Comment détecter quand protéger Global client ne parvient pas à établir le tunnel VPN IPSec avec la passerelle GP
Symptom
Symptômes
Scénario
Portail mondial de Protect est configuré avec l’option IPSec activée, ce qui signifie que GlobalProtect clients essaiera toujours d’établir le tunnel VPN IPSec lorsqu’il se connecte à la passerelle de GlobalProtect. Si ne pas la connexion IPSec, VPN vous renverra au protocole SSL.
Resolution
Si l'on veut surveiller quand GlobalProtect clients ne parviennent pas à former le tunnel IPSec et ont la capacité de retracer historiquement ces conditions, il peut être fait en utilisant une des deux options expliquées ci-dessous.
Lorsque le client se connecte à la passerelle via SSL, le pare-feu génère l’entrée suivante dans le journal système :
2016/04/19 12:41:13 info globalp GP-Gat globalp 0 GlobalProtect passerelle client basculer vers le mode de tunnel SSL a réussi. Nom d’utilisateur : client2, Private IP : 10.225.18.2.
Si la première option serait de surveiller les journaux système et détecter cette comme entrée comme une indication de SSL VPN mis en place au lieu de VPN IPSec.
En outre, si le processus de rasmgr a la valeur debug (débogage rasmgr sur débogage) de niveau les lignes suivantes sont générées dans le fichier rasmgr.log lorsque le client forme tunnel IPSec :
2016-04-19 12:43:11.127 + 0200 debug : sslvpn_tunnel_install_esp(src/rasmgr_sslvpn.c:2738) : installation de Tunnel de GW, indiquer au keymgr
2016-04-19 12:43:23.129 + 0200 debug : rasmgr_sslvpn_refresh(src/rasmgr_sslvpn.c:1901) : portail GP-passerelle-N, utilisateur client2
Lorsque le client revient de tunnel VPN SSL, les lignes suivantes sont générées dans le fichier rasmgr.log :
2016-04-19 12:41:13.472 + 0200 debug : rasmgr_sysd_update_obj(src/rasmgr_sysd_if.c:1099) : changer tunnel.ssl.cmd.msg
2016-04-19 12:41:24.262 + 0200 debug : rasmgr_sslvpn_refresh(src/rasmgr_sslvpn.c:1901) : portail GP-passerelle-N, utilisateur client2