Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Les stratégies NAT ne fonctionnent pas après la mise à niveau v... - Knowledge Base - Palo Alto Networks

Les stratégies NAT ne fonctionnent pas après la mise à niveau vers PanOS 10.2.8

19975
Created On 03/26/24 22:21 PM - Last Modified 02/20/25 21:29 PM


Symptom


  • Les pools d’adresses NAT configurés ne sont liés à aucune interface sur le pare-feu.
  • Le routeur en amont affiche l’entrée ARP correcte pour l’adresse IP du pare-feu.
  • Le routeur en amont n’affiche aucune entrée ARP pour une adresse IP de pare-feu qui fait partie du pool NAT, c’est-à-dire l’adresse qui n’est liée à aucune interface de pare-feu.
  • La capture de paquets ARP montre que les requêtes ARP en amont sont abandonnées. Reportez-vous à la section Comment capturer des paquets ARP  

Environment


  • Pare-feu Palo Alto
  • PAN-OS 10.2.8 et versions ultérieures
  • Traduction d’adresses réseau (NAT)

Cause


  • Dans PAN-OS 10.2.8, une vérification stricte de proxy-arp pour les adresses IP traduites NAT est appliquée.
  • Le pare-feu n’enverra une réponse ARP pour une adresse IP de pool NAT que si l’adresse IP cible de la requête ARP et l’adresse IP de l’interface d’entrée se trouvent dans le même sous-réseau.
Comportement attendu :
  • Les pools d’adresses NAT ne sont liés à aucune interface. La figure suivante illustre le comportement du pare-feu lorsqu’il exécute un ARP proxy pour une adresse dans un pool d’adresses NAT
Strict_NAT_Check_size-8.jpg
  • Le pare-feu effectue un NAT source pour un client, en traduisant l’adresse source 10.1.1.1 en l’adresse du pool NAT, 192.168.2.2. Le paquet traduit est envoyé à un routeur.
  • Pour le trafic de retour, le routeur ne sait pas comment atteindre 192.168.2.2 (car cette adresse IP n’est qu’une adresse dans le pool d’adresses NAT), il envoie donc une requête ARP au pare-feu.
    • Si l’adresse du pool d’adresses 192.168.2.2 se trouve dans le même sous-réseau que l’adresse IP de l’interface de sortie/entrée 192.168.2.3/24, le firewall envoie une réponse ARP proxy au routeur, indiquant l’adresse MAC de couche 2 de cette adresse IP.
    • Si l’adresse IP du pool d’adresses ne fait pas partie d’un sous-réseau sur une interface du micrologiciel, le pare-feu n’enverra pas de réponse ARP proxy au routeur.

 
 

Resolution


  1. Assurez-vous que les adresses du pool d’adresses NAT sont liées à une interface, c’est-à-dire dans le même sous-réseau que l’adresse IP de l’interface.
  2. Si l’adresse du pool NAT ne peut pas faire partie du même sous-réseau qu’une adresse d’interface, créez une route dans le routeur en amont pour cette adresse.
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 238,527
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Xi04CAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language