명시적 프록시는 고급 라우팅과 함께 작동하지 않습니다. 이 문제는 일반적으로 11.1.5 버전부터 해결되었어야 하지만, 11.1.6에서도 여전히 문제가 발생합니다.

? The customer noticed that pinging the configured DNS server failed, but pinging other hosts worked as expected
? The customer noticed issues with the Secure Web Gateway Proxy when combined with advanced routing, particularly when attempting to access websites
? The customer observed that the issue was similar to a prior support case that was opened on an older software version, where the Advanced Routing support feature for Hybrid SWG was not implemented. Although the issue was reportedly resolved in version 11.1.5, the customer continued to experience it after upgrading to version 11.1.6.
? The customer confirmed that the issue was not related to the proxy's functionality but connected to the DNS resolving process
? The customer identified that the issue originated from the DNS configuration and the firewall's inability to reach the DNS servers
? The customer confirmed that the issue was not related to an incorrect listening interface for the DNS proxy, as the configured interface was deemed appropriate
? The Engineer observed that the firewall exhibited correct behavior when pinging other hosts but experienced a failure when attempting to ping the configured DNS servers.
? The Engineer observed that the firewall could not reach the DNS servers configured in the DNS proxy, including Google's DNS servers
? The Engineer confirmed the issue was independent of the explicit proxy configuration, authentication, decryption, and source NAT rules and their related settings, as these were configured correctly. This issue was related to a different vsys interface used in the service route for DNS. This difference in vsys and interface usage prevented the firewall from reaching the configured DNS proxy server.
? The Engineer observed that the issue was not replicable in the lab environment, indicating the issue was specific to their configuration and possibly tied to a service route mismatch. Upon analysis, it was confirmed that the issue was indeed related to a mismatch in the service route configuration between the customer's environment and the lab.
? The engineer observed that the issue was resolved after changing the service route configuration to utilize the `ae3.461` interface. After this change, the lab environment showed successful ping functionality.


**ERROR_LOGS**
> HTTP/1.1 503 Service Unavailable
> no healthy upstream
2025/03/23 00:06:38 listen udp v4 socket fd 22 on port 1053.

2025/03/23 00:06:38 listen udp v6 socket fd 23 on port 1053.

2025/04/04 17:20:03 2025-04-04 17:20:03.543 +0200 Error: pan_dnsproxyd_recv_dp_udp_cb(pan_dnsproxy_udp.c:308): [udp]: fd 22 from $ip to $ip process client failed! <<<<<<< fd 22 is the UDP v4 socket to 1053

• 파노스 11.1.6-hx
• PA-3410
• 고급 라우팅
• 명시적 프록시
• DNS 프록시
• Inter-VSYS 커뮤니케이션 없는 다중 VSYS.
• DNS 서비스 경로(service route) 다른 vsys 의 인터페이스 사용하도록 구성되어 있습니다.

조사 결과, 문제의 근본 원인은 DNS 서비스 경로(service route) 잘못 구성된 데 있었습니다. 해당 서비스 경로(service route) DNS 프록시 서비스 인터페이스 가 구성된 vsys 의 특정 인터페이스 (`ae10.xx`)를 사용하도록 구성되어 있었고, 이로 인해 DNS 프록시가 DNS 서버에 대한 DNS 쿼리를 생성하지 못했습니다. 결과적으로 방화벽 호스트 인터페이스와 클라이언트에서 생성된 DNS 쿼리를 확인할 수 없었고, 네트워크 트래픽이 DNS 프록시에 구성된 DNS 서버로 블랙홀 처리되었습니다.

**복구 계획**
1. 고객 구성 분석하고 랩 구성 과 비교한 결과, DNS 서비스 경로(service route) 구성 다르다는 것을 확인했습니다. 랩 환경에서는 서비스 경로(service route) `mgmt` 인터페이스 사용하여 구성되었지만, 고객 환경에서는 DNS 프록시가 구성된 다른 vsys 의 `ae10.xx`를 사용하고 있었습니다. 이러한 구성 불일치가 근본 원인으로 확인되었습니다.
2. 서비스 경로(service route) 올바른 vsys 인터페이스 사용하도록 DNS 서비스 경로(service route) 구성 수정합니다.
3. `ae3.xx` 인터페이스 사용하여 DNS 에 대한 사용자 지정 데스티네이션 서비스 경로(service route) 재구성하여 DNS 프록시가 호스트 인터페이스와 클라이언트로부터 DNS 요청을 수신할 수 있도록 합니다.
4. 구성 변경 후 랩 환경에서 문제가 성공적으로 해결되었는지 확인합니다.
5. 랩 검증을 성공적으로 완료한 후, 고객에게 동일한 변경 사항을 환경에 적용하고 DNS 확인 문제가 해결되었는지 확인하도록 안내했습니다. 여기에는 다음 작업이 포함됩니다.

• DNS 에 대한 서비스 경로(service route) 구성 수정하여 적절한 인터페이스 활용합니다.
• 서비스 경로(service route) 가 올바른 vsys 인터페이스 (ae3.xx)로 향하도록 하세요.
• DNS 프록시 수신 인터페이스 동일한 vsys 에 구성되어 있는지 확인하세요.
• DNS 확인 기능이 제대로 작동하는지 테스트합니다.
• eProxy를 통해 웹사이트에 추가 문제 없이 접속할 수 있는지 확인하세요.