Ausgehender Datenverkehr wird von der VM Series Firewall auf Azure gelöscht.

Ausgehender Datenverkehr wird von der VM Series Firewall auf Azure gelöscht.

9965
Created On 11/21/22 14:49 PM - Last Modified 01/07/25 18:48 PM


Symptom


  • In Azure wird ausgehender Datenverkehr von der Zone zur Zone mit Blick auf das öffentliche Internet durch die Firewall der VM -Serie gelöscht.
  • Wenn ein Client in der Zone versucht, eine TCP -Verbindung mit dem Server in der Zone in Azure herzustellen, empfängt die Firewall das erste SYN -Paket erfolgreich, verwirft jedoch das SYN-ACK Paket als Antwort aus der Zone.

Environment


  • Microsoft Azure
  • PA- VM (PAN-OS 10.2.2)

Cause


  • Die meisten Cloud- Schnittstelle -Setups in PAN-OS sind als DHCP konfiguriert, sodass statische IP-Zuweisungen vom Azure Portal aus durchgeführt werden.
  • Wenn DHCP auf einer Schnittstelle aktiviert ist, ist die Option „ Automatisch eine weiterleiten Standard(-) , die auf das vom Server bereitgestellte Standard(-) -Gateway verweist “ aktiviert.
  • Infolgedessen importiert die Firewall der VM -Reihe die Standard(-) von Azure zu 168.63.129.16 . Dies ist die virtuelle öffentliche IP-Adresse von Azure, die zur Kommunikation mit Azure-Plattformressourcen verwendet wird.
  • Wenn die Option in mehr als einer Schnittstelle aktiviert ist, werden die Standard(-) , die auf die jeweilige entsprechende Schnittstelle als nächsten Hop verweisen, mit derselben Standard(-) von 10 in der Routing-Tabelle installiert.
  • Allerdings wird nur die weiterleiten als „ Aktiv “ angezeigt, die zuerst installiert wird ( siehe Screenshot unten ).
  • Wenn daher eine statische Route Standard(-) zum Virtual Router (virtueller Router, VR) hinzugefügt wird , nachdem die Netzwerkschnittstellen mit den oben genannten Importregeln für Standard(-) konfiguriert wurden, verweist die „ aktive “ Standard(-) auf 168.63.129.16 von Azure und blockiert den Datenverkehr, der die Standard(-) ( weiterleiten ) verwendet.
  • Dies wird im Artikel Standardroutenverhalten bei Verwendung einer Schnittstelle als DHCP Client erläutert.
azure-route-table.PNG

Resolution


  1. Wählen Sie die betroffene(n) Schnittstelle(n) unter Netzwerk > Schnittstellen aus
  2. Gehen Sie zur Registerkarte IPv4
  3. Deaktivieren Sie die Option „ Automatisch eine weiterleiten Standard(-) , die auf das vom Server bereitgestellte Standard(-) -Gateway verweist “.
  4. Klicken Sie auf „OK“.
  5. Begehen
azure-network-interface-dhcp-uncheck.PNG

Additional Information


Microsoft Azure-Dokumentation: Was ist die IP-Adresse 168.63.129.16?
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kFHZCA2&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language