Which KPIs to monitor on a Palo Alto Firewall?

2025-03-14Monitoring, Palo Alto NetworksAPI, global counters, KPI, metrics, Monitoring, Palo Alto Networks, XMLJohannes Weber

We wanted to monitor some of our Palo firewalls from our monitoring system via the API. But: Which enhanced metrics/KPIs shall we monitor? While there are some obvious ones such as interface counters, uptime, software versions, license expiry dates, or HA-states, we dug a little deeper to get more out of it, such as mgmt-/data-plane stats, packet rates, drop counters (all global counters?), and routing entries.

Here are some ideas on which values a monitoring system could observe. I’m listing the required API calls along with some demo values that can be used to develop monitoring tools/scripts.

Continue reading Which KPIs to monitor on a Palo Alto Firewall? →

Dual-Stack PPPoE on a FortiGate Firewall

2025-03-03Fortinet, Internet Access, IPv6DHCPv6-PD, DSL, Dual-Stack, FortiGate, PPPoE, ProfiShark, Telekom, WiresharkJohannes Weber

You can use a FortiGate to connect to the Internet (that is: Dual-Stack!) directly in various ways. In my current setup, I’m using a PPPoE residential xDLS connection. It’s not that easy to configure everything correctly since it requires the use of many different protocols such as PPPoE and PPPoEv6 (PPP IPV6CP) along with DHCPv6-PD. But here it is:

Continue reading Dual-Stack PPPoE on a FortiGate Firewall →

DHCPv6 Prefix Delegation on a FortiGate Firewall

2025-02-13DHCP/DHCPv6, Fortinet, IPv6Bug, DHCPv6-PD, FortiGate, Fortinet, IPv6, IPv6 Dynamic Prefix, Router Advertisement, WiresharkJohannes Weber

I got DHCPv6-PD aka prefix delegation up and running on a FortiGate. Yes! ✅ Configuring it is tricky since it’s not always clear which options to use. You cannot see everything in the GUI (it even changes depending on other options made later on or selects hidden and wrong default values), hence, you must set specific options via the CLI. I navigated around some bugs and finally got it running. Here we go:

Continue reading DHCPv6 Prefix Delegation on a FortiGate Firewall →

Dual-Stack PPPoE on a Palo Alto Firewall

2024-12-19Internet Access, IPv6, Palo Alto NetworksDHCPv6-PD, DSL, Dual-Stack, Palo Alto Networks, PPPoE, ProfiShark, Telekom, WiresharkJohannes Weber

If you want to establish an Internet connection (that is: IPv6 and IPv4) right away from your firewall through xDSL connections, you need quite some technologies: PPPoE and PPPoEv6 (PPP IPV6CP) along with DHCPv6-PD. Fortunately, with PAN-OS 11.0 and 11.1, those missing IPv6 links were finally added by PANW to their Strata firewalls. (I have been awaiting them since 2015!)

So, here it is: Connecting a Palo through an xDSL modem to a residential ISP:

Continue reading Dual-Stack PPPoE on a Palo Alto Firewall →

xDSL-Modems

2024-12-16FRITZ!Box, Internet AccessDrayTek, DSL, Firewall, FRITZ!Box, Modem, VDSL, VigorJohannes Weber

Wenn man eine Enterprise-Firewall an einem klassischen DSL-Anschluss verwenden möchte, benötigt man ein extra DSL-Modem. Dies unterscheidet sich von Heimkundenroutern wie der Fritzbox, die immer schon ein DSL-Modem mit eingebaut hat. Back to the roots – so wie damals, als man ein Dreiergespann aus Splitter, Modem und Router hatte – kennt ihr es noch? ;)

In meinem Fall wollte ich eine Palo bzw. Forti an einem Telekom VDSL-Anschluss betreiben. Zwei Varianten habe ich getestet: Eine zum Modem degradierte Fritzbox (Bastellösung) und ein reines DSL-Modem aus dem Hause DrayTek. Hier ein paar Notizen und Screenshots:

Continue reading xDSL-Modems →

Das Domain Name System

2024-12-06DNS/DNSSECc't Artikel, conditional forwarding, DDNS, DNS, DNSSEC, EDNS, Reverse DNSJohannes Weber

Kaum ein anderes Element ist so essenziell für das Internet wie das Domain Name System. Ruckelts mal im DNS, reagieren Webseiten und überhaupt alle Internetanwendungen gleich langsamer oder gar nicht. Doch um Fehlerursachen zu ermitteln und zu beseitigen, brauchen Firmen- und Heim-Admins ein weitreichendes Verständnis der Zusammenhänge.

