Welche IP wird für User-IP-Mapping verwendet, wenn internes GlobalProtect konfiguriert ist und mehrere NIC-Karten aktiviert sind?
Resolution
Wenn der interne GlobalProtect konfiguriert ist, wird kein Tunnel angelegt. Durch das Design meldet GlobalProtect nur eine Client-IP, wenn er Hip Report an ein nicht-Tunnel-Gateway sendet. Das bedeutet, dass die Benutzer Abbildung nur eine IP-Karte abbilden wird, wenn mehrere NICs gleichzeitig aktiviert sind, und das wird die IP sein, durch die der Verkehr das Gateway erreicht. Der GlobalProtect-Client wird sich die verfügbaren Routen-metrischen Werte ansehen und immer die Route mit der niedrigsten Metrik wählen, um GlobalProtect-Client-Events an das GlobalProtect-Gateway zu senden.
Zum Beispiel hat ein PC-Client zwei NIC-Karten:
- Physischer NIC mit IP-192.168.0.21
- WiFi mit IP 192.168.0.19
Im folgenden Beispiel ist der Nutzer über WiFi (IP = 192.168.0.19) mit dem internen Global Protect verbunden:
Die Standard-Route in der PC-Routentabelle ist wie folgt:
C:\Users\test > Route Print
IPv4-Strecken Tabelle
===========================================================================
Aktive Routen:
Netzziel Netmaske Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.19 25
Die GlobalProtect-Nutzer, die auf der Firewall auflisten, zeigen, dass der Benutzer mit 192.168.0.19 verbunden ist und das User-IP-Mapping für den User "Test" auch zeigt 192.168.0.19:
> zeigen die aktuellen globalen schützen Gateway Benutzer
GlobalProtect Gateway: GP_ext (0 Benutzer)
Tunnel Name: GP_ext-N
GlobalProtect Gateway: GP_gateway (1 Benutzer)
Tunnel Name: GP_gateway
Domäne-Benutzername:: Testen
Computer: EVERYDAYLAPTOP
Client:
Private IP: 0.0.0.0
Public IP: 192.168.0.19
ESP: keine
SSL: keine
AnmeldeZeit: 17. September 21:28:41
Logout/Ablauf: 17. Oktober 21:28:41
TTL: 2591896
Inaktivität TTL: 10696
> SHOW User IP-User-Mapping All
IP Vsys von User IdleTimeout (s) MaxTimeout (s)
------------- ------ ------- ------------------------- -------------- -------------
192.168.0.19 vsys1 GP Test 10692 10692
Gesamt: 1 Benutzer
Die folgende Meldung wird in sslvpn-Access. Log zu sehen sein.
> Schwanz folgen ja Webserver-Log sslvpn-Access. log
192.168.0.19--[Di Sep 17 21:37:56 2013 PDT] "POST/SSL-VPN/Login.ESP HTTP/1.1" 200 2036
192.168.0.19--[Di Sep 17 21:37:56 2013 PDT] "POST/SSL-VPN/hipreportcheck.ESP HTTP/1.1" 200 552
192.168.0.19--[Di Sep 17 21:37:56 2013 PDT] "POST/SSL-VPN/hipreport.ESP HTTP/1.1" 200 519
Wenn sich der Benutzer jedoch durch den zweiten NIC mit einem physischen Kabel verbindet, wird die folgende Meldung auf dem sslvpn-Access. log gesehen.
