Pare-feu gérés montrant déconnecté de la même si la Panorama connectivité réseau est bonne.
152092
Created On 06/20/22 07:17 AM - Last Modified 10/24/23 17:39 PM
Symptom
- Les pare-feu gérés sont déconnectés de Panorama ce qui est sur PAN-OS 10.1.
> show panorama-status
- Pings entre les pare-feu et Panorama fonctionnent.
- La sortie Netstat sur les pare-feu montre que les connexions sont établies avec le Panorama port 3978.
> show netstat all yes numeric-hosts yes numeric-ports yes Example: admin@hio-awsgwlbine1e2pafwA-1> show netstat all yes numeric-hosts yes numeric-ports yes | match 172.31.17.171 tcp 0 0 10.59.142.180:56872 172.31.17.171:3978 ESTABLISHED tcp 0 0 10.59.142.180:33018 172.31.17.171:3978 ESTABLISHED
- ms.log sur le Firewall affiche les erreurs suivantes: -
> less mp-log ms.log -0700 cmsa: agent index=0 -0700 Warning: sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI -0700 Warning: sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN -0700 [Secure conn] Secure channel for Firewall to panorama communication not enabled for secure conn. -0700 Warning: pan_cmsa_mgmt_assign_ssl_ctx(src_panos/cms_agent.c:2348): client using default (legacy) context -0700 Warning: sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI -0700 Warning: sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN -0700 COMM: connection established. sock=27 remote ip=XXXX port=3978 local port=60392 -0700 cms agent: Pre. send buffer limit=46080. s=27 -0700 cms agent: Post. send buffer limit=2097152. s=27 -0700 Error: cs_load_certs_ex(cs_common.c:655): keyfile not exists -0700 Error: pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:883): cms agent: cs_load_certs_ex failed -0700 cmsa: client will use default context -0700 Error: sc3_ca_exists(sc3_certs.c:221): SC3: Failed to get the current CA name. -0700 Warning: sc3_init_sc3(sc3_utils.c:351): SC3: Failed to get the Current CC name -0700 SC3: CA: '', CC/CSR: 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXX' -0700 Warning: sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI -0700 Warning: sc3_get_current_sc3(sc3_utils.c:182): SC3: failed to get CCN -0700 Warning: sc3_init_sctx(sc3_ctx.c:323): SC3: not set, skip cert loading -0700 SC3A: using SNI (from AK): XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXX -0700 SC3A: using sc3 ctx with no cert -0700 Warning: sc3_get_current_sc3(sc3_utils.c:179): SC3: failed to get SNI ......
Environment
- Pare-feu gérés par Panorama
- Panorama est sur PAN-OS 10.1 et plus
- Géré Firewall PAN-OS 10.1
- Intégration sécurisée
Cause
- Pour renforcer votre posture de sécurité, PAN-OS la version 10.1 introduit une authentification mutuelle améliorée entre un nouvel appareil et Panorama lors de la première connexion.
- La clé d’authentification pour l’intégration sécurisée a été introduite.
Resolution
- Vérifiez si une clé d’authentification valide existe sur le Panorama :
- Panorama Clé d’authentification d’enregistrement de l’appareil >
- Créez-en un nouveau si un valide n’existe pas déjà :
- Supprimez le des appareils gérés sur le Firewall Panorama et effectuez une validation locale Panorama .
- Panorama > Résumé des appareils gérés >
- Supprimez l’adresse Panorama IP du Firewall et effectuez une validation locale Firewall .
- Configuration > des appareils Paramètres > Panorama
- Ajoutez à nouveau Panorama le en tant qu’appareil Firewall géré et effectuez une validation localePanorama.
- Ajoutez l’adresse sur le Firewall avec la clé d’authentification Panorama IP et effectuez un commit local.
- La clé d’authentification se trouve à Panorama > Device Registration Auth Key