Solución de problemas GlobalProtect
1373067
Created On 09/25/18 20:40 PM - Last Modified 03/15/24 20:37 PM
Symptom
Las cuestiones relacionadas pueden pasar ampliamente a GlobalProtect las siguientes categorías:
– GlobalProtect no se puede conectar al portal o puerta de enlace
– agente conectado pero incapaz de acceder a los GlobalProtect recursos
– Varios
Este artículo enumera algunos de los problemas y métodos comunes para solucionar GlobalProtect problemas. En el artículo se supone que está al tanto de los conceptos básicos GlobalProtect y su configuración. Consulte la GlobalProtect guía de recursos.
Herramientas utilizadas para solucionar problemas de
herramientas y utilidades para solucionar problemas en el equipo cliente
Traceroute/ping | Para comprobar la accesibilidad a la pasarela de portal |
Nslookup | Para asegurarse de que el FQDN para el portal/gateway se que resuelven |
Ipconfig / Ifconfig / Netstat -nr / ruta de impresión | Para verificar la configuración del GlobalProtect adaptador y las rutas instaladas por el GlobalProtect cliente |
MMC (Windows)/Acceso a llaveros ( OSX ) | Para instalar y verificar los certificados de cliente/raíz CA instalados |
Wireshark | Para capturar la transacción entre el GlobalProtect cliente y el portal/puerta de enlace |
Navegador web | Para descargar el GlobalProtect cliente y confirmar la conexión correcta entre el cliente y el SSL portal/puerta de enlace |
GlobalProtect Ficha Estado/Detalle del cliente | Para comprobar el estado de la conexión |
| GlobalProtect registros de cliente | Para comprobar los registros detallados de depuración del GlobalProtect cliente |
Environment
- Pan-OS
- Globalprotect
Resolution
3) Utilice nslookup en el cliente para asegurarse de que el cliente puede resolver los FQDN para el portal/puerta de enlace.
4) Abra un navegador web e introduzca: URL https:// / <Portal- IP FQDN > y /o https:// / <Gateway- IP FQDN >. Esto se asegurará de que la SSL comunicación entre el cliente y el portal/puerta de enlace esté funcionando correctamente. El navegador fácilmente nos ayuda a comprobar el certificado desde el portal/puerta de enlace. Si hay problemas de certificado, los errores del explorador pueden ayudar a aislarlos. A continuación se muestran algunos ejemplos:
– La Autoridad de Firma no es de confianza
– El nombre común en el certificado es diferente del SNI solicitado por el cliente, o no contiene SAN el nombre adecuado DNS
– La validez del certificado expiró
– Cualquier problema en la cadena de certificados
5) Si la página del navegador anterior no se está cargando correctamente, consulte con Wireshark para ver si el TCP apretón de manos está completo o no. Utilice el filtro <Portal ip.addr== IP> o ip.addr== <gatewayIP></gatewayIP> según corresponda.
6) Si el SYN paquete está saliendo y no se ACK recibe, muévase al firewall y vea si las sesiones se están formando, y si los paquetes se están bajando. Usar dataplane depura o capturas combinados con contadores globales para controlar el mismo. Compruebe las directivas de NAT seguridad, etc. para asegurarse de que el tráfico no se está descartando.
7) En el caso anterior, a veces también es útil comprobar si los recursos del plan de datos son saludables. Compruebe los siguientes comandos para encontrar cualquier sobreutilización de recursos:
> mostrar la ejecución del monitor de recursos
> depurar estadísticas del grupo de planes de datos
8) Comprobar appweb3-sslvpn.log para obtener más información, si los paquetes no se quitan en el plano de datos.
9) Desde el explorador, si la GlobalProtect página de inicio de sesión se está cargando correctamente, podría solicitar el certificado de cliente si la autenticación basada en certificados de cliente está habilitada en el portal.
10) Compruebe si el certificado de cliente adecuado está cargado en el almacén de certificados del equipo y en el almacén de certificados del explorador.
