El firewall no se conecta a Panorama | El dispositivo intermedio envía un mensaje ICMP de Fragmentación necesaria
9153
Created On 03/28/23 05:24 AM - Last Modified 12/27/24 09:49 AM
Symptom
- Panorama Connectivity se utiliza para solucionar problemas.
- Se identifica que la MTU es menor en un dispositivo intermedio entre el cortafuegos administrado y Panorama según el dispositivo intermedio que envía el mensaje ICMP Fragmentación necesaria (Tipo 3, Código 4).
- Idealmente, según el descubrimiento de Path MTU, cuando el host recibe el mensaje ICMP Fragmentación necesaria , debería respetarlo y reducir su MTU en consecuencia en el intento de conexión posterior; sin embargo, el cortafuegos administrado continúa enviando con el mismo valor MSS anterior en el paquete TCP SYN .
Environment
- Firewalls administrados por Panorama
- Sistema operativo PAN compatible
Cause
- Lista de IP permitidas configurada en la interfaz de administración del cortafuegos administrado.
- Esto provoca que el mensaje de fragmentación ICMP necesario no llegue a la interfaz de administración y, por lo tanto, la MTU no se ajuste automáticamente.
Resolution
- Agregue la IP del dispositivo intermedio que envió el mensaje ICMP Fragmentación necesaria en
- GUI del cortafuegos administrado > Dispositivo > Configuración > Interfaz > Configuración de la interfaz de administración (el servicio de ping debe estar permitido)
- Esto hace que el mensaje de Fragmentación necesaria llegue al cortafuegos y ajustará la MTU en consecuencia.
solución alternativa:
- Cambie la MTU en el dispositivo intermedio para que coincida con la MTU de administración del cortafuegos .
- Reducir la MTU en la interfaz de administración para que coincida con el dispositivo intermedio.
- Ajuste TCP MSS, si el tráfico fluye a través del plano de datos del cortafuegos en consecuencia.