明示的プロキシは高度なルーティングと組み合わせて使用できません。これは通常 11.1.5 以降で解決されているはずですが、11.1.6 でも依然として問題が発生します。
Symptom
? The customer noticed that pinging the configured DNS server failed, but pinging other hosts worked as expected
? The customer noticed issues with the Secure Web Gateway Proxy when combined with advanced routing, particularly when attempting to access websites
? The customer observed that the issue was similar to a prior support case that was opened on an older software version, where the Advanced Routing support feature for Hybrid SWG was not implemented. Although the issue was reportedly resolved in version 11.1.5, the customer continued to experience it after upgrading to version 11.1.6.
? The customer confirmed that the issue was not related to the proxy's functionality but connected to the DNS resolving process
? The customer identified that the issue originated from the DNS configuration and the firewall's inability to reach the DNS servers
? The customer confirmed that the issue was not related to an incorrect listening interface for the DNS proxy, as the configured interface was deemed appropriate
? The Engineer observed that the firewall exhibited correct behavior when pinging other hosts but experienced a failure when attempting to ping the configured DNS servers.
? The Engineer observed that the firewall could not reach the DNS servers configured in the DNS proxy, including Google's DNS servers
? The Engineer confirmed the issue was independent of the explicit proxy configuration, authentication, decryption, and source NAT rules and their related settings, as these were configured correctly. This issue was related to a different vsys interface used in the service route for DNS. This difference in vsys and interface usage prevented the firewall from reaching the configured DNS proxy server.
? The Engineer observed that the issue was not replicable in the lab environment, indicating the issue was specific to their configuration and possibly tied to a service route mismatch. Upon analysis, it was confirmed that the issue was indeed related to a mismatch in the service route configuration between the customer's environment and the lab.
? The engineer observed that the issue was resolved after changing the service route configuration to utilize the `ae3.461` interface. After this change, the lab environment showed successful ping functionality.
**ERROR_LOGS**
> HTTP/1.1 503 Service Unavailable> no healthy upstream2025/03/23 00:06:38 listen udp v4 socket fd 22 on port 1053.
2025/03/23 00:06:38 listen udp v6 socket fd 23 on port 1053.
2025/04/04 17:20:03 2025-04-04 17:20:03.543 +0200 Error: pan_dnsproxyd_recv_dp_udp_cb(pan_dnsproxy_udp.c:308): [udp]: fd 22 from $ip to $ip process client failed! <<<<<<< fd 22 is the UDP v4 socket to 1053
Environment
- パノス 11.1.6-hx
- PA-3410
- 高度なルーティング
- 明示的なプロキシ
- DNSプロキシ
- 仮想システム間の通信のない Multivsys。
- DNSサービス ルートは、別のvsysからのインターフェイスを使用するように構成されています。
Cause
調査の結果、この問題の根本原因はDNSのサービス ルートの設定ミスにあることが判明しました。このサービス ルートは、 DNSプロキシのサービスインターフェイスが設定されている仮想システムとは異なるvsys上の特定のインターフェイス(「ae10.xx」)を使用するように設定されていたため、 DNSプロキシはDNSサーバーへのDNSクエリを生成できませんでした。その結果、ファイアウォールはホストインターフェースとクライアントから生成されたDNSクエリを解決できず、DNSプロキシに設定されているDNSサーバーへのネットワークトラフィックがブラックホール状態になっていました。
Resolution
**修復計画**
1. お客様の設定を分析し、ラボ環境の設定と比較した結果、 DNSのサービス ルート設定が異なっていることが判明しました。ラボ環境では、サービス ルートは「mgmt」インターフェイスを使用して設定されていましたが、お客様の環境では、 DNSプロキシが設定されている仮想システムとは異なるvsys上の「ae10.xx」を使用していました。この設定の不一致が根本原因であると特定されました。
2. DNSサービス ルート設定を変更して、サービス ルートが正しいvsysインターフェイスを使用するようにする
3. DNSのカスタム宛先サービス ルートを再構成して `ae3.xx`インターフェイスを使用するようにし、 DNSプロキシがホスト インターフェイスとクライアントからDNS要求を受信できるようにします。
4.設定変更後にラボ環境で問題が正常に解決されたことを確認します。
5. ラボ検証が成功した後、お客様に同じ変更をお客様の環境に実装し、 DNS解決の問題が解決されていることを確認するようアドバイスしました。これには以下の手順が含まれます。
- 適切なインターフェイスを利用するために、 DNSのサービス ルート設定を変更します。
- サービス ルートが正しいvsysインターフェイス(ae3.xx) に向けられていることを確認します。
- DNSプロキシ リスニングインターフェイスが同じvsys上に設定されていることを確認します。
- DNS解決機能をテストして、正しく動作していることを確認します。
- eProxy 経由で問題なく Web サイトにアクセスできることを確認します。