Solución de problemas GlobalProtect
Symptom
Las cuestiones relacionadas pueden pasar ampliamente a GlobalProtect las siguientes categorías:
– GlobalProtect no se puede conectar al portal o puerta de enlace
– agente conectado pero incapaz de acceder a los GlobalProtect recursos
– Varios
Este artículo enumera algunos de los problemas y métodos comunes para solucionar GlobalProtect problemas. En el artículo se supone que está al tanto de los conceptos básicos GlobalProtect y su configuración. Consulte la GlobalProtect guía de recursos.
Herramientas utilizadas para solucionar problemas de
herramientas y utilidades para solucionar problemas en el equipo cliente
Traceroute/ping | Para comprobar la accesibilidad a la pasarela de portal |
Nslookup | Para asegurarse de que el FQDN para el portal/gateway se que resuelven |
Ipconfig / Ifconfig / Netstat -nr / ruta de impresión | Para verificar la configuración del GlobalProtect adaptador y las rutas instaladas por el GlobalProtect cliente |
MMC (Windows)/Acceso a llaveros ( OSX ) | Para instalar y verificar los certificados de cliente/raíz CA instalados |
Wireshark | Para capturar la transacción entre el GlobalProtect cliente y el portal/puerta de enlace |
Navegador web | Para descargar el GlobalProtect cliente y confirmar la conexión correcta entre el cliente y el SSL portal/puerta de enlace |
GlobalProtect Ficha Estado/Detalle del cliente | Para comprobar el estado de la conexión |
GlobalProtect registros de cliente | Para comprobar los registros detallados de depuración del GlobalProtect cliente |
Environment
- Pan-OS
- Globalprotect
Resolution
3) Utilice nslookup en el cliente para asegurarse de que el cliente puede resolver los FQDN para el portal/puerta de enlace.
4) Abra un navegador web e introduzca: URL https:// / <Portal- IP FQDN > y /o https:// / <Gateway- IP FQDN >. Esto se asegurará de que la SSL comunicación entre el cliente y el portal/puerta de enlace esté funcionando correctamente. El navegador fácilmente nos ayuda a comprobar el certificado desde el portal/puerta de enlace. Si hay problemas de certificado, los errores del explorador pueden ayudar a aislarlos. A continuación se muestran algunos ejemplos:
5) Si la página del navegador anterior no se está cargando correctamente, consulte con Wireshark para ver si el TCP apretón de manos está completo o no. Utilice el filtro <Portal ip.addr== IP> o ip.addr== <gatewayIP></gatewayIP> según corresponda.
6) Si el SYN paquete está saliendo y no se ACK recibe, muévase al firewall y vea si las sesiones se están formando, y si los paquetes se están bajando. Usar dataplane depura o capturas combinados con contadores globales para controlar el mismo. Compruebe las directivas de NAT seguridad, etc. para asegurarse de que el tráfico no se está descartando.
7) En el caso anterior, a veces también es útil comprobar si los recursos del plan de datos son saludables. Compruebe los siguientes comandos para encontrar cualquier sobreutilización de recursos:
> mostrar la ejecución del monitor de recursos
> depurar estadísticas del grupo de planes de datos
8) Comprobar appweb3-sslvpn.log para obtener más información, si los paquetes no se quitan en el plano de datos.
9) Desde el explorador, si la GlobalProtect página de inicio de sesión se está cargando correctamente, podría solicitar el certificado de cliente si la autenticación basada en certificados de cliente está habilitada en el portal.
10) Compruebe si el certificado de cliente adecuado está cargado en el almacén de certificados del equipo y en el almacén de certificados del explorador.
11) Si está recibiendo el error 'se requiere un certificado de cliente válido', importe el certificado de cliente en el explorador y el equipo cliente.
'Se requiere un certificado de cliente válido' error al acceder a la dirección del portal en el
error del navegador Firefox InternetExplorer: "Se requiere un certificado de cliente válido"
12) Intente iniciar sesión en la página Web del GlobalProtect portal. Esto confirmará que la autenticación funciona bien.
13) Si no puede iniciar sesión, compruebe los firewall registros de autenticación para ver cuál es el error. El siguiente documento puede ser útil si utiliza LDAP la autenticación: Cómo solucionar problemas de LDAP autenticación
14) Si puede iniciar sesión en la página Web del portal, descargue e instale el GlobalProtect cliente, si aún no está instalado.
15) Abra el GlobalProtect cliente e introduzca la configuración requerida (Nombre de usuario/ Contraseña / Portal) y haga clic en Aplicar.
16) Observe el mensaje que se muestra en la pestaña Estado.
17) Recoja los registros en el GlobalProtect cliente, como se menciona en las herramientas utilizadas sección, y abra el archivo PanGPS.log en la carpeta comprimida.
