Cómo detectar cuando cliente proteger Global establecer el túnel IPSec VPN con el Gateway de GP
Symptom
Síntomas de
Escenario
Global gateway protege está configurado con la opción IPSec habilitada, lo que significa que GlobalProtect clientes siempre tratará de establecer el túnel IPSec VPN cuando se conecta a la entrada de GlobalProtect. Si falla la conexión IPSec, VPN caerá de vuelta al protocolo SSL.
Resolution
Si uno quiere controlar cuando GlobalProtect clientes no forman túnel IPSec y tienen capacidad de rastrear históricamente tales condiciones, se puede hacer utilizando una de las dos opciones se explica a continuación.
Cuando el cliente se conecta a la puerta de entrada a través de SSL, firewall genera la siguiente entrada en el registro del sistema:
2016-04-19 12:41:13 cliente de gateway de información globalp GP-Gat globalp 0 GlobalProtect cambiar a modo de túnel SSL tuvo éxito. Nombre de usuario: cliente2, IP privada: 10.225.18.2.
Así que la primera opción sería monitorizar logs del sistema y detectar esto como entrada como indicación de SSL VPN se estableció en lugar de IPSec VPN.
Además, si rasmgr proceso es depurar (debug rasmgr en debug) de nivel las siguientes líneas se generan en el archivo rasmgr.log cuando cliente IPSec túnel:
2016-04-19 12:43:11.127 + 0200 depuración: sslvpn_tunnel_install_esp(src/rasmgr_sslvpn.c:2738): instalación de túnel de GW, indicar a keymgr
2016-04-19 12:43:23.129 + 0200 depuración: rasmgr_sslvpn_refresh(src/rasmgr_sslvpn.c:1901): portal GP-Gateway-N, usuario cliente2
Cuando el cliente cae de nuevo al túnel de VPN SSL, las siguientes líneas se generan en el archivo rasmgr.log:
2016-04-19 12:41:13.472 + 0200 depuración: rasmgr_sysd_update_obj(src/rasmgr_sysd_if.c:1099): tunnel.ssl.cmd.msg de cambio
2016-04-19 12:41:24.262 + 0200 depuración: rasmgr_sslvpn_refresh(src/rasmgr_sslvpn.c:1901): portal GP-Gateway-N, usuario cliente2