Problem:

Nach einem Update auf die PanOs Version 8.1 auf einer PaloAlto Firewall, kann es zu Problemen mit SMB Datenverkehr bei IPSEC  Verbindungen kommen. Die Aktualisierung der Firmware verhindert den Schreib- oder Lesezugriff auf die Netzlaufwerke über den Dateimanager. Die Verzeichnisse können zwar in einigen Fällen angezeigt werden, allerdings hängt sich der Dateimanager auf, stürzt ab oder ruft einen Blue Screen hervor. Kopierte Dateien werden unter Umständen im Zielordner zwar angezeigt, diese sind aber leer.

Einen weiteren Hinweis findet man in der PaloAlto Verwaltungsoberfläche im Tab MONITOR\TRAFFIC\SESSION END REASON = RESSOURCE NOT AVAILABLE.

Problemumgehung (Workaround):

Schritt 1: Erstellen Sie im Objektbereich ein benutzerdefiniertes Anwendungsobject „smb_override“ und weisen Sie die passende Kategorie zu.

Klicken Sie auf den Tab ADVANCED. Hier fügen Sie den eigentlichen Port und das richtige Protokoll TCP/445 zu.

Schritt 2: Als nächstes müssen Sie Richtlinien für das neue Object definieren.

  • Klicken Sie auf den POLICY Tab und wählen Sie den Punkt APPLICATION OVERRIDE.
  • Mit Hilfe der Schaltfläche ADD öffnen Sie den CREATION WIZARD.
  • Wählen Sie den Tab GENERAL und definieren Sie einen selbsterklärenden Namen wie z.B. „smb_override
  • Danach selektieren Sie die Tabs SOURCE und DESTINATION. Da Sie mit dieser (temporären) Richtlinie ein generelles Problem adressieren, empfehlen wir jeweils den Wert ANY zu hinterlegen.

Der wichtigste Eintrag wird unter dem Tab PROTOCOL/APPLICATION definiert, wo Sie nochmal den Port TCP/445 hinterlegen müssen.

Das Ergebnis der neuen Richtlinien Definition sollte wie folgt aussehen und wird durch einen Klick auf den Menüpunkt COMMIT  sofort wirksam.