如何检测时全球保护客户端无法建立 IPSec VPN 隧道与 GP 网关

如何检测时全球保护客户端无法建立 IPSec VPN 隧道与 GP 网关

94272
Created On 09/25/18 19:50 PM - Last Modified 04/27/20 18:03 PM


Symptom


症状

方案

全球保护网关配置 IPSec 选项处于启用状态,意味着 GlobalProtect 客户端将始终尝试建立 IPSec VPN 隧道连接到 GlobalProtect 网关时。VPN 的 IPSec 连接失败,将降至 SSL 协议。

 

KB32-GP IPSec vs SSL VPN 检测。PNG

 

诊断

Resolution


如果你想要监测 GlobalProtect 客户端无法形成 IPSec 隧道,有能力,历史上追踪这种条件时,可以使用两个选项之一解释如下。

 

当客户端连接到通过 SSL 网关时,防火墙会在系统日志中生成以下条目:

2016/04/19 12:41:13 信息 globalp GP Gat globalp 0 GlobalProtect 网关客户端切换到 SSL 隧道模式成功了。用户名: 客户端 2,专用 IP: 10.225.18.2.

所以第一个选项将监视系统日志和检测这像条目作为 SSL VPN 正在建立而不是 IPSec VPN 的征兆。

 

此外,如果 rasmgr 进程被设置为调试级别 (在调试调试 rasmgr) 下面几行是在 rasmgr.log 文件中时生成客户端形成 IPSec 隧道:

2016-04-19 12:43:11.127 0800年调试: sslvpn_tunnel_install_esp(src/rasmgr_sslvpn.c:2738): keymgr 安装 GW 隧道,指示

2016-04-19 12:43:23.129 0800年调试: rasmgr_sslvpn_refresh(src/rasmgr_sslvpn.c:1901): 门户 GP-网关-N,用户客户端 2

 

当客户端回退到 SSL VPN 隧道时,在 rasmgr.log 文件中生成的以下行:

2016-04-19 12:41:13.472 0800年调试: rasmgr_sysd_update_obj(src/rasmgr_sysd_if.c:1099): 更改 tunnel.ssl.cmd.msg

2016-04-19 12:41:24.262 0800年调试: rasmgr_sslvpn_refresh(src/rasmgr_sslvpn.c:1901): 门户 GP-网关-N,用户客户端 2
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClfoCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language