11) Si está recibiendo el error 'se requiere un certificado de cliente válido', importe el certificado de cliente en el explorador y el equipo cliente.
'Se requiere un certificado de cliente válido' error al acceder a la dirección del portal en el
error del navegador Firefox InternetExplorer: "Se requiere un certificado de cliente válido"
12) Intente iniciar sesión en la página Web del GlobalProtect portal. Esto confirmará que la autenticación funciona bien.
13) Si no puede iniciar sesión, compruebe los firewall registros de autenticación para ver cuál es el error. El siguiente documento puede ser útil si utiliza LDAP la autenticación: Cómo solucionar problemas de LDAP autenticación
14) Si puede iniciar sesión en la página Web del portal, descargue e instale el GlobalProtect cliente, si aún no está instalado.
15) Abra el GlobalProtect cliente e introduzca la configuración requerida (Nombre de usuario/ Contraseña / Portal) y haga clic en Aplicar.
16) Observe el mensaje que se muestra en la pestaña Estado.
17) Recoja los registros en el GlobalProtect cliente, como se menciona en las herramientas utilizadas sección, y abra el archivo PanGPS.log en la carpeta comprimida.
18) Ir a través de los registros, y basado en mensajes de error, tomar medidas correctivas o solucionar problemas.
19) Simultáneamente, es posible que deba comprobar el mp-log/appweb3-sslvpn.log para firewall obtener más información.
5) Si la página del navegador anterior no se está cargando correctamente, consulte con Wireshark para ver si el TCP apretón de manos está completo o no. Utilice el filtro <Portal ip.addr== IP> o ip.addr== <gatewayIP></gatewayIP> según corresponda.
6) Si el SYN paquete está saliendo y no se ACK recibe, muévase al firewall y vea si las sesiones se están formando, y si los paquetes se están bajando. Usar dataplane depura o capturas combinados con contadores globales para controlar el mismo. Compruebe las directivas de NAT seguridad, etc. para asegurarse de que el tráfico no se está descartando.
7) En el caso anterior, a veces también es útil comprobar si los recursos del plan de datos son saludables. Compruebe los siguientes comandos para encontrar cualquier sobreutilización de recursos:
> mostrar la ejecución del monitor de recursos
> depurar estadísticas del grupo de planes de datos
8) Comprobar appweb3-sslvpn.log para obtener más información, si los paquetes no se quitan en el plano de datos.
9) Desde el explorador, si la GlobalProtect página de inicio de sesión se está cargando correctamente, podría solicitar el certificado de cliente si la autenticación basada en certificados de cliente está habilitada en el portal.
10) Compruebe si el certificado de cliente adecuado está cargado en el almacén de certificados del equipo y en el almacén de certificados del explorador.
11) Si está recibiendo el error 'se requiere un certificado de cliente válido', importe el certificado de cliente en el explorador y el equipo cliente.
'Se requiere un certificado de cliente válido' error al acceder a la dirección del portal en el
error del navegador Firefox InternetExplorer: "Se requiere un certificado de cliente válido"
12) Intente iniciar sesión en la página Web del GlobalProtect portal. Esto confirmará que la autenticación funciona bien.
13) Si no puede iniciar sesión, compruebe los firewall registros de autenticación para ver cuál es el error. El siguiente documento puede ser útil si utiliza LDAP la autenticación: Cómo solucionar problemas de LDAP autenticación
14) Si puede iniciar sesión en la página Web del portal, descargue e instale el GlobalProtect cliente, si aún no está instalado.
15) Abra el GlobalProtect cliente e introduzca la configuración requerida (Nombre de usuario/ Contraseña / Portal) y haga clic en Aplicar.
16) Observe el mensaje que se muestra en la pestaña Estado.
17) Recoja los registros en el GlobalProtect cliente, como se menciona en las herramientas utilizadas sección, y abra el archivo PanGPS.log en la carpeta comprimida.
18) Ir a través de los registros, y basado en mensajes de error, tomar medidas correctivas o solucionar problemas.
