Panoramaでファイアウォールの接続ステータスがDisconnectedと表示される

告知

ATTENTION Customers, All Partners and Employees: The Customer Support Portal (CSP) will be undergoing maintenance and unavailable on Saturday, November 7, 2020, from 11 am to 11 pm PST. Please read our blog for more information.

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Firewall Showing as Disconnected on the Panorama
https://live.paloaltonetworks.com/t5/Management-Articles/Device-Showing-as-Disconnected-on-the-Panor...

 

現象

パロアルトネットワークス・ファイアウォールをPanoramaで中央管理している際に、新しく追加したファイアウォールが管理画面(Panorama > Managed devices)で、Disconnectedと表示される。

 

kb1.PNG

 

den.PNG

診断

## 1つのよくある事例として、セキュリティ ポリシー上で、ファイアウォールとPanorama間で通信するTCPポート、アプリケーションが不許可設定になっている可能性があります。

もしくは

## ファイアウォール、Panorama間で通信するTCPポートが中継装置でブロックされている可能性があります。

 

解決方法

  • ほとんどのケースでは、ファイアウォールの管理インターフェイスとPanorama間でSSLトンネルが作られます。
  • ファイアウォールは、ファイアウォールとPanorama間の通信でTCPポート番号3978を宛先として使用します。
  • もしセキュリティ ポリシーでTCPポート番号3978 / アプリケーションPanoramaを明示的に許可していない場合、対象機器はPanorama上で接続 (Connected) ステータスとして表示されず、トラフィックは最終的なポリシーによって拒否されます。
  • トラフィック ログを、送信元を管理インターフェースのIPアドレスで、宛先をPanoramaのIPアドレスでフィルター設定してみてください。もし、Panoramaセッション用にサービスルート設定を使用している場合は、適切なデータープレーン・インターフェースのIPアドレスを用いてください。
  • もし、セキュリティ ポリシーでアクションが拒否表示されていた場合、既存のセキュリティ ポリシーを、前述したように適切に変更してください。該当のファイアウォールがPanoramaで接続 (Connected) ステータスになるか確認してください。

 

wrk.PNG       

セキュリティ ポリシー変更後、トラフィック ログ上で許可されています。

 

rel.PNG

 

注意事項 -- もしファイアウォールの管理インターフェースとPanoramaにパブリックIPアドレスを使用していて、かつセッションが、マネージメント プレーンで管理されている場合(もしそのパケットがファイアウォールのデータポートを経由していない場合)、管理インターフェースで TCP dump をとり、宛先TCPポート3978でフィルター設定して、宛先に到達しているか確認してみてください(中継装置によって、通信に必要なポートがブロックされているかもしれません)。 

 

著者: Tarang