Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Firewalls administrados que muestran desconectados del aunque l... - Knowledge Base - Palo Alto Networks

Firewalls administrados que muestran desconectados del aunque la conectividad de red Panorama sea buena.

152098
Created On 06/20/22 07:17 AM - Last Modified 10/24/23 17:39 PM


Symptom


  • Los firewalls administrados están desconectados de Panorama lo que está en PAN-OS 10.1.
    • > show panorama-status
  • Pings entre los firewalls y Panorama están funcionando.
  • La salida de Netstat en los firewalls muestra que las conexiones están establecidas en el Panorama puerto 3978.
    • > show netstat all yes numeric-hosts yes numeric-ports yes
      
      Example:
      admin@hio-awsgwlbine1e2pafwA-1> show netstat all yes numeric-hosts yes numeric-ports yes | match 172.31.17.171
      tcp        0      0 10.59.142.180:56872     172.31.17.171:3978      ESTABLISHED
      tcp        0      0 10.59.142.180:33018     172.31.17.171:3978      ESTABLISHED
  • MS.log en el Firewall muestra los siguientes errores:
    • > less mp-log ms.log
       -0700 cmsa: agent index=0
       -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
       -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN
       -0700 [Secure conn] Secure channel for Firewall to panorama communication not enabled for secure conn.
       -0700 Warning:  pan_cmsa_mgmt_assign_ssl_ctx(src_panos/cms_agent.c:2348): client using default (legacy) context
       -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
       -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN
       -0700 COMM: connection established. sock=27 remote ip=XXXX port=3978 local port=60392
       -0700 cms agent: Pre. send buffer limit=46080. s=27
       -0700 cms agent: Post. send buffer limit=2097152. s=27
       -0700 Error:  cs_load_certs_ex(cs_common.c:655): keyfile not exists
       -0700 Error:  pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:883): cms agent: cs_load_certs_ex failed
       -0700 cmsa: client will use default context
       -0700 Error:  sc3_ca_exists(sc3_certs.c:221): SC3: Failed to get the current CA name.
       -0700 Warning:  sc3_init_sc3(sc3_utils.c:351): SC3: Failed to get the Current CC name
       -0700 SC3: CA: '', CC/CSR: 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXX'
       -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
       -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN
       -0700 Warning:  sc3_init_sctx(sc3_ctx.c:323): SC3: not set, skip cert loading
       -0700 SC3A: using SNI (from AK): XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXX
       -0700 SC3A: using sc3 ctx with no cert
       -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
      ......
      

       


Environment


  • Firewalls gestionados por Panorama
  • Panorama está en PAN-OS 10.1 y superior
  • Gestionado Firewall PAN-OS 10.1
  • Incorporación segura 


Cause




Resolution


 
  1. Compruebe si existe una clave de autenticación válida en el Panorama :
    • Panorama > clave de autenticación de registro del dispositivo
  2. Cree uno nuevo si aún no existe uno válido:
  3. Elimine el de Dispositivos administrados en el Firewall Panorama y realice una confirmación local Panorama .
    • Panorama Resumen de > de dispositivos administrados de >
  4. Quite la Panorama IP dirección del Firewall y realice un commit local Firewall .
    • Configuración > configuración del > Panorama del dispositivo
  5. Vuelva a agregar el Firewall como dispositivo administrado y Panorama realice una confirmación local Panorama .
  6. Agregue la dirección junto Firewall con la Panorama IP clave de autenticación y realice una confirmación local.
  7. La clave de autenticación se puede encontrar en Panorama > clave de autenticación de registro de dispositivo


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wkjSCAQ&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language