18) Ir a través de los registros, y basado en mensajes de error, tomar medidas correctivas o solucionar problemas.
19) Simultáneamente, es posible que deba comprobar el mp-log/appweb3-sslvpn.log para firewall obtener más información.
Problemas comunes
la puerta de enlace Después de seguir el enfoque de solución de problemasanterior, si está recibiendo los siguientes errores:
1) No se pudo conectar al portal (o síntomas similares)
– Error GlobalProtectdel cliente: no encontró la dirección del portal
– Cliente que no GlobalProtectse conecta
– Cliente atascado en la conexión cuando la estación de trabajo está en la red local– GlobalProtectCliente incapaz de conectarse en la máquina recién instalada
2) No se encuentra certificado de cliente requerido
– no se pudo conectar - Certificado de cliente requerido no GlobalProtectse encuentra
3) 'Error en GlobalProtectla
verificación del certificado del servidor' o 'Protocolo. Comprobar certificado de servidor
– GPError de cliente: error del protocolo de puerta de enlace, comprobar certificado del servidor
– No se puede acceder debido al error GlobalProtect (3659)
4) No se pudo establecerdoc. Mensaje: errores al obtener GlobalProtect la configuración
–GlobalProtect Error del cliente: "No se pudo establecerdoc. Mensaje: errores para obtener GlobalProtect config"
5) [ OCSP ] El resultado de la consulta de estado del certificado no está disponible
– Validación del certificado de cliente que OCSPno funciona
6) Detección de la red
– Cómo solucionar problemas del controlador en esa causa GlobalProtect "Detección de red" para estar atascado.
7) Error de IpReleaseAddress: El RPC servidor no está disponible
8) Elemento no encontrado
– https://social.technet.microsoft.com/Forums/windows/en- US /b7271ae2-1422-4da0-92b1-56c69905d3f6/netsh-does-not-work-to-set-ip-address-of-wireless-network-connection?forum=w7itpronetworking
9) No se pudo encontrar la PANGP interfaz del adaptador virtual
10) No se pudo obtener la entrada de ruta predeterminada
11) No se puede conectar a root-cimv2
12) Error al asignar dirección privada IP
GlobalProtect agente conectado pero no puede acceder a los recursos
1) Compruebe si el adaptador virtual de cliente está obteniendo una GlobalProtect IP dirección, DNS sufijo y rutas de acceso para los recursos remotos. Puede utilizar la GlobalProtect pestaña Detalle del panel cliente o las herramientas de línea de comandos como ipconfig/all, ifconfig, nslookup, netstat -nr, route print, etc. para el mismo.
2) Marque para ver que el puerto 4501 no está bloqueado en las redes de Palo Alto firewall o el lado del cliente ( en ) o en algún lugar intermedio, ya que esto es utilizado por firewall PC IPsec para la comunicación de datos entre el GlobalProtect cliente y el firewall . Los Pcaps en la interfaz física del cliente o los pcaps y los debugs en el firewall can ayudan a asegurarse de que los paquetes no se caen en ninguna parte.
3) Compruebe si el Firewall está configurado con las directivas de seguridad adecuadas para permitir el tráfico desde el IP grupo asignado al adaptador virtual del GlobalProtect cliente. El policy debe configurarse de la zona de la interfaz del túnel a la zona del recurso protegido. Herramientas como registros de tráfico, captura de paquetes, dataplane depura con contadores globales puede utilizarse para solucionar esto. Las capturas de paquetes en el cliente en el GlobalProtect adaptador pueden ayudar a comparar los paquetes enviados por el cliente con lo que se recibe en el firewall y viceversa.
4) Marque si hay ruta apropiada para el pool usado por en la red para el tráfico IP de GlobalProtect respuesta. Si está utilizando enrutamiento dinámico, deberá redistribuir estas rutas en el protocolo de enrutamiento de Palo Alto Networks. Las capturas en las redes de Palo Alto para el firewall tráfico sin cifrar pueden ayudar a averiguar si firewall está enviando los paquetes hacia los recursos y si está recibiendo alguna respuesta.
5) Compruebe si Firewall el está recibiendo la asignación de IP-usuario del GlobalProtect cliente. Verifique usando > mostrar <ip></ip> ip-user-mapping IP del usuario para asegurarse de que el es capaz de encontrar el grupo del que el usuario es firewall parte. Si la asignación de grupo no se rellena correctamente, solucione el problema del ID usuario.
Solución de problemas usuario-ID: Grupoy usuario-to- IP Asignación
deusuario-ID lista de recursos
6) Compruebe si el cliente está obteniendo los firewall HIPdatos y si el objeto está configurado correctamente y permitido en la regla de GlobalProtect HIP seguridad. Cómo solucionar problemas de HIP datos