Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Pare-feu gérés montrant déconnecté de la même si la Panorama co... - Knowledge Base - Palo Alto Networks

Pare-feu gérés montrant déconnecté de la même si la Panorama connectivité réseau est bonne.

152092
Created On 06/20/22 07:17 AM - Last Modified 10/24/23 17:39 PM


Symptom


  • Les pare-feu gérés sont déconnectés de Panorama ce qui est sur PAN-OS 10.1.
    • > show panorama-status
  • Pings entre les pare-feu et Panorama fonctionnent.
  • La sortie Netstat sur les pare-feu montre que les connexions sont établies avec le Panorama port 3978.
    • > show netstat all yes numeric-hosts yes numeric-ports yes
      
      Example:
      admin@hio-awsgwlbine1e2pafwA-1> show netstat all yes numeric-hosts yes numeric-ports yes | match 172.31.17.171
      tcp        0      0 10.59.142.180:56872     172.31.17.171:3978      ESTABLISHED
      tcp        0      0 10.59.142.180:33018     172.31.17.171:3978      ESTABLISHED
  • ms.log sur le Firewall affiche les erreurs suivantes: -
    • > less mp-log ms.log
       -0700 cmsa: agent index=0
       -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
       -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN
       -0700 [Secure conn] Secure channel for Firewall to panorama communication not enabled for secure conn.
       -0700 Warning:  pan_cmsa_mgmt_assign_ssl_ctx(src_panos/cms_agent.c:2348): client using default (legacy) context
       -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
       -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN
       -0700 COMM: connection established. sock=27 remote ip=XXXX port=3978 local port=60392
       -0700 cms agent: Pre. send buffer limit=46080. s=27
       -0700 cms agent: Post. send buffer limit=2097152. s=27
       -0700 Error:  cs_load_certs_ex(cs_common.c:655): keyfile not exists
       -0700 Error:  pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:883): cms agent: cs_load_certs_ex failed
       -0700 cmsa: client will use default context
       -0700 Error:  sc3_ca_exists(sc3_certs.c:221): SC3: Failed to get the current CA name.
       -0700 Warning:  sc3_init_sc3(sc3_utils.c:351): SC3: Failed to get the Current CC name
       -0700 SC3: CA: '', CC/CSR: 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXX'
       -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
       -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN
       -0700 Warning:  sc3_init_sctx(sc3_ctx.c:323): SC3: not set, skip cert loading
       -0700 SC3A: using SNI (from AK): XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXX
       -0700 SC3A: using sc3 ctx with no cert
       -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
      ......
      

       


Environment




Cause




Resolution


 
  1. Vérifiez si une clé d’authentification valide existe sur le Panorama :
    • Panorama Clé d’authentification d’enregistrement de l’appareil >
  2. Créez-en un nouveau si un valide n’existe pas déjà :
  3. Supprimez le des appareils gérés sur le Firewall Panorama et effectuez une validation locale Panorama .
    • Panorama > Résumé des appareils gérés >
  4. Supprimez l’adresse Panorama IP du Firewall et effectuez une validation locale Firewall .
    • Configuration > des appareils Paramètres > Panorama
  5. Ajoutez à nouveau Panorama le en tant qu’appareil Firewall géré et effectuez une validation localePanorama.
  6. Ajoutez l’adresse sur le Firewall avec la clé d’authentification Panorama IP et effectuez un commit local.
  7. La clé d’authentification se trouve à Panorama > Device Registration Auth Key


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wkjSCAQ&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language