAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language