Los dispositivos administrados se desconectan debido a un error de panorama SC3 después de cambiar Panoramala dirección IP de

Los dispositivos administrados se desconectan debido a un error de panorama SC3 después de cambiar Panoramala dirección IP de

20431
Created On 10/31/22 22:19 PM - Last Modified 03/17/25 21:02 PM


Symptom


  • Cuando un firewall que estaba conectado se mueve de una ubicación a otra (por ejemplo: de LAN a WAN) y el Panorama IP que FW se panorama conecta cambia.
    • Ejemplo, FW1 estaba conectado a Panorama en ip 10.1.1.1
    • FW1 se mueve a otra sucursal a través de Internet
    • Dado que no se puede acceder a 10.1.1.1 desde la sucursal, la dirección IP del servidor en el firewall se cambia a la panorama dirección IP natted de Panorama, digamos 1.1.1.1
    • Aunque el Panorama servidor no cambió, pero la ip a la que firewall se puede conectar cambió.
  • Cuando se cambia la dirección del y la dirección IP del panorama 'Servidor'Panorama se IP vuelve a configurar en los dispositivos administrados.
  • Si se cumple una de las condiciones anteriores, la conexión de la CMS firewall al panorama fallará con el siguiente error.
 Error: sc3_register(sc3_register.c:265): SC3: Invalid authkey '2:fBVSYj_tQlqZXeKcHuO6c3Rw2LTBT0-NjPifuBA5uGPrHb38EC4FViQwts7uXjF2s4RrSi8lVkD1eCJWE1dIiw' given by Device: <SN>
 
2022-06-27 13:51:42.396 +0200 Warning: sc3_init_sc3(sc3_utils.c:380): SC3: Device CSR set to '2da56629-bc9c-4299-a735-05608f258869'
2022-06-27 13:51:42.396 +0200 SC3: CA: '', CC/CSR: '2da56629-bc9c-4299-a735-05608f258869'
2022-06-27 13:51:42.398 +0200 debug: _get_current_cert(sc3_utils.c:113): sdb node 'cfg.ms.ca' does not exist.
2022-06-27 13:51:42.398 +0200 Warning: sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
2022-06-27 13:51:42.399 +0200 debug: _get_current_cert(sc3_utils.c:113): sdb node 'cfg.ms.cc' does not exist.
2022-06-27 13:51:42.399 +0200 Warning: sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN
2022-06-27 13:51:42.499 +0200 Warning: sc3_init_sctx(sc3_ctx.c:323): SC3: not set, skip cert loading
2022-06-27 13:51:42.499 +0200 SC3A: using SNI (from AK): 7c155262-3fed-425a-995d-e29c1ee3ba73

 

Environment


  • Panorama Firewalls administrados de Palo Alto
  • PAN-OS 10.1.0 o superior

Cause


  • Cuando un dispositivo (FW) se mueve de uno Panorama a otro, la autenticación de registro del dispositivo y los datos relacionados se eliminan automáticamente.
  • Es necesario restablecer el sc3 para poder conectarse a un nuevo Panoramaarchivo .
  • Aunque en el escenario descrito en causa, el panorama servidor no cambió, la IP conectividad cambia. Debido a este restablecimiento de sc3 se realiza de forma proactiva en el FWarchivo .
  • Esto hace que la conexión SC3 falle y los dispositivos administrados permanezcan desconectados.

Resolution


Con el proceso de registro del dispositivo, se requieren los siguientes pasos para realizar la FW conexión con nuevo Panorama para que los certificados antiguos se borren del dispositivo.
  1. Realice el restablecimiento de sc3 en el Firewall comando (No ejecute este comando en Panorama)
Lab-133> request sc3 reset
  1. Reinicie el servidor de administración en el firewall
Lab-133>  debug software restart process management-server
  1. Restablezca el estado de conexión segura de un dispositivo gestionado en Panorama.
Lab-panorama>  clear device-status deviceid <device_SN>
  1. Agregue la clave de registro del dispositivo nuevo o existente en el firewall nuevo para conectarse al panorama

Additional Information


A La solicitud de característica / mejora se archiva a través de para automatizar los pasos anteriores cuando se mueve de uno a PAN-197870 otro y cuando se cambia la Panorama dirección IP del panorama mismo.FW
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kEySCAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language