Las políticas NAT no funcionan después de actualizar a PanOS 10.2.8

Las políticas NAT no funcionan después de actualizar a PanOS 10.2.8

36712
Created On 03/26/24 22:21 PM - Last Modified 02/20/25 21:29 PM


Symptom


  • Los grupos de direcciones NAT configurados no están enlazados a ninguna interfaz en el firewall.
  • El router ascendente muestra la entrada ARP correcta para la dirección IP del firewall.
  • El enrutador ascendente no muestra ninguna entrada ARP para una dirección IP de firewall que forma parte del grupo NAT, que es la dirección que no está vinculada a ninguna interfaz de firewall.
  • La captura de paquetes ARP muestra las solicitudes ARP de las aguas arriba que se descartan. Refiérase a Cómo capturar paquetes ARP  

Environment


  • Palo Alto Firewalls
  • PAN-OS 10.2.8 y superior
  • Traducción de direcciones de red (NAT)

Cause


  • En PAN-OS 10.2.8 se aplica una comprobación estricta de proxy-arp para direcciones IP traducidas a NAT.
  • El firewall solo enviará una respuesta ARP para una IP de grupo NAT si la IP de destino en la solicitud ARP y la IP de la interfaz de entrada están en la misma subred.
Comportamiento esperado:
  • Los grupos de direcciones NAT no están enlazados a ninguna interfaz. En la figura siguiente se muestra el comportamiento del firewall cuando realiza ARP de proxy para una dirección en un grupo de direcciones NAT
Strict_NAT_Check_size-8.jpg
  • El firewall realiza NAT de origen para un cliente, traduciendo la dirección de origen 10.1.1.1 a la dirección del grupo NAT, 192.168.2.2. El paquete traducido se envía a un router.
  • Para el tráfico de retorno, el router no sabe cómo llegar a 192.168.2.2 (porque esa IP es solo una dirección en el conjunto de direcciones NAT), por lo que envía una solicitud ARP al firewall.
    • Si la dirección del grupo de direcciones 192.168.2.2 se encuentra en la misma subred que la IP de la interfaz de salida/entrada 192.168.2.3/24, el firewall envía una respuesta ARP de proxy al router, indicando la dirección MAC de capa 2 de esa IP.
    • Si la IP del grupo de direcciones no forma parte de una subred en una interfaz en el FW, el firewall no enviará una respuesta ARP de proxy al router.

 
 

Resolution


  1. Asegúrese de que las direcciones del grupo de direcciones NAT estén enlazadas a una interfaz, es decir, en la misma subred que la dirección IP de la interfaz.
  2. Si la dirección del grupo NAT no puede formar parte de la misma subred que una dirección de interfaz, cree una ruta en el enrutador ascendente para esa dirección.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Xi04CAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language