Continue reading Das Domain Name System →

It’s Always DNS! @ SharkFest’23 EU

2024-11-27Conference Talks, DNS/DNSSECDNS, DNS Cache, DNSSEC, Dynamic DNS, SharkFest, TTL, WiresharkJohannes Weber

This time (2023) at the yearly Wireshark Developer and User Conference in Europe, I gave a talk about DNS. How could it have been any different –> The title simply had to be ‘It’s Always DNS‘. 😂

“This session dives deeper into the Domain Name System, covering recursive vs. iterative DNS queries, resource records types, TTL & caching, DNS errors, a little DNSSEC, flags, and of course: Wireshark with its useful display filters, custom columns, colouring rules, and so on. And we will explore some other tools to analyze and troubleshoot DNS even further.”

You can watch the whole session and download the slides. And you can do the six challenges at the end of the session as well. (The answers are not in the PDF, but shown in the video.)

Continue reading It’s Always DNS! @ SharkFest’23 EU →

It’s Always DNS – Poster

2024-11-21At a Glance, DNS/DNSSECconditional forwarding, DNS, DNS Cache, DNSSEC, DoH, DoT, Dynamic DNS, Zone TransferJohannes Weber

We all know the DNS, right? But when we need to troubleshoot it, it’s getting much more complicated than initially thought. DNS ≠ DNS ≠ DNS. And unfortunately: It’s Always DNS.

To get a better understanding of those different kinds of DNS servers (authoritative vs. recursive), DNS messages (recursive, iterative, zone transfer, …) as well as other techniques (conditional forwarding, DoH, …), I draw a poster to have it all at a glance! Here it is:

Continue reading It’s Always DNS – Poster →

Wallbox: Die Qual der Wahl

2024-11-09DIY/Bastelarbeiten, Off-Topic11 kW, 22 kW, App, Elektromobilität, Ethernet, evcc, OCPP, PV, WallboxJohannes Weber

Die Aufgabenstellung war klar: Eine Wallbox fürs Eigenheim muss her, schließlich ist das Laden an öffentlichen Säulen ein Trauerspiel. Aber die Entscheidung, welche Wallbox es sein soll, war dann alles andere als leicht. 🥴 Welche Kriterien muss eine Wallbox erfüllen? Welche Kriterien gibt es überhaupt? 22 kW? PV-Überschuss, und wenn ja, wie? Integrierter Stromzähler (MID-konform?) und Authentifzierung per RFID? Dann aber bitte auch getrennte Zähler pro User. Wie sieht es mit Schnittstellen aus? OCPP, evcc? Und gibt es auch eine (gute!) App?

Uiuiui, das war eine längere Prozedur als ursprünglich geplant. Viele DuckDuckGo-Recherchen, YouTube-Videos, persönliche Interviews und Testberichte später war meine Shortlist dann zwar kleiner, aber immer noch nicht offensichtlich. Hier fasse ich meine Gedanken mal zusammen und liste meine Tabelle als Entscheidungsgrundlage auf. Möge es euch dienen und weitere Diskussionen entfachen. 😂

Continue reading Wallbox: Die Qual der Wahl →

Laden an öffentlichen Säulen: Ein Trauerspiel!

2024-10-31Commentary, Off-TopicElektromobilität, fail, kW, Ladesäulen, WallboxJohannes Weber

Seit einem Monat fahre ich erstmalig ein E-Auto. Und ebenso positiv euphorisch bin ich an das Laden an öffentlichen Säulen herangegangen. Dazu gab es auch allen Grund: Überall sieht man solche Stationen aus dem Boden sprießen und auch die Tank-App zeigt einem, wie dicht besiedelt Autodeutschland mit selbigen ist.

Die Ernüchterung folgte prompt: Bei meinen ersten zehn Ladeversuchen haben fünf nicht geklappt. Fehlerraten = 50 %. Ungelogen! Nahezu jeden erdenklichen Grund habe ich bereits erlebt. Die Daten in den Apps sind falsch, die Ladestationen dann doch nicht einsatzfähig oder belegt, wenn überhaupt die Ladekarte klappt oder die Säule reagiert. Uff.