19) Simultáneamente, es posible que deba comprobar el mp-log/appweb3-sslvpn.log para firewall obtener más información.
Problemas comunes
GlobalProtectno se puede conectar al portal o a
la puerta de enlace Después de seguir el enfoque de solución de problemasanterior, si está recibiendo los siguientes errores:
1) No se pudo conectar al portal (o síntomas similares)
– Error GlobalProtectdel cliente: no encontró la dirección del portal
– Cliente que no GlobalProtectse conecta
– Cliente atascado en la conexión cuando la estación de trabajo está en la red local– GlobalProtectCliente incapaz de conectarse en la máquina recién instalada
2) No se encuentra certificado de cliente requerido
– no se pudo conectar - Certificado de cliente requerido no GlobalProtectse encuentra
3) 'Error en GlobalProtectla
verificación del certificado del servidor' o 'Protocolo. Comprobar certificado de servidor
– GPError de cliente: error del protocolo de puerta de enlace, comprobar certificado del servidor
– No se puede acceder debido al error GlobalProtect (3659)
4) No se pudo establecerdoc. Mensaje: errores al obtener GlobalProtect la configuración
–GlobalProtect Error del cliente: "No se pudo establecerdoc. Mensaje: errores para obtener GlobalProtect config"
5) [ OCSP ] El resultado de la consulta de estado del certificado no está disponible
– Validación del certificado de cliente que OCSPno funciona
6) Detección de la red
– Cómo solucionar problemas del controlador en esa causa GlobalProtect "Detección de red" para estar atascado.
7) Error de IpReleaseAddress: El RPC servidor no está disponible
la puerta de enlace Después de seguir el enfoque de solución de problemasanterior, si está recibiendo los siguientes errores:
1) No se pudo conectar al portal (o síntomas similares)
– Error GlobalProtectdel cliente: no encontró la dirección del portal
– Cliente que no GlobalProtectse conecta
– Cliente atascado en la conexión cuando la estación de trabajo está en la red local– GlobalProtectCliente incapaz de conectarse en la máquina recién instalada
2) No se encuentra certificado de cliente requerido
– no se pudo conectar - Certificado de cliente requerido no GlobalProtectse encuentra
3) 'Error en GlobalProtectla
verificación del certificado del servidor' o 'Protocolo. Comprobar certificado de servidor
– GPError de cliente: error del protocolo de puerta de enlace, comprobar certificado del servidor
– No se puede acceder debido al error GlobalProtect (3659)
4) No se pudo establecerdoc. Mensaje: errores al obtener GlobalProtect la configuración
–GlobalProtect Error del cliente: "No se pudo establecerdoc. Mensaje: errores para obtener GlobalProtect config"
5) [ OCSP ] El resultado de la consulta de estado del certificado no está disponible
– Validación del certificado de cliente que OCSPno funciona
6) Detección de la red
– Cómo solucionar problemas del controlador en esa causa GlobalProtect "Detección de red" para estar atascado.
7) Error de IpReleaseAddress: El RPC servidor no está disponible
– Intente desinstalar cualquier otro adaptador virtual
– Intente reinstalar el GlobalProtect cliente después de quitar todos los componentes
– Intente detener e iniciar los RPC Servicios:
– – Haga clic en el inicio y vaya a la ventana Ejecutar.
– – En ejecución, escriba services.msc
– – Localizar el servicio de llamada de procedimiento remoto.
– – Iniciar procedimiento remoto Llamar al servicio, haciendo clic con el botón derecho en el servicio. Si es iniciado, detenerla y comenzar de nuevo.
– – Reinicie el y ver si el problema PC persiste.
– – También puede intentar reinstalar Windows OS en el equipo.
– – Póngase en contacto con el soporte técnico si el problema persiste.
