Plötzlich taucht beim Commit ein Shadow-Problem auf…
Eine NAT Policy soll eine andere „shadowen“.
Beide Policies basieren auf einem FQDN und stellen eine statische NAT dar.
Lösung:
Wenn man sich die Auflösung der Namen auf der Palo Alto mit
request system fqdn show
(mehr dazu hier http://www.krakovic.de/palo-alto-firewall-fqdns-refreshen/)
anschaut, stellt man fest, dass die FQDN nicht übersetzt sind (Hintergrund: sie haben sich lange nicht dynamisch per DHCP registriert).
Sie sind also „gleich / leer / nicht übersetzt“ und das ist der Grund für das shadowing.