Dépannage GlobalProtect
Symptom
Les questions liées GlobalProtect peuvent se voir dans les catégories suivantes :
– GlobalProtect impossible de se connecter au portail ou à la passerelle
– agent connecté mais incapable GlobalProtect d’accéder
aux ressources – Divers Cet
article énumère quelques-uns des problèmes et méthodes communs pour le dépannage. GlobalProtect L’article suppose que vous êtes conscient des bases et GlobalProtect de sa configuration. Consultez le GlobalProtect guide des ressources.
Outils utilisés pour le dépannage
Outils et utilitaires pour le dépannage de la machine cliente
Ping/Traceroute | Pour vérifier l’accessibilité au portail/modem routeur |
Nslookup | Pour s’assurer que les noms de domaine complets pour la portail/passerelle obtenir résolus |
Ipconfig / Ifconfig / Netstat -nr / Route print | Pour vérifier les GlobalProtect réglages de l’adaptateur et les itinéraires installés par le GlobalProtect client |
MMC (Windows)/Keychain Access ( OSX ) | Pour installer et vérifier les certificats clients/root CA installés |
Wireshark | Pour capturer la transaction entre le GlobalProtect client et le portail/passerelle |
Navigateur Web | Télécharger le GlobalProtect client et confirmer la connexion réussie entre le client et le SSL portail/passerelle |
GlobalProtect Onglet Statut client/détail | Pour vérifier l’état de la connexion |
GlobalProtect journaux du client | Pour vérifier les journaux de débogage détaillés du GlobalProtect client |
Environment
- Pan-OS
- Globalprotect
Resolution
3) Utilisez nslookup sur le client pour s’assurer que le client peut résoudre les FQDNs pour le portail / passerelle.
4) Ouvrez un navigateur Web et entrez URL le : https:// / <Portal- IP FQDN > et/ou https:// / <Gateway- IP FQDN >. Cela permettra de s’assurer que SSL la communication entre le client et le portail / passerelle fonctionne très bien. Le navigateur web nous permet facilement de vérifier le certificat provenant du portail/porte d’entrée. S’il y a des problèmes de certificat, les erreurs de navigateur peuvent aider à les isoler. Voici quelques exemples :
de certificat 5) Si la page du navigateur ci-dessus ne se charge pas correctement, vérifiez auprès de Wireshark si TCP la poignée de main est complète ou non. Utilisez le filtre ip.addr== <Portal IP> ou ip.addr== le <gatewayIP></gatewayIP> cas échéant.
6) Si le SYN paquet sort et non est ACK reçu, passer à la et voir firewall si les sessions se forment, et si les paquets sont abandonnés. Utilisation dataplane débogue ou captures combinées avec compteurs globaux pour vérifier les mêmes. Vérifiez les politiques de sécurité, NAT etc. pour vous assurer que le trafic n’est pas supprimé.
7) Dans le cas ci-dessus, il est parfois également utile de vérifier si les ressources de dataplane sont saines. Vérifiez les commandes suivantes pour trouver une surutilisation des ressources :
> afficher l’exécution
du moniteur de ressources > débouger les
statistiques du pool de dataplane8) Vérifiez appweb3-sslvpn.log pour plus d’informations, si les paquets ne sont pas déposés sur l’avion de données.
9) À partir du navigateur, si GlobalProtect la page de connexion se charge correctement, elle peut demander le certificat client si l’authentification basée sur le certificat du client est activée sur le portail.
10) Vérifiez si le certificat client approprié est chargé dans le magasin de certificats de la machine, et le magasin de certificats du navigateur.
11) Si vous obtenez l’erreur « certificat client valide est nécessaire », importer le certificat client dans le navigateur et la machine client.
Erreur « Certificat client valide est requis » erreur accédant à l’adresse du portail sur Firefox
Internet Explorer BrowserError: « Certificat client valide requis »
12) Essayez de vous connecter à GlobalProtect la page Web portail. Cela confirmera que l’authentification fonctionne très bien.
13) Si vous n’êtes pas en mesure de vous connecter, firewall vérifiez les journaux authd pour voir quelle est l’erreur. Le document suivant peut être utile si vous utilisez LDAP l’authentification : Comment dépanner LDAP l’authentification
14) Si vous êtes en mesure de vous connecter à la page Web du portail, téléchargez et installez GlobalProtect le client, s’il n’est pas déjà installé.
15) Ouvrez le GlobalProtect client et entrez les paramètres requis (nom d’utilisateur/ mot de passe / portail) et cliquez sur Appliquer.
16) Remarquez le message affiché sur l’onglet Statut.
17) Collecter les journaux sur GlobalProtect le client, comme mentionné dans la section outils utilisés, et ouvrir le fichier PanGPS.log dans le dossier zippé.
18) Passez par les journaux, et en fonction des messages d’erreur, prendre des mesures correctives ou dépanner.
