Comment faire pour ouvrir un dossier sur les problèmes de connexion VPN GlobalProtect Remote utilisateur

Comment faire pour ouvrir un dossier sur les problèmes de connexion VPN GlobalProtect Remote utilisateur

36171
Created On 09/25/18 19:03 PM - Last Modified 06/16/23 18:29 PM


Resolution


Ce document montre comment recueillir des renseignements préliminaires nécessaires par TAC pour commencer à travailler sur les problèmes de connexion GlobalProtect (GP) dès qu’un cas est ouvert.

 

GlobalProtect comporte quatre composantes principales, donc chaque fois qu’il y a un problème, nous avons besoin de billes tirées de tous ces appareils en même temps. Prenant les journaux en même temps permet aux ingénieurs de TAC corréler les journaux à travers différents dispositifs pour mieux comprendre à quel point le problème qui s’est passé.  Voici des composants d’utilisateur GlobalProtect Remote VPN.

 

  1. Portail
  2. Passerelle
  3. Client
  4. Mobile Device Manager (MDM)

 

Portail

Le portail est le pare-feu principal qui héberge la configuration à fournir aux utilisateurs distants. Chaque fois qu’il y a un problème de GlobalProtect, veuillez essayer de collecter les informations suivantes à partir du portail :

 

  1. Tech_support fichier.
  2. Journaux système – filtrer les logs du système au moment même où le client se connecte.
  3. Timbres de temps entre les heures, la question est considérée.
  4. Grumes de trafic entre client IP publique et adresse IP du portail. Ignorez cette étape si le client adresse IP publique est coordonnée ; Cependant, voir s’il y a pas de journaux où la circulation au portail IP sont ignorées.

Si le problème est reproductible à volonté, nous demandons les étapes suivantes de débogage, pour recueillir des informations.

 

  1. rasmgr sur debug de débogage (la commande doit renvoyer « suivre », si ne pas exécuter deux fois « sw.rasmgr.debug.global : debug »)
  2. ssl-vpn global sur le débogage de débogage (la commande doit renvoyer « suivre », si ne pas exécuter deux fois « sw.sslvpn.debug.global : déboguer »)
  3. Reproduire le problème / essayez de vous connecter au portail. Désactiver le débogage de commandes suivantes
  4. ssl-vpn mondial sur infos de débogage
  5. rasmgr normal de débogage (la commande doit renvoyer « suivre », si ne pas exécuter deux fois « sw.rasmgr.debug.global : normal »)
  6. Générer le fichier tech_support
  7. Exporter les fichiers journaux dans le délai de réplication
  8. Horodatage entre lesquels la question est considérée
  9. Grumes de trafic entre client IP publique et adresse IP du portail. (Passez cette étape si le client adresse IP publique est coordonnée, mais pour voir s’il y a journaux où la circulation à portail IP sont ignorées)

Pourquoi devons-nous cette information ?

Chaque fois que le client tente de se connecter à GlobalProtect, la première tentative faite pour obtenir la configuration de mises à jour sur le portail. Quand ne pas se connecter au portail, il utilise alors une configuration en mémoire cache. La communication sur le portail doit être vérifié pour vérifier si la configuration correcte est envoyée par le pare-feu.

 

Passerelle

Porte d’entrée est le pare-feu auquel l’utilisateur tente de créer un tunnel chiffré. Si il y a une seule porte d’entrée et portail et ils sont hébergés sur le même pare-feu, les journaux ci-dessus recueillis pour le portail devraient suffire.  Si la passerelle est hébergée sur une adresse IP publique différente sur le même appareil, s’il vous plaît assurez-vous que s’il existe des registres indiquant jetés communication à l’adresse IP de la passerelle.  Si la passerelle est différente à partir du portail, nous exigerions les mêmes informations de passerelle :

 

  1. Fichier Tech_support
  2. Journaux système – filtrer les logs du système au moment même où le client se connecte.
  3. Horodatage entre lesquels la question est considérée
  4. Grumes de trafic entre client IP publique et adresse IP du portail. (Passez cette étape si le client adresse IP publique est coordonnée, mais pour voir s’il y a journaux où la circulation à portail IP sont ignorées)

Débogage de portail et de porte d’entrée est le même. S’il vous plaît assurez-vous que le débogage est activé et désactivé en même temps sur le portail et la porte d’entrée. Cela permet de comparer les journaux sur les deux appareils. Dans le scénario de questions complexes qui impliquent des problèmes de tunnel IP pour les utilisateurs distants, TAC va tendre la main pour une session de débogage en direct.

 

Agent/Client

Logiciel de l’agent sur différents systèmes d’exploitation se comportent différemment ; Cependant, la méthode de communication de l’agent avec le portail et la porte d’entrée reste le même. Sous Windows et Macintosh, nous aurions besoin d'activer Debug sous l'onglet "Dépannage". Cet onglet ne peut être vu que sous la rubrique "afficher> afficherle panneau" si "activer la vue avancée" est cochée sous Configuration de l'Agent sur le portail. Reportez-vous à L'image 3 du document How to configure GlobalProtect .

 

S’il vous plaît assurez-vous que le débogage suivant est activé :

 

  • PanGPS – Debug
  • Penda-Debug (rendre dump, si la question peut être répliquée. Revenir pour déboguer une fois la réplication terminée).

2016-06-24_gp1.pngOnglet Dépannage, indiquant le niveau de débogage.

 

Collecter les journaux d’agent en vertu de l’option « Fichier ». Logiciel mobile GlobalProtect permet d’exporter les journaux à l’email.

 

Pour Windows et Macintosh :

2016-06-24_gp2.pngCollecter les journaux d’agent en vertu de l’option « Fichier ».

 

 

Pour iOS :

 

Picture1.png

 

S’il y a un problème avec l’authentification unique ou s’il y a un gestionnaire tiers d’informations d’identification Windows, puis de demander les informations de Registre suivantes :

  1. Fournisseurs de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ de CurrentVersion\Authentication\Credential.
  2. HKEY_LOCAL_MACHINE\SOFTWARE\Palo Networks\ Alto

Pour tout problème de connexion avec GlobalProtect lors de l’utilisation des clients tiers ou Xauth, nous voulons recueillir tous les journaux du client de tiers ou de l’appareil au sujet de cette communication Xauth. Comme indiqué, assurez-vous que les journaux sont pris en même temps. Veuillez inclure les horodatages de client et de pare-feu. Cela aidera à identifier les problèmes lorsque le client et le pare-feu sont dans un autre fuseau horaire.

 

Mobile Device Manager (MDM)

 

MDM est utilisé pour la configuration et la mise en œuvre de politiques sur les appareils mobiles connectés sur le portail mondial de protéger. Chaque fois qu’il y a qu'un problème avec MDM lié des fonctionnalités telles que l’inscription, mise en œuvre de la politique, nous exigerions les informations suivantes issues MDM. Veuillez vous assurer que les informations suivantes couvrent la fenêtre de temps lorsque le client tente de se connecter ou lorsque les politiques sont poussés vers les clients

  1. Tech_support fichier.
  2. Journaux du système pour la fenêtre de temps lorsque le problème est signalé.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTgCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language