GlobalProtect no redirigir al portal cautivo después de la autenticación entrante
17129
Created On 04/07/19 11:13 AM - Last Modified 08/15/23 17:04 PM
Symptom
GlobalProtect configurado para facilitar las notificaciones de autenticación multifactor, utilizando el siguiente artículo:
https://docs.paloaltonetworks.com/ globalprotect /8-0/ globalprotect -admin/authentication/