A solução para o problema foi atribuir uma zona de segurança à interface externa, uma vez que eu consegui acessar o outro site. Isso ocorre devido a um bloqueio padrão no tráfego entre as regiões.
Eu tenho um firewall do Palo Alto conectado a um link que executa o 802.1q e o provedor atribuiu uma VLAN específica para usarmos.
No entanto, não consigo pingar a outra extremidade do link, se eu substituir o firewall do Palo Alto por um Cisco Switch, ele funcionará perfeitamente.
No Palo Alto eu configurei uma interface de camada 3 (ethernet 1/1) sem endereço IP, então criei uma subinterface (ethernet1 / 1.20), ela tem um endereço IP e eu configurei a tag ( 20) para ser o ID da VLAN 802.1q. Anexado a essa interface, há um roteador virtual com rotas estáticas direcionando todo o tráfego para o endereço I.P de destino.
Limpei todas as regras de firewall e configurei uma permissão para testes.
Quando eu tento e faço ping na outra ponta do link, recebo respostas "host inacessível" do ICMP e vejo o firewall permitindo o tráfego.
Dado o switch Cisco funciona perfeitamente, eu devo estar perdendo algo óbvio, sugestões apreciadas.