Hier ein ehrlicher Bericht. Und für mich eine Verarbeitung der Erlebnisse. 😂

Continue reading Laden an öffentlichen Säulen: Ein Trauerspiel! →

Joining an Active Directory: A Packet Capture

2024-10-16Network, WindowsDCE/RPC, Dynamic DNS, IPv6, Kerberos, LDAP, Microsoft Active Directory, NetworkMiner, pcap, RDP, SMB, Ultimate PCAP, WiresharkJohannes Weber

What happens on the network if you’re joining a Microsoft Active Directory domain? Which protocols are used? As I suspected, it’s a bit more complex than just seeing a single known protocol like HTTPS. ;)

Since a PCAP is worth a thousand words, I captured the process of a Windows PC joining an AD. Let’s have a look at it with Wireshark and NetworkMiner. And, as always, you’re welcome to download the packet capture to analyse it by yourself.

Continue reading Joining an Active Directory: A Packet Capture →

Getting started with the APIs from Palo Alto Ntwks

2024-09-02API, Palo Alto NetworksAPI, JSON, Palo Alto Networks, Postman, REST, XMLJohannes Weber

You can talk to firewalls and Panorama from Palo Alto Networks in various ways. The well-known GUI (which I really love, by the way) and the CLI are quite common at first glance. Nearly everyone using the Palos is familiar with these configuration options.

When it comes to automation at some point, either to configure those devices or just to read out some KPIs for your monitoring, APIs are in place. Plural because Palo has two APIs: The so-called “XML API” and the “REST API“. Let’s get started with both of them:

Continue reading Getting started with the APIs from Palo Alto Ntwks →

iPad Ping: WLAN vs. LAN

2024-08-17Bandwidth/Delay, Internet Access, iPhone/iPad, Ping/Traceroute, WLAN/Wi-FiBrawl Stars, Ethernet, Glasfaser, iPad, LAN, Latency, Ping, WLANJohannes Weber

Meine Kids spielen derzeit häufig Brawl Stars, ein Echtzeit Onlinespiel. Und sie schauen auch immer mal Videos dazu, bei denen ihnen jetzt der Floh ins Ohr gesetzt wurde, dass man ein iPad ja auch per LAN-Adapter mit einem Netzwerkkabel ausstatten kann, was ja den Ping verbessert.

JAAAA, endlich waren meine Kenntnisse in Sachen Netzwerktechnik mal von meinen Kindern gefragt. “Papa, weißt du, was ein LAN-Kabel ist?” “Ja klar.” “Hast du so eines?” “Ja, circa Hundert.” “Waaas? Echt jetzt? Dann muss ich mir ja gar keins kaufen.” 😂

Neben der Subjektivität, ob das Zocken per LAN-Kabel jetzt merklich besser wird, wollte ich mal objektiv messen, wie sich die Latenz eines per Ethernet-Adapter angeschlossenen iPads denn nun wirklich verhält. Wie viel besser wird der Ping im Idle- bzw. im Volllastfall? Was sagt die Laufzeit zum Default Gateway? Hier ein paar Tests:

Continue reading iPad Ping: WLAN vs. LAN →

PANW: Dynamic Routing between Logical Routers

2024-08-07Palo Alto Networks, RoutingAdvanced Routing Engine, BGP, IPv6, Logical Router, Loopback, Palo Alto Networks, RedistributionJohannes Weber

How to route traffic between multiple logical routers aka Inter-LR Routing on a Palo Alto Networks Strata firewall? More precisely, inclusive route redistribution rather than a few static routes. –> Via iBGP through loopback interfaces. ✅ Let’s go:

Continue reading PANW: Dynamic Routing between Logical Routers →

BGP Route Filtering with Palo’s Advanced Routing Engine (ARE)

2024-07-30Palo Alto Networks, RoutingAdvanced Routing Engine, BGP, Filter, IPv6, Logical Router, Palo Alto Networks, prefix-listJohannes Weber

With PAN-OS 10.2, Palo Alto Networks has introduced the “Advanced Routing Engine” (ARE) with its “Logical Routers” (LR) rather than the legacy “Virtual Routers” (VR).

The Advanced Routing Engine simplifies operations with a standards-based configuration, which reduces your learning curve since it is similar to that of other router vendors.

The neat thing, as always: You can configure everything through the GUI. Here’s a basic example of how I’m using a prefix list to filter incoming BGP routes:

Continue reading BGP Route Filtering with Palo’s Advanced Routing Engine (ARE) →

Weberblog.net

IT-Security, Networks, IPv6, VPN, DNSSEC, NTP