Firewalls administrados que muestran desconectados del aunque la conectividad de red Panorama sea buena.

Firewalls administrados que muestran desconectados del aunque la conectividad de red Panorama sea buena.

103777
Created On 06/20/22 07:17 AM - Last Modified 10/24/23 17:39 PM


Symptom


  • Los firewalls administrados están desconectados de Panorama lo que está en PAN-OS 10.1.
    • > show panorama-status
  • Pings entre los firewalls y Panorama están funcionando.
  • La salida de Netstat en los firewalls muestra que las conexiones están establecidas en el Panorama puerto 3978.
    • > show netstat all yes numeric-hosts yes numeric-ports yes

Example:
admin@hio-awsgwlbine1e2pafwA-1> show netstat all yes numeric-hosts yes numeric-ports yes | match 172.31.17.171
tcp        0      0 10.59.142.180:56872     172.31.17.171:3978      ESTABLISHED
tcp        0      0 10.59.142.180:33018     172.31.17.171:3978      ESTABLISHED
  • MS.log en el Firewall muestra los siguientes errores:
    • > less mp-log ms.log
 -0700 cmsa: agent index=0
 -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
 -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN
 -0700 [Secure conn] Secure channel for Firewall to panorama communication not enabled for secure conn.
 -0700 Warning:  pan_cmsa_mgmt_assign_ssl_ctx(src_panos/cms_agent.c:2348): client using default (legacy) context
 -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
 -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN
 -0700 COMM: connection established. sock=27 remote ip=XXXX port=3978 local port=60392
 -0700 cms agent: Pre. send buffer limit=46080. s=27
 -0700 cms agent: Post. send buffer limit=2097152. s=27
 -0700 Error:  cs_load_certs_ex(cs_common.c:655): keyfile not exists
 -0700 Error:  pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:883): cms agent: cs_load_certs_ex failed
 -0700 cmsa: client will use default context
 -0700 Error:  sc3_ca_exists(sc3_certs.c:221): SC3: Failed to get the current CA name.
 -0700 Warning:  sc3_init_sc3(sc3_utils.c:351): SC3: Failed to get the Current CC name
 -0700 SC3: CA: '', CC/CSR: 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXX'
 -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
 -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN
 -0700 Warning:  sc3_init_sctx(sc3_ctx.c:323): SC3: not set, skip cert loading
 -0700 SC3A: using SNI (from AK): XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXX
 -0700 SC3A: using sc3 ctx with no cert
 -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
......

       

Environment


  • Firewalls gestionados por Panorama
  • Panorama está en PAN-OS 10.1 y superior
  • Gestionado Firewall PAN-OS 10.1
  • Incorporación segura 

Cause

Resolution


 
  1. Compruebe si existe una clave de autenticación válida en el Panorama :
    • Panorama > clave de autenticación de registro del dispositivo
  2. Cree uno nuevo si aún no existe uno válido:
  3. Elimine el de Dispositivos administrados en el Firewall Panorama y realice una confirmación local Panorama .
    • Panorama Resumen de > de dispositivos administrados de >
  4. Quite la Panorama IP dirección del Firewall y realice un commit local Firewall .
    • Configuración > configuración del > Panorama del dispositivo
  5. Vuelva a agregar el Firewall como dispositivo administrado y Panorama realice una confirmación local Panorama .
  6. Agregue la dirección junto Firewall con la Panorama IP clave de autenticación y realice una confirmación local.
  7. La clave de autenticación se puede encontrar en Panorama > clave de autenticación de registro de dispositivo
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wkjSCAQ&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language