GlobalProtect Nicht umleiten zu Captive Portal nach eingehender Authentifizierung
17141
Created On 04/07/19 11:13 AM - Last Modified 08/15/23 17:04 PM
Symptom
GlobalProtect Konfiguriert, um Multi-Factor Authentication Notifications zu erleichtern, mit dem folgenden Artikel:
https://docs.paloaltonetworks.com/ globalprotect /8-0/ globalprotect -admin/authentication/configure- globalprotect -to-facilitate-multi-factor-authentication-notifications.html.
GlobalProtect Client erfolgreich stellt eine Verbindung mit GlobalProtect Gateway, und Zugriffsrouten (für interne Ressourcen) werden auf den Client-Computer übertragen. Beim RDP Versuch, oder SSH mit einer internen Ressource zu versuchen, erhält der GlobalProtect Client die Eingangsauthentifizierungsaufforderung von MFA Gateway.
Wenn Sie auf Authentifizierenklicken, versucht sie, eine Verbindung mit dem Captive Portal Redirect Host IP an Port 6082 herzustellen, aber die Verbindung ist mit einem Zeitaufer und das RDP / schlägt SSH fehl.
Environment
– Captive Portal im Umleitungsmodus konfiguriert
– Authentifizierung Policy für Dienst TCP /3389 und TCP /22 konfiguriert –
GlobalProtect konfiguriert, um Multi-Factor Authentication Benachrichtigungen zu erleichtern
Cause
Dies kann passieren, wenn der Captive Portal Redirect Host oder das IP IP Auflösen auf entsprechende smuss vom Client nicht erreichbar FQDN GlobalProtect ist. Beispielsweise ist Captive Portal Redirect Host IP mit privatem IP 192.168.1.254 konfiguriert, aber die GlobalProtect Zugriffsroute ist mit 192.168.1.0/30 konfiguriert, die IP nicht 192.168.1.254 enthält. In diesem Fall versucht der Clientcomputer, über eine eigene Verbindung und nicht über den Tunnel eine Verbindung mit 198.51.100.254 herzustellen.
Resolution
Stellen Sie sicher, dass die MFA Seitenauthentifizierung durch den Tunnel erfolgt, GlobalProtect indem Sie die entsprechende Redirect IP Host-Adresse verwenden, oder ändern Sie die Zugriffsroute in den GlobalProtect Gatewayeinstellungen.Fügen Sie beispielsweise den Eintrag 192.168.1.254/32 zusammen mit dem internen Ressourcensubnetz zur Include List of Split Tunnel-Einstellungen hinzu.