Pare-feu gérés montrant déconnecté de la même si la Panorama connectivité réseau est bonne.

103807

Created On 06/20/22 07:17 AM - Last Modified 10/24/23 17:39 PM

Symptom

Les pare-feu gérés sont déconnectés de Panorama ce qui est sur PAN-OS 10.1.
- ```
> show panorama-status
```
Pings entre les pare-feu et Panorama fonctionnent.

La sortie Netstat sur les pare-feu montre que les connexions sont établies avec le Panorama port 3978.

> show netstat all yes numeric-hosts yes numeric-ports yes

Example:
admin@hio-awsgwlbine1e2pafwA-1> show netstat all yes numeric-hosts yes numeric-ports yes | match 172.31.17.171
tcp        0      0 10.59.142.180:56872     172.31.17.171:3978      ESTABLISHED
tcp        0      0 10.59.142.180:33018     172.31.17.171:3978      ESTABLISHED

ms.log sur le Firewall affiche les erreurs suivantes: -

> less mp-log ms.log
 -0700 cmsa: agent index=0
 -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
 -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN
 -0700 [Secure conn] Secure channel for Firewall to panorama communication not enabled for secure conn.
 -0700 Warning:  pan_cmsa_mgmt_assign_ssl_ctx(src_panos/cms_agent.c:2348): client using default (legacy) context
 -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
 -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN
 -0700 COMM: connection established. sock=27 remote ip=XXXX port=3978 local port=60392
 -0700 cms agent: Pre. send buffer limit=46080. s=27
 -0700 cms agent: Post. send buffer limit=2097152. s=27
 -0700 Error:  cs_load_certs_ex(cs_common.c:655): keyfile not exists
 -0700 Error:  pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:883): cms agent: cs_load_certs_ex failed
 -0700 cmsa: client will use default context
 -0700 Error:  sc3_ca_exists(sc3_certs.c:221): SC3: Failed to get the current CA name.
 -0700 Warning:  sc3_init_sc3(sc3_utils.c:351): SC3: Failed to get the Current CC name
 -0700 SC3: CA: '', CC/CSR: 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXX'
 -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
 -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN
 -0700 Warning:  sc3_init_sctx(sc3_ctx.c:323): SC3: not set, skip cert loading
 -0700 SC3A: using SNI (from AK): XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXX
 -0700 SC3A: using sc3 ctx with no cert
 -0700 Warning:  sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI
......

Environment

Pare-feu gérés par Panorama
Panorama est sur PAN-OS 10.1 et plus
Géré Firewall PAN-OS 10.1
Intégration sécurisée

Cause

Pour renforcer votre posture de sécurité, PAN-OS la version 10.1 introduit une authentification mutuelle améliorée entre un nouvel appareil et Panorama lors de la première connexion.
La clé d’authentification pour l’intégration sécurisée a été introduite.

Resolution

Vérifiez si une clé d’authentification valide existe sur le Panorama :
- Panorama Clé d’authentification d’enregistrement de l’appareil >
Créez-en un nouveau si un valide n’existe pas déjà :
- Clé d’authentification pour une intégration sécurisée Firewall
- Panorama Clé d’authentification d’enregistrement de l’appareil.
Supprimez le des appareils gérés sur le Firewall Panorama et effectuez une validation locale Panorama .
- Panorama > Résumé des appareils gérés >
Supprimez l’adresse Panorama IP du Firewall et effectuez une validation locale Firewall .
- Configuration > des appareils Paramètres > Panorama
Ajoutez à nouveau Panorama le en tant qu’appareil Firewall géré et effectuez une validation localePanorama.
Ajoutez l’adresse sur le Firewall avec la clé d’authentification Panorama IP et effectuez un commit local.
La clé d’authentification se trouve à Panorama > Device Registration Auth Key

Pare-feu gérés montrant déconnecté de la même si la Panorama connectivité réseau est bonne.

Symptom

Environment

Cause

Resolution

Other users also viewed: