Problembehandlung GlobalProtect
Symptom
Probleme im Zusammenhang GlobalProtect mit können weit in die folgenden Kategorien fallen:
– GlobalProtect Kann keine Verbindung zum Portal oder Gateway herstellen
– Agent GlobalProtect verbunden, aber nicht auf Ressourcen zugreifen
–Sonstiges
Dieser Artikel listet einige der häufigsten Probleme und Methoden zur Fehlerbehebung GlobalProtect auf. Der Artikel geht davon aus, dass Sie sich der Grundlagen und der Konfiguration bewusst GlobalProtect sind. Siehe GlobalProtect Ressourcenhandbuch.
Tools zur Fehlerbehebung
Tools und Dienstprogramme zur Fehlerbehebung auf dem Clientcomputer
Ping/Traceroute | Erreichbarkeit mit dem Portal/Gateway überprüfen |
Nslookup | Um sicherzustellen, dass die FQDNs für das Portal/Gateway immer gelöst werden |
Ipconfig / Ifconfig / Netstat -nr / Route drucken | So überprüfen Sie die GlobalProtect vom Client installierten Adaptereinstellungen und Routen GlobalProtect |
MMC (Windows)/Schlüsselbundzugriff ( OSX ) | So installieren und überprüfen Sie die installierten Client-/Root-Zertifikate CA |
Wireshark | So erfassen Sie die Transaktion zwischen dem GlobalProtect Client und dem Portal/Gateway |
Webbrowser | So laden Sie den Client herunter GlobalProtect und bestätigen eine erfolgreiche Verbindung zwischen dem Client und dem SSL Portal/Gateway |
GlobalProtect Registerkarte Clientstatus/Detail | Überprüfen Sie den Status der Verbindung |
GlobalProtect Client-Protokolle | So überprüfen Sie detaillierte Debugprotokolle vom GlobalProtect Client |
Environment
- Pan-OS
- Globalprotect
Resolution
3) Verwenden Sie nslookup auf dem Client, um sicherzustellen, dass der Client die FQDNs für das Portal/Gateway auflösen kann.
4) Öffnen Sie einen Webbrowser und geben Sie die URL : https:// / <Portal- IP FQDN > und/oder https:// / <Gateway- IP FQDN >ein. Dadurch wird sichergestellt, dass die SSL Kommunikation zwischen dem Client und dem Portal/Gateway einwandfrei funktioniert. Der Web-Browser hilft leicht uns die Überprüfung des Zertifikats aus dem Portal/Gateway. Wenn Zertifikatprobleme auftreten, können Browserfehler dazu beitragen, diese zu isolieren. Im Folgenden finden Sie einige Beispiele:
5) Wenn die Browserseite oben nicht richtig geladen wird, überprüfen Sie mit Wireshark, ob der TCP Handshake abgeschlossen ist oder nicht. Verwenden Sie ggf. filter <Portal ip.addr== IP> oder ip.addr==. <gatewayIP></gatewayIP>
6) Wenn das SYN Paket ausgeht und nein empfangen wird, wechseln Sie zu der und sehen Sie, ACK ob die Sitzungen gebildet werden und ob Pakete verworfen firewall werden. Verwenden Sie Dataplane Debug oder kombiniert mit globalen Zähler erfasst, um das gleiche zu überprüfen. Überprüfen Sie sicherheitsrichtlinien NAT usw., um sicherzustellen, dass der Datenverkehr nicht gelöscht wird.
7) Im obigen Fall ist es manchmal auch hilfreich zu überprüfen, ob Dataplane-Ressourcen fehlerfrei sind. Überprüfen Sie die folgenden Befehle, um eine Ressourcenüberauslastung zu finden: > zeigen das Ausführen von
Ressourcenmonitoren
> Debugdatenebenenpoolstatistiken
8) Aktivieren Sie appweb3-sslvpn.log weitere Informationen, wenn Pakete nicht auf der Datenebene abgelegt werden.
