GlobalProtect utilisant l'authentification secrète pré-partagée et Android OS

GlobalProtect utilisant l'authentification secrète pré-partagée et Android OS

18090
Created On 09/26/18 13:49 PM - Last Modified 06/06/23 19:21 PM


Resolution


Demande client

La passerelle GlobalProtect est configurée pour utiliser l'authentification secrète pré-partagée, comme défini à la page 8 de la configuration GlobalProtect pour le client IPSec sur les appareils Android, mais les périphériques fonctionnant sous Android version 4.1.2 et antérieures ne sont pas en mesure de Connectez-vous.

Le nom du groupe dans la configuration de passerelle GlobalProtect est au format FQDN.

FQDN_FW_conf. Jpg

Symptômes

Les dispositifs fonctionnant iOS d'Apple peuvent se connecter au VPN. Lors de la connexion avec un appareil Android, il se bloque et, éventuellement, la connexion sera infructueuse.

Logs dans ikemgr. LG ressemble à ceux ci-dessous:

2013-01-22 18:49:02 [PROTO_ERR]: impossible de trouver la configuration pour la demande de phase-1 d'IKE pour le 192.168.41.24 d'IP d'homologue [500], l'ID FQDN:Salvo. SSL. com.

2013-01-22 18:49:05 [PROTO_ERR]: impossible de trouver la configuration pour la demande de phase-1 d'IKE pour le 192.168.41.24 d'IP d'homologue [500], l'ID FQDN:Salvo. SSL. com.

2013-01-22 18:49:08 [PROTO_ERR]: impossible de trouver la configuration pour la demande de phase-1 d'IKE pour le 192.168.41.24 d'IP d'homologue [500], l'ID FQDN:Salvo. SSL. com.

Cause première

Lorsque le nom du groupe (correspondant au champ d'identificateur IPSec dans la page de configuration VPN Android) est configuré dans un format FQDN, Android OS va définir le type d'ID du point de terminaison du tunnel sur ID_FQDN.

GP-Gateway s'attend à ce que le type d'ID du point de terminaison du tunnel soit ID_KEY_ID. IOS sera toujours utilisé type ID_KEY_ID.

Détails de PCAP d'une connexion défaillante en utilisant Android

FQDN_Android_KO. Jpg

Détails de PCAP d'une connexion réussie en utilisant iOS. Même configuration de passerelle GLobalProtect que ci-dessus:

FQDN_IOS_OK. Jpg

Détails d'une connexion réussie en utilisant Android.. Le nom du groupe a été modifié pour être sans nom de domaine complet comme. Android va utiliser le type ID GlobalProtect Gateways attend.

FQDN_Android_OK. Jpg

Résolution

Changer le nom du groupe à quelque chose de non FQDN comme. par exemple MYSSLVPN.

propriétaire : sberti
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClqZCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language