Firewall stellt keine Verbindung zu Panorama her | Gerät sendet ICMP-Nachricht „Fragmentierung erforderlich“
6855
Created On 03/28/23 05:24 AM - Last Modified 12/27/24 09:47 AM
Symptom
- Zur Fehlerbehebung wird Panorama Connectivity verwendet.
- Es wird festgestellt, dass die MTU auf einem Gerät zwischen verwalteter Firewall und Panorama niedriger ist, da das Gerät die ICMP-Meldung „Fragmentierung erforderlich (Typ 3, Code 4)“ sendet.
- Im Idealfall sollte der Host gemäß der Pfad-MTU-Erkennung, wenn er die ICMP-Nachricht „Fragmentierung erforderlich“ empfängt, diese berücksichtigen und seine MTU beim nächsten Verbindungsversuch entsprechend reduzieren. Die verwaltete Firewall sendet jedoch weiterhin mit demselben alten MSS-Wert im TCP SYN -Paket.
Environment
- Panorama verwaltete Firewalls
- Unterstützte PAN-OS
Cause
- Liste zulässiger IP-Adressen, konfiguriert auf der Schnittstelle der verwalteten Firewall.
- Dies führt dazu, dass die ICMP-Meldung „Fragmentierung erforderlich“ die Schnittstelle nicht erreicht und die MTU daher nicht automatisch angepasst wird.
Resolution
- Fügen Sie die IP des Gerät hinzu, das die ICMP-Nachricht „Fragmentierung erforderlich“ gesendet hat, unter
- Verwaltete Firewall GUI > Gerät > Setup > Schnittstelle > Einstellungen der Verwaltungsschnittstelle (Ping-Dienst sollte zugelassen sein)
- Dadurch erreicht die Meldung „Fragmentierung erforderlich“ die Firewall und die MTU wird entsprechend angepasst.
Alternative Lösung:
- Ändern Sie die MTU auf dem Gerät, damit sie der MTU der Firewall -Verwaltung entspricht.
- Verringern Sie die MTU auf der Schnittstelle, damit sie mit dem Gerät übereinstimmt.
- Passen Sie TCP MSS entsprechend an, wenn der Datenverkehr durch die Datenebene der Firewall fließt.