GlobalProtect app en Android 6.0 + no puede establecer la conexión VPN mediante la dirección IP

GlobalProtect app en Android 6.0 + no puede establecer la conexión VPN mediante la dirección IP

35672
Created On 09/26/18 13:47 PM - Last Modified 06/07/23 19:40 PM


Symptom


Síntomas de

GlobalProtect aplicación que se ejecuta en Android 6,0 o posterior no puede establecer la conexión VPN cuando: 

 

  • El certificado de CA raíz para GlobalProtect portal/Gateway está en credenciales de confianza en el dispositivo Android.
  • Y el nombre común (CN) del certificado GlobalProtect portal/Gateway es la dirección IP.

 

En este caso, se mostrará el siguiente mensaje de error: no se puede conectar a GlobalProtect portal

Error-on-AndroidVM-001. png

 

 

GP. log de GlobalProtect App muestra los siguientes errores:

(6227) 01/05 17:55:33:120201-javax. net. SSL. SSLPeerUnverifiedException: hostname 192.168.206.1 not Verified: Certificate:
 SHA1/5BHzss0x9EpOd9YtEPZcwtCNaOQ =
 DN: CN = 192.168.206.1, St = Tokyo, C = JP
 subjectAltNames: [192.168.206.1] 
(6227) 01/05 17:55:33:120352-excepción GetHttpResponse, el código de respuesta es 0
(6227) 01/05 17:55:33:120521-respuesta del servidor es:
null, excepción de mensaje: hostname 192.168.206.1 no verificado:
 certificado: SHA1/ 5BHzss0x9EpOd9YtEPZcwtCNaOQ =
 DN: CN = 192.168.206.1, St = Tokyo, C = JP
 subjectAltNames: [192.168.206.1]
 ETYPE:javax. net. SSL. SSLPeerUnverifiedException: hostname 192.168.206.1 not Verified:
 certificado: SHA1/ 5BHzss0x9EpOd9YtEPZcwtCNaOQ =
 DN: CN = 192.168.206.1, St = Tokyo, C = JP
 subjectAltNames: [192.168.206.1]
(6227) 01/05 17:55:33:120557-(L5) JNI, 6243, 508, not Handled, RET = error, javax. net. SSL. SSLPeerUnverifiedException: hostname 192.168.206.1 no verificado:
 certificado: SHA1/5BHzss0x9EpOd9YtEPZcwtCNaOQ =
 DN: CN = 192.168.206.1, St = Tokyo, C = JP
 subjectAltNames: [192.168.206.1], Return null Now

 

Diagnóstico

Esto se debe a un nuevo comportamiento de Android 6.0 +.

 

A partir de Android 6,0, si el CN es una dirección IP en un certificado, la dirección IP también debe estar en el tema nombre alternativo (San) como iPAddress subAltName. Si falta la dirección IP de iPAddress subAltName, la verificación de la certificación fallará.

 

Para versiones más antiguas de Android, la verificación de certificación pasará siempre que coincidan los CN.

 

 

 

Resolution


Genere un certificado para GlobalProtect portal/Gateway que tengan iPAddress subAltName Field y reemplace los certificados existentes.

 

La siguiente pantalla muestra cómo establecer el nombre alternativo del tema iPAddress en el cortafuegos de nueva generación palo alto Netrwork.

 

Al generar un certificado, agregue el tipo "IP" e introduzca la dirección IP como valor en el campo atributos de certificado:

iPAddress-subAltName-PANFW001. png 

 

El certificado generado muestra el valor de la dirección IP en el campo Nombre alternativo del asunto:

CERT-on-Windows-001. png

 

Configure este certificado para GlobalProtect portal/Gateway Certificates.  Después de eso, la conexión VPN se puede establecer.

 

Consulte la siguiente guía para implementar el certificado de servidor GlobalProtect: 

Implementar certificados de servidor en los componentes GlobalProtect

 

  

Otra solución disponible es la eliminación del certificado de CA del teléfono Android (generalmente de "configuración > seguridad > credenciales de confianza").

 

En este caso, GlobalProtect App muestra el mensaje de advertencia "Untrsuted Certificate" una vez (como se muestra a continuación), entonces la conexión se establecerá.

 

Error-on-AndroidVM-001. png

 

Esto no se recomienda generalmente porque los usuarios deben comprobar manualmente la validez del portal/Gateway de destino.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CloyCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language