Verwaltete Firewalls werden angezeigt Panorama , obwohl die Netzwerkverbindung gut ist.
152108
Created On 06/20/22 07:17 AM - Last Modified 10/24/23 17:39 PM
Symptom
- Verwaltete Firewalls werden von 10.1 PAN-OS getrenntPanorama.
> show panorama-status
- Pings zwischen den Firewalls und Panorama funktionieren.
- Die Netstat-Ausgabe auf den Firewalls zeigt, dass Verbindungen zum Panorama Port 3978 hergestellt werden.
> show netstat all yes numeric-hosts yes numeric-ports yes Example: admin@hio-awsgwlbine1e2pafwA-1> show netstat all yes numeric-hosts yes numeric-ports yes | match 172.31.17.171 tcp 0 0 10.59.142.180:56872 172.31.17.171:3978 ESTABLISHED tcp 0 0 10.59.142.180:33018 172.31.17.171:3978 ESTABLISHED
- MS.log auf der zeigt Firewall die folgenden Fehler: -
> less mp-log ms.log -0700 cmsa: agent index=0 -0700 Warning: sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI -0700 Warning: sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN -0700 [Secure conn] Secure channel for Firewall to panorama communication not enabled for secure conn. -0700 Warning: pan_cmsa_mgmt_assign_ssl_ctx(src_panos/cms_agent.c:2348): client using default (legacy) context -0700 Warning: sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI -0700 Warning: sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN -0700 COMM: connection established. sock=27 remote ip=XXXX port=3978 local port=60392 -0700 cms agent: Pre. send buffer limit=46080. s=27 -0700 cms agent: Post. send buffer limit=2097152. s=27 -0700 Error: cs_load_certs_ex(cs_common.c:655): keyfile not exists -0700 Error: pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:883): cms agent: cs_load_certs_ex failed -0700 cmsa: client will use default context -0700 Error: sc3_ca_exists(sc3_certs.c:221): SC3: Failed to get the current CA name. -0700 Warning: sc3_init_sc3(sc3_utils.c:351): SC3: Failed to get the Current CC name -0700 SC3: CA: '', CC/CSR: 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXX' -0700 Warning: sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI -0700 Warning: sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN -0700 Warning: sc3_init_sctx(sc3_ctx.c:323): SC3: not set, skip cert loading -0700 SC3A: using SNI (from AK): XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXX -0700 SC3A: using sc3 ctx with no cert -0700 Warning: sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI ......
Environment
- Firewalls, die von Panorama
- Panorama ist auf PAN-OS 10.1 und höher
- Verwaltet Firewall PAN-OS 10.1
- Gesichertes Onboarding
Cause
- Um Ihre Sicherheitslage zu stärken, PAN-OS führt 10.1 eine verbesserte gegenseitige Authentifizierung zwischen einem neuen Gerät und Panorama der ersten Verbindung ein.
- Der Authentifizierungsschlüssel für sicheres Onboarding wurde eingeführt.
Resolution
- Überprüfen Sie, ob ein gültiger Authentifizierungsschlüssel auf der folgenden Seite Panorama vorhanden ist:
- Panorama > Authentifizierungsschlüssel für die Geräteregistrierung
- Erstellen Sie eine neue, wenn noch keine gültige vorhanden ist:
- Entfernen Sie die von verwalteten Firewall Geräten auf der und Panorama führen Sie einen lokalen Panorama Commit durch.
- Panorama > Managed Devices > Zusammenfassung
- Entfernen Sie die Panorama IP Adresse aus dem und Firewall führen Sie einen lokalen Firewall Commit durch.
- Einrichtung > Einstellungen für Gerät > Panorama
- Fügen Sie das Firewall Gerät als verwaltetes Gerät wieder hinzu Panorama und führen Sie einen lokalen Panorama Commit durch.
- Fügen Sie die Panorama IP Adresse Firewall zusammen mit dem Authentifizierungsschlüssel hinzu, und führen Sie einen lokalen Commit durch.
- Den Authentifizierungsschlüssel finden Sie unter Panorama > Authentifizierungsschlüssel für die Geräteregistrierung