> Schwanz folgen ja Webserver-Log sslvpn-Access. log
192.168.0.21--[Di Sep 17 21:36:40 2013 PDT] "POST/SSL-VPN/Logout.ESP? HTTP/1.1 "200 603
192.168.0.21--[Di Sep 17 21:36:40 2013 PDT] "POST/SSL-VPN/prelogin.ESP HTTP/1.1" 200 642
192.168.0.21--[Di Sep 17 21:36:40 2013 PDT] "POST/SSL-VPN/Login.ESP HTTP/1.1" 200 2036
192.168.0.21--[Di Sep 17 21:36:41 2013 PDT] "POST/SSL-VPN/hipreportcheck.ESP HTTP/1.1" 200 551
Die obige Ausgabe zeigt eine Logout-Veranstaltung, gefolgt von einem Login-Event, das von 192.168.0.21 gesendet wird. Das liegt daran, dass die untere Metrik in der PC-Routentabelle jetzt 192.168.0.21 ist:
C:\Users\test > Route Print
IPv4-Strecken Tabelle
===========================================================================
Aktive Routen:
Netzziel Netmaske Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.19 25
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.21 10
Sofort zeigt die GlobalProtect-Kartierung aktueller Nutzer auf der Firewall die IP des Nutzers als 192.168.0.21 an:
> zeigen die aktuellen globalen schützen Gateway Benutzer
GlobalProtect Gateway: GP_ext (0 Benutzer)
Tunnel Name: GP_ext-N
GlobalProtect Gateway: GP_gateway (1 Benutzer)
Tunnel Name: GP_gateway
Domäne-Benutzername:: Testen
Computer: EVERYDAYLAPTOP
Client:
Private IP: 0.0.0.0
Public IP: 192.168.0.21
ESP: keine
SSL: keine
AnmeldeZeit: 17. September 21:38:41
Logout/Ablauf: 17. Oktober 21:38:41
TTL: 2591896
Inaktivität TTL: 10696
Das User-IP-Mapping für den User "Test" zeigt auch 192.168.0.21:
> SHOW User IP-User-Mapping All
IP Vsys von User IdleTimeout (s) MaxTimeout (s)
------------ -------- ------- -------------------- -------------- -------------
192.168.0.21 vsys1 GP Test 10592 10592
Gesamt: 1 Benutzer
Wenn die WiFi-Adapterkarte jetzt deaktiviert oder getrennt ist, wird das sslvpn-Access. log zeigen, dass die Logout-Veranstaltung aufgrund der Strecken Tabelle und der niedrigeren metrischen Zahl immer noch mit IP 192.168.0.21 gesendet wird. Dies löst auch die Aktualisierung der Kartierung aus, ebenso wie der aktuelle GlobalProtect-Nutzer. In diesem Fall bleiben die Werte unverändert und die Ausgabe wird die gleiche sein:
> Schwanz folgen ja Webserver-Log sslvpn-Access. log
192.168.0.21--[Di Sep 17 21:38:37 2013 PDT] "POST/SSL-VPN/Logout.ESP? HTTP/1.1 "200 603
192.168.0.21--[Di Sep 17 21:38:40 2013 PDT] "POST/SSL-VPN/prelogin.ESP HTTP/1.1" 200 642
192.168.0.21--[Di Sep 17 21:38:41 2013 PDT] "POST/SSL-VPN/Login.ESP HTTP/1.1" 200 2036
192.168.0.21--[Di Sep 17 21:38:41 2013 PDT] "POST/SSL-VPN/hipreportcheck.ESP HTTP/1.1" 200 551
C:\Users\test > Route Print
IPv4-Strecken Tabelle
===========================================================================
Aktive Routen:
Netzziel Netmaske Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.21 10
> zeigen die aktuellen globalen schützen Gateway Benutzer
GlobalProtect Gateway: GP_ext (0 Benutzer)
Tunnel Name: GP_ext-N
GlobalProtect Gateway: GP_gateway (1 Benutzer)
Tunnel Name: GP_gateway
Domäne-Benutzername:: Testen
Computer: EVERYDAYLAPTOP
Client:
Private IP: 0.0.0.0
Public IP: 192.168.0.21
ESP: keine
SSL: keine
AnmeldeZeit: 17. September 21:58:41
Logout/Ablauf: 17. Oktober 21:58:41
TTL: 2591896
Inaktivität TTL: 10696
> SHOW User IP-User-Mapping All
IP Vsys von User IdleTimeout (s) MaxTimeout (s)
------------ ------ ------ ------------------- -------------- -------------
192.168.0.21 vsys1 GP Test 10392 10392
Gesamt: 1 Benutzer
Sehen Sie auch die folgenden docs zur Konfiguration von GlobalProtect:
- Gewusst wie: Konfigurieren von internen GlobalProtect nur
- Gewusst wie: konfigurieren Sie GlobalProtect
- GlobalProtect Konfiguration Technischer Hinweis
Besitzer: Mbutt