Firewalls administrados que muestran desconectados del aunque la conectividad de red Panorama sea buena.
152098
Created On 06/20/22 07:17 AM - Last Modified 10/24/23 17:39 PM
Symptom
- Los firewalls administrados están desconectados de Panorama lo que está en PAN-OS 10.1.
> show panorama-status
- Pings entre los firewalls y Panorama están funcionando.
- La salida de Netstat en los firewalls muestra que las conexiones están establecidas en el Panorama puerto 3978.
> show netstat all yes numeric-hosts yes numeric-ports yes Example: admin@hio-awsgwlbine1e2pafwA-1> show netstat all yes numeric-hosts yes numeric-ports yes | match 172.31.17.171 tcp 0 0 10.59.142.180:56872 172.31.17.171:3978 ESTABLISHED tcp 0 0 10.59.142.180:33018 172.31.17.171:3978 ESTABLISHED
- MS.log en el Firewall muestra los siguientes errores:
> less mp-log ms.log -0700 cmsa: agent index=0 -0700 Warning: sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI -0700 Warning: sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN -0700 [Secure conn] Secure channel for Firewall to panorama communication not enabled for secure conn. -0700 Warning: pan_cmsa_mgmt_assign_ssl_ctx(src_panos/cms_agent.c:2348): client using default (legacy) context -0700 Warning: sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI -0700 Warning: sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN -0700 COMM: connection established. sock=27 remote ip=XXXX port=3978 local port=60392 -0700 cms agent: Pre. send buffer limit=46080. s=27 -0700 cms agent: Post. send buffer limit=2097152. s=27 -0700 Error: cs_load_certs_ex(cs_common.c:655): keyfile not exists -0700 Error: pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:883): cms agent: cs_load_certs_ex failed -0700 cmsa: client will use default context -0700 Error: sc3_ca_exists(sc3_certs.c:221): SC3: Failed to get the current CA name. -0700 Warning: sc3_init_sc3(sc3_utils.c:351): SC3: Failed to get the Current CC name -0700 SC3: CA: '', CC/CSR: 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXX' -0700 Warning: sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI -0700 Warning: sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN -0700 Warning: sc3_init_sctx(sc3_ctx.c:323): SC3: not set, skip cert loading -0700 SC3A: using SNI (from AK): XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXX -0700 SC3A: using sc3 ctx with no cert -0700 Warning: sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI ......
Environment
- Firewalls gestionados por Panorama
- Panorama está en PAN-OS 10.1 y superior
- Gestionado Firewall PAN-OS 10.1
- Incorporación segura
Cause
- Para reforzar su postura de seguridad, PAN-OS 10.1 introduce una autenticación mutua mejorada entre un nuevo dispositivo y Panorama la primera conexión.
- Se ha introducido la clave de autenticación para la incorporación segura.
Resolution
- Compruebe si existe una clave de autenticación válida en el Panorama :
- Panorama > clave de autenticación de registro del dispositivo
- Cree uno nuevo si aún no existe uno válido:
- Elimine el de Dispositivos administrados en el Firewall Panorama y realice una confirmación local Panorama .
- Panorama Resumen de > de dispositivos administrados de >
- Quite la Panorama IP dirección del Firewall y realice un commit local Firewall .
- Configuración > configuración del > Panorama del dispositivo
- Vuelva a agregar el Firewall como dispositivo administrado y Panorama realice una confirmación local Panorama .
- Agregue la dirección junto Firewall con la Panorama IP clave de autenticación y realice una confirmación local.
- La clave de autenticación se puede encontrar en Panorama > clave de autenticación de registro de dispositivo