8) Elemento no encontrado
– https://social.technet.microsoft.com/Forums/windows/en- US /b7271ae2-1422-4da0-92b1-56c69905d3f6/netsh-does-not-work-to-set-ip-address-of-wireless-network-connection?forum=w7itpronetworking
8) Elemento no encontrado
– https://social.technet.microsoft.com/Forums/windows/en- US /b7271ae2-1422-4da0-92b1-56c69905d3f6/netsh-does-not-work-to-set-ip-address-of-wireless-network-connection?forum=w7itpronetworking
– Intente actualizar los parches de Microsoft en el equipo cliente.
– Intente instalar una versión de cliente GlobalProtect diferente.
– Compruebe las notas de la versión de Palo Alto para cualquier problema reportado.
– Póngase en contacto con el soporte técnico si el problema persiste.
9) No se pudo encontrar la PANGP interfaz del adaptador virtual
9) No se pudo encontrar la PANGP interfaz del adaptador virtual
– Deshabilite WMI los servicios. Ejecute - services.msc - WMI - detenga los servicios.
– Elimine GlobalProtect los archivos relacionados, desinstalados, GlobalProtect asegúrese de que el adaptador virtual desapareció.
– Reinicie el equipo, vuelva a instalarlo y compruebe el estado.
– Reinstalar el cliente OS podría ayudar si la situación lo permite.
– Póngase en contacto con el soporte técnico si el problema persiste.
10) No se pudo obtener la entrada de ruta predeterminada
10) No se pudo obtener la entrada de ruta predeterminada
– Desinstalar Reinstalar el GlobalProtect cliente
– Si hay disponible una versión más reciente del GlobalProtect cliente y si la situación lo permite, intente instalar la versión más reciente.
– Intente reiniciar Windows DHCP : Ejecutar - servicios.. msc - DHCP Cliente - Detenga el servicio, inicie el servicio.
– Actualizar los parches o revisiones de Microsoft: https://support.microsoft.com/en-us/kb/2459530
– Póngase en contacto con el soporte técnico si el problema persiste.
11) No se puede conectar a root-cimv2
11) No se puede conectar a root-cimv2
– Necesidad de reconstruir WMI el repositorio. Por favor compruebe que no afectan a otros servicios.
– Si hay algún problema, póngase en contacto con el soporte técnico.
12) Error al asignar dirección privada IP
12) Error al asignar dirección privada IP
– Compruebe si el IP grupo de direcciones tiene suficientes direcciones IP
– Compruebe si el IP grupo no se superpone con el IP PC cliente.
– Compruebe si el grupo de usuarios utilizado en global Protec > puerta de enlace > configuración de cliente > configuración de red se incluye correctamente en las asignaciones de grupo en el firewall y es capaz de capturar el grupo desde el firewall AD servidor.
– Compruebe si el usuario pertenece al grupo correcto como se menciona en Configuración de red de configuración de cliente en GP gateway.
GlobalProtect agente conectado pero no puede acceder a los recursos
1) Compruebe si el adaptador virtual de cliente está obteniendo una GlobalProtect IP dirección, DNS sufijo y rutas de acceso para los recursos remotos. Puede utilizar la GlobalProtect pestaña Detalle del panel cliente o las herramientas de línea de comandos como ipconfig/all, ifconfig, nslookup, netstat -nr, route print, etc. para el mismo.
2) Marque para ver que el puerto 4501 no está bloqueado en las redes de Palo Alto firewall o el lado del cliente ( en ) o en algún lugar intermedio, ya que esto es utilizado por firewall PC IPsec para la comunicación de datos entre el GlobalProtect cliente y el firewall . Los Pcaps en la interfaz física del cliente o los pcaps y los debugs en el firewall can ayudan a asegurarse de que los paquetes no se caen en ninguna parte.
3) Compruebe si el Firewall está configurado con las directivas de seguridad adecuadas para permitir el tráfico desde el IP grupo asignado al adaptador virtual del GlobalProtect cliente. El policy debe configurarse de la zona de la interfaz del túnel a la zona del recurso protegido. Herramientas como registros de tráfico, captura de paquetes, dataplane depura con contadores globales puede utilizarse para solucionar esto. Las capturas de paquetes en el cliente en el GlobalProtect adaptador pueden ayudar a comparar los paquetes enviados por el cliente con lo que se recibe en el firewall y viceversa.
