如何打开一个用例 GlobalProtect 远程用户 VPN 连接问题

如何打开一个用例 GlobalProtect 远程用户 VPN 连接问题

36163
Created On 09/25/18 19:03 PM - Last Modified 06/16/23 18:29 PM


Resolution


本文档演示如何收集所需要的交谘会开始进行 GlobalProtect (GP) 的连接问题,尽快打开案件的初步信息。

 

GlobalProtect 涉及四个主要组件,所以每当有问题,我们需要采取从所有这些设备在一段时间的日志。在同一时间以日志可以帮助 TAC 工程师跨各种设备,以更好地理解什么时候发生了问题关联的日志。  以下是 GlobalProtect 远程用户 VPN 组件。

 

  1. Portal
  2. 网关
  3. 客户端
  4. 移动设备管理器 (MDM)

 

Portal

门户网站是主要的防火墙,主机要向远程用户提供的配置。每当有一个关于 GlobalProtect 的问题,请尝试从门户网站收集以下信息:

 

  1. Tech_support 文件。
  2. 系统日志 — — 筛选系统日志在同一时间,当客户端连接。
  3. 时间戳的时间之间出现问题。
  4. 交通从客户端的公网 IP 登录到门户网站的 IP 地址。跳过此步骤,如果客户端的公网 IP 是试验;然而,看看是否有任何日志这里交通到门户 IP 将被丢弃。

如果问题是可随意复制,我们要求的以下调试步骤,收集信息。

 

  1. 调试调试 rasmgr (命令应返回 '后',如果不运行两次"sw.rasmgr.debug.global: 调试")
  2. ssl vpn 全球对调试调试 (命令应返回 '后',如果不运行两次"sw.sslvpn.debug.global: 调试")
  3. 复制问题/尝试连接到门户网站。通过以下命令禁用调试
  4. 调试 ssl vpn 上信息的全局变量
  5. 调试在正常的 rasmgr (命令应返回 '后',如果不运行两次"sw.rasmgr.debug.global: 正常")
  6. 生成 tech_support 文件
  7. 导出系统日志复制的时间范围内
  8. 时间戳之间出现的问题
  9. 交通从客户端的公网 IP 登录到门户网站的 IP 地址。(跳过这一步,如果客户端的公网 IP 是试验,然而,看看是否有任何记录在哪里交通到 IP 被丢弃的门户)

我们为什么需要这个信息?

每当客户端尝试连接到 GlobalProtect,第一次尝试向是门户网站以获取更新的配置。当无法连接到该门户,然后它就会使用缓存的配置。到门户通信需要验证检查如果通过防火墙发送正确的配置。

 

网关

网关是的防火墙的用户试图创建一个加密的隧道。如果有是单个网关和门户和他们托管在同一个防火墙,为门户网站收集上述日志应该足够。 如果网关承载在同一设备上不同的公共 IP 地址,请确保如果有日志指示丢弃到网关的 IP 地址的通信。 如果网关是从门户网站不同,我们需要从网关相同的信息:

 

  1. Tech_support 文件
  2. 系统日志 — — 筛选系统日志在同一时间,当客户端连接。
  3. 时间戳之间出现的问题
  4. 交通从客户端的公网 IP 登录到门户网站的 IP 地址。(跳过这一步,如果客户端的公网 IP 是试验,然而,看看是否有任何记录在哪里交通到 IP 被丢弃的门户)

门户网站和网关的调试是相同的。请确保调试打开和关闭在同一时间在门户网站和网关。这有助于比较这两个设备上的日志。在复杂的问题,涉及到远程用户的 IP 隧道问题的方案,交谘会将到达实时的调试会话。

 

代理/客户端

在不同操作系统上的代理软件的行为不同;然而,门户网站与网关代理通讯的方法仍保持不变。在 Windows 和 Macintosh 上, 我们需要在 "疑难解答" 选项卡下启用调试。如果 "启用高级视图" 在门户上的 "代理配置" 下选中, 则只能在 "查看 > 显示面板"下看到此选项卡。请参阅 "如何配置 GlobalProtect文档中的图像 3"。

 

请确保以下调试已启用:

 

  • PanGPS — — 调试
  • PanGPA — — 调试 (使其转储,如果可以复制问题。恢复要调试完成复制后)。

2016-06-24_gp1.png故障排除选项卡,显示调试级别。

 

从"文件"选项下的代理收集日志。移动 GlobalProtect 软件允许将日志导出到电子邮件。

 

对于 Windows 和 Macintosh:

2016-06-24_gp2.png从"文件"选项下的代理收集日志。

 

 

Ios:

 

Picture1.png

 

如果 SSO 问题或是否有第三方凭据管理器在 Windows 上,然后请求下面的注册表信息:

  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Authentication\Credential 供应商。
  2. HKEY_LOCAL_MACHINE\SOFTWARE\Palo 中音 Networks\

而使用第三方客户端或 Xauth 与 GlobalProtect 的所有连接问题,我们都要从第三方客户端或关于此 Xauth 通信设备收集任何日志。如上所述,请确保日志采取在同一时间。请包括从客户端和防火墙的时间戳。这将有助于确定问题,当客户端和防火墙处于不同的时区。

 

移动设备管理器 (MDM)

 

MDM 用于配置和执行政策在移动设备上连接到全球保护门户网站。每当有一个问题与 MDM 相关功能,如招生,政策的实施,我们需要从理事会以下信息 请确保以下信息涵盖的时间窗口,当客户端试图连接时,或当政策会被推送到客户端

  1. Tech_support 文件。
  2. 时间窗口时报告问题的系统日志。

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTgCAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language