19) Simultanément, vous pourriez être tenu de vérifier le mp-log/appweb3-sslvpn.log sur le firewall pour plus d’informations.
Questions communes
Après avoir suivil’approche de dépannage ci-dessus, si
vous recevez les erreurs suivantes :1) Impossible de se connecter à Portal (ou
symptômes similaires) – Erreur du client GlobalProtect: n’a pas
trouvé l’adresse du portail– Client ne se GlobalProtectconnectant
pas– Client coincé à la connexion lorsque GlobalProtectWorkstation est sur le réseau local
– Client incapable de se connecter sur la GlobalProtectmachine nouvellement installée
2)
Certificat client requis n’est pas trouvé– n’a pas réussi à se connecter - certificat client requis n’est GlobalProtectpas
trouvé 3) « Vérification du certificat serveur échoué » ou « Erreur de protocole. Vérifiez le certificat du
serveur – Erreur du client : erreur de protocole GPde passerelle, certificat de serveur de contrôle
– Impossible d’accès GlobalProtect en raison d’une erreur (3659)
4) Qui n’a pas été réglé. Message: erreurs se GlobalProtect config
- ErreurGlobalProtect client: « N’a pas réussi à SetDoc. Message : erreurs se GlobalProtect config »
5) [ OCSP ] Le résultat de la requête d’état du certificat n’est pas
disponible– Validation du certificat client OCSPne fonctionne
pas6)
Découvrir leréseau – Comment résoudre les problèmes de pilote dans cette cause GlobalProtect « Discovering Network » à être coincé.
7) IpReleaseAddress a échoué: Le serveur RPC n’est pas disponible
8) Élément non trouvé
- https://social.technet.microsoft.com/Forums/windows/en- US /b7271ae2-1422-4da0-92b1-56c69905d3f6/netsh-does-not-work-to-set-ip-address-of-wireless-network-connection?forum=w7itpronetworking
9) N’a pas réussi à trouver PANGP l’interface d’adaptateur virtuel
10) N’a pas réussi à obtenir l’entrée par défaut de l’itinéraire
11) Ne peut pas se connecter à root\cimv2
12) Assigner l’adresse IP privée a échoué
GlobalProtect agent connecté mais incapable d’accéder aux ressources
1) Vérifiez si GlobalProtect l’adaptateur virtuel client reçoit une IP adresse, DNS suffixe et itinéraires d’accès pour les ressources distantes. Vous pouvez utiliser l’onglet Détail du panneau client ou les outils de ligne de commande GlobalProtect comme ipconfig/all, ifconfig, nslookup, netstat-nr, impression d’itinéraire, etc. pour la même chose.
2) Vérifiez pour voir que le port 4501 n’est pas bloqué sur les réseaux Palo Alto firewall ou du côté client ( sur ) ou quelque part entre les firewall PC deux, car cela est utilisé par IPsec pour la communication de données entre GlobalProtect le client et le firewall . Pcaps sur l’interface physique client ou pcaps et débogages sur le peut aider à s’assurer firewall que les paquets ne sont pas abandonnés n’importe où.
3) Vérifiez si le Firewall est configuré avec les politiques de sécurité appropriées pour permettre le trafic à partir du pool alloué à IP GlobalProtect l’adaptateur virtuel client. Le policy doit être configuré à partir de la zone de l’interface du tunnel à la zone de la ressource protégée. Outils tels que le trafic journaux, packet capture, dataplane débogue avec compteurs globaux peut servir à résoudre cela. Les captures de paquets sur le Client sur GlobalProtect l’Adaptateur peuvent aider à comparer les paquets envoyés par le client avec ce qui est reçu sur firewall l’et vice versa.
4) Vérifiez s’il y a l’itinéraire approprié IP pour le pool utilisé par sur le réseau pour le trafic de GlobalProtect réponse. Si vous utilisez le routage dynamique, alors vous devez redistribuer ces itinéraires au protocole de routage de Palo Alto Networks. Captures sur les réseaux de Palo Alto firewall pour le trafic non crypté peut aider à savoir si envoie les paquets vers les firewall ressources et si elle reçoit une réponse.
5) Vérifiez si le Firewall reçoit la cartographie IP-utilisateur du GlobalProtect client. Vérifiez à l>'utiliser pour afficher <ip></ip> ip ip-user-mapping utilisateur utilisateur pour s’assurer firewall que le est en mesure de trouver le groupe de l’utilisateur fait partie de. Si la cartographie de groupe n’est pas correctement remplie, puis dépanner le problème ID utilisateur.
Utilisateur de dépannage -ID: Groupeet utilisateur-à- IP Mapping
User-ID liste de ressources
6) Vérifiez si le est firewall d’obtenir les HIPdonnées du GlobalProtect client, et si HIP l’objet est configuré correctement et autorisé dans la règle de sécurité. Comment dépanner les HIP données