9) Wenn die Anmeldeseite ordnungsgemäß geladen wird, wird im Browser GlobalProtect möglicherweise das Clientzertifikat angefragt, wenn die clientzertifikatbasierte Authentifizierung im Portal aktiviert ist.
10) Überprüfen Sie, ob das richtige Clientzertifikat in den Zertifikatspeicher des Computers und den Zertifikatspeicher des Browsers geladen wird.
11) Wenn Sie den Fehler "Gültiges Clientzertifikat ist erforderlich" erhalten, importieren Sie das Clientzertifikat in den Browser und den Clientcomputer.
'Gültiges Clientzertifikat ist erforderlich' Fehler beim Zugriff auf die Portaladresse im Firefox
Internet Explorer Browser Fehler: "Gültiges Clientzertifikat erforderlich"
12) Versuchen Sie, sich bei der GlobalProtect Portal-Webseite anzumelden. Dadurch wird bestätigt, dass die Authentifizierung einwandfrei funktioniert.
13) Wenn Sie sich nicht anmelden können, überprüfen Sie die firewall authd-Protokolle, um den Fehler zu sehen. Das folgende Dokument kann hilfreich sein, wenn Sie LDAP die Authentifizierung verwenden: So beheben Sie die LDAP Authentifizierung
14) Wenn Sie sich bei der Portal-Webseite anmelden können, laden Sie den Client herunter und installieren Sie GlobalProtect ihn, sofern er noch nicht installiert ist.
15) Öffnen Sie den GlobalProtect Client, und geben Sie die erforderlichen Einstellungen (Benutzername/ Passwort / Portal) ein und klicken Sie auf Übernehmen.
16) Beachten Sie die Meldung, die auf der Registerkarte Status angezeigt wird.
17) Sammeln Sie die Protokolle auf dem GlobalProtect Client, wie im verwendeten Abschnitt der Tools erwähnt, und öffnen Sie die PanGPS.log-Datei im ziped-Ordner.
18) Gehen Sie durch die Protokolle, und basierend auf Fehlermeldungen, ergreifen Sie Korrekturmaßnahmen oder Fehlerbehebung.
19) Gleichzeitig müssen Sie möglicherweise die mp-log/appweb3-sslvpn.log auf der firewall für weitere Informationen überprüfen.
Häufige Probleme
keine Verbindung zum Portal oder Gateway herstellen Nach dem obenbeschriebenen Fehlerbehebungsansatz, wenn Sie die folgenden Fehler erhalten:
1) Konnte keine Verbindung mit Portal (oder ähnlichen Symptomen) erhalten
– GlobalProtectClientfehler: Portaladresse nicht gefunden
– Client GlobalProtectnicht verbinden
– Client beim Verbinden, wenn sich GlobalProtectdie Arbeitsstation im lokalen Netzwerk befindet
– Client kann auf GlobalProtectneu installiertem Computer
keine Verbindung herstellen2) Erforderliches Clientzertifikat wurde nicht gefunden
– keine Verbindung hergestellt GlobalProtect– erforderliches Clientzertifikat wurde nicht gefunden
3) "Serverzertifikatsüberprüfung fehlgeschlagen" oder "Protokollfehler". Serverzertifikat überprüfen
– GPClientfehler: Gatewayprotokollfehler, Serverzertifikat überprüfen
– Aufgrund eines Fehlers konnte nicht auf fehlerbehaftet GlobalProtect (3659)
4) SetDoc fehlgeschlagen sein. Meldung: Fehler, die config werden GlobalProtect
–GlobalProtect Clientfehler: "Fehler bei SetDoc. Meldung: Fehler immer GlobalProtect config"
5) [ OCSP ] Das Ergebnis der Zertifikatstatusabfrage ist nicht verfügbar
– Validierung OCSPdes Clientzertifikats funktioniert nicht
6) Erkennen
des Netzwerks– Wie man Treiberprobleme behebt, die dazu GlobalProtect führen, dass "Netzwerk entdecken" feststeckt.