4) Marque si hay ruta apropiada para el pool usado por en la red para el tráfico IP de GlobalProtect respuesta. Si está utilizando enrutamiento dinámico, deberá redistribuir estas rutas en el protocolo de enrutamiento de Palo Alto Networks. Las capturas en las redes de Palo Alto para el firewall tráfico sin cifrar pueden ayudar a averiguar si firewall está enviando los paquetes hacia los recursos y si está recibiendo alguna respuesta.
5) Compruebe si Firewall el está recibiendo la asignación de IP-usuario del GlobalProtect cliente. Verifique usando > mostrar <ip></ip> ip-user-mapping IP del usuario para asegurarse de que el es capaz de encontrar el grupo del que el usuario es firewall parte. Si la asignación de grupo no se rellena correctamente, solucione el problema del ID usuario.
Solución de problemas usuario-ID: Grupoy usuario-to- IP Asignación
deusuario-ID lista de recursos
6) Compruebe si el cliente está obteniendo los firewall HIPdatos y si el objeto está configurado correctamente y permitido en la regla de GlobalProtect HIP seguridad. Cómo solucionar problemas de HIP datos
GlobalProtect agente conectado pero no puede acceder a los recursos
1) Compruebe si el adaptador virtual de cliente está obteniendo una GlobalProtect IP dirección, DNS sufijo y rutas de acceso para los recursos remotos. Puede utilizar la GlobalProtect pestaña Detalle del panel cliente o las herramientas de línea de comandos como ipconfig/all, ifconfig, nslookup, netstat -nr, route print, etc. para el mismo.
2) Marque para ver que el puerto 4501 no está bloqueado en las redes de Palo Alto firewall o el lado del cliente ( en ) o en algún lugar intermedio, ya que esto es utilizado por firewall PC IPsec para la comunicación de datos entre el GlobalProtect cliente y el firewall . Los Pcaps en la interfaz física del cliente o los pcaps y los debugs en el firewall can ayudan a asegurarse de que los paquetes no se caen en ninguna parte.
3) Compruebe si el Firewall está configurado con las directivas de seguridad adecuadas para permitir el tráfico desde el IP grupo asignado al adaptador virtual del GlobalProtect cliente. El policy debe configurarse de la zona de la interfaz del túnel a la zona del recurso protegido. Herramientas como registros de tráfico, captura de paquetes, dataplane depura con contadores globales puede utilizarse para solucionar esto. Las capturas de paquetes en el cliente en el GlobalProtect adaptador pueden ayudar a comparar los paquetes enviados por el cliente con lo que se recibe en el firewall y viceversa.
4) Marque si hay ruta apropiada para el pool usado por en la red para el tráfico IP de GlobalProtect respuesta. Si está utilizando enrutamiento dinámico, deberá redistribuir estas rutas en el protocolo de enrutamiento de Palo Alto Networks. Las capturas en las redes de Palo Alto para el firewall tráfico sin cifrar pueden ayudar a averiguar si firewall está enviando los paquetes hacia los recursos y si está recibiendo alguna respuesta.
5) Compruebe si Firewall el está recibiendo la asignación de IP-usuario del GlobalProtect cliente. Verifique usando > mostrar <ip></ip> ip-user-mapping IP del usuario para asegurarse de que el es capaz de encontrar el grupo del que el usuario es firewall parte. Si la asignación de grupo no se rellena correctamente, solucione el problema del ID usuario.
Solución de problemas usuario-ID: Grupoy usuario-to- IP Asignación
deusuario-ID lista de recursos
6) Compruebe si el cliente está obteniendo los firewall HIPdatos y si el objeto está configurado correctamente y permitido en la regla de GlobalProtect HIP seguridad. Cómo solucionar problemas de HIP datos