Le pare-feu ne se connecte pas à Panorama | Le appareil intermédiaire envoie un message ICMP indiquant que la fragmentation est nécessaire
6899
Created On 03/28/23 05:24 AM - Last Modified 12/27/24 09:46 AM
Symptom
- Dépannage Panorama Connectivity est utilisé pour le dépannage.
- Il est identifié que le MTU est inférieur sur un appareil intermédiaire entre le pare-feu géré et Panorama en fonction du appareil intermédiaire qui envoie le message ICMP Fragmentation nécessaire (Type 3, Code 4).
- Idéalement, conformément à la découverte du MTU du chemin, lorsque l'hôte reçoit le message ICMP Fragmentation requise , il doit l'honorer et réduire son MTU en conséquence lors de la tentative de connexion suivante. Cependant, le pare-feu géré continue d'envoyer avec la même ancienne valeur MSS dans le paquet TCP SYN .
Environment
- Pare-feu gérés par Panorama
- Système d'exploitation PAN pris en charge
Cause
- Liste d'adresses IP autorisées configurée sur interface de gestion du pare-feu géré.
- Cela empêche le message de fragmentation ICMP nécessaire d'atteindre l' interface de gestion et donc le MTU n'est pas ajusté automatiquement.
Resolution
- Ajoutez l'adresse IP du appareil intermédiaire qui a envoyé le message ICMP Fragmentation requise sous
- Interface graphique du pare-feu géré > Périphérique > Configuration > Interface > Paramètres de l'interface de gestion (le service Ping doit être autorisé)
- Cela permet au message de fragmentation nécessaire d'atteindre le pare-feu et d'ajuster le MTU en conséquence.
solution alternative :
- Modifiez le MTU sur le appareil intermédiaire pour qu'il corresponde au MTU de gestion du pare-feu .
- Réduisez le MTU sur l' interface de gestion pour correspondre au appareil intermédiaire.
- Ajustez le TCP MSS si le trafic circule via le plan de données du pare-feu en conséquence.