7) IpReleaseAddress fehlgeschlagen: Der RPC Server ist nicht verfügbar
8) Element nicht gefunden
– https://social.technet.microsoft.com/Forums/windows/en- US /b7271ae2-1422-4da0-92b1-56c69905d3f6/netsh-does-not-work-to-set-ip-address-of-wireless-network-connection?forum=w7itpronetworking
9) Virtuelle PANGP Adapterschnittstelle konnte nicht gefunden werden
10) Fehler beim Abrufen eines Standardrouteneintrags
11) Es kann keine Verbindung mit root-cimv2 hergestellt werden.
12) Zuweisen privater IP Adresse fehlgeschlagen
GlobalProtect Agent verbunden, aber nicht auf Ressourcen zugreifen
1) Überprüfen Sie, ob der virtuelle GlobalProtect Clientadapter eine IP Adresse, DNS Suffix und Zugriffsrouten für die Remoteressourcen erhält. Sie können die GlobalProtect Registerkarte Clientpanel Detail oder die Befehlszeilentools wie ipconfig/all, ifconfig, nslookup, netstat -nr, route print etc. für dasselbe verwenden.
2) Überprüfen Sie, ob Port 4501 nicht auf den Palo Alto-Netzwerken firewall oder der Client-Seite (auf ) oder irgendwo dazwischen blockiert firewall PC ist, da dies von IPSec für die Datenkommunikation zwischen dem Client und dem verwendet GlobalProtect firewall wird. Pcaps auf der physischen Clientschnittstelle oder pcaps und Debugs auf der firewall können dazu beitragen, sicherzustellen, dass Pakete nirgendwo abgelegt werden.
3) Überprüfen Sie, ob der Firewall mit den richtigen Sicherheitsrichtlinien konfiguriert ist, um den Datenverkehr aus dem IP Pool zuzulassen, der dem virtuellen Clientadapter zugewiesen GlobalProtect ist. Der policy sollte von der Zone der Tunnelschnittstelle zur Zone der geschützten Ressource konfiguriert werden. Tools wie Verkehr Protokolle, Paket erfasst, Dataplane Debug mit globalen Leistungsindikatoren können verwendet werden, um diese zu beheben. Paketerfassungen auf dem Client auf dem GlobalProtect Adapter können helfen, die vom Client gesendeten Pakete mit dem zu vergleichen, was auf der und umgekehrt empfangen firewall wird.
4) Prüfen Sie, ob es eine richtige Route für den Pool gibt, IP der im Netzwerk für den Antwortverkehr genutzt GlobalProtect wird. Wenn Sie das dynamische routing verwenden, müssen Sie diese Routen in der routing-Protokoll von Palo Alto Networks verteilen. Erfassungen in den Palo Alto-Netzwerken für unverschlüsselten Datenverkehr können helfen herauszufinden, ob die Pakete in Richtung der Ressourcen gesendet werden firewall und ob sie eine Antwort firewall erhalten.
5) Überprüfen Sie, ob der Firewall die IP-Benutzerzuordnung vom GlobalProtect Client erhält. Überprüfen Sie mit > zeigen Sie <ip></ip> Benutzer ip-user-mapping ip an, um sicherzustellen, dass die firewall Gruppe, zu der der Benutzer gehört, gefunden werden kann. Wenn die Gruppenzuordnung nicht ordnungsgemäß aufgefüllt ist, beheben Sie das Problem ID benutzerfrei.
Fehlerbehebung Benutzer-ID:Gruppe und Benutzer-to- IP Mapping
User-ID Ressourcenliste
6) Überprüfen Sie, ob die firewall HIPDaten vom Client GlobalProtect abrufen, und ob das Objekt ordnungsgemäß konfiguriert und in der HIP Sicherheitsregel zulässig ist. So beheben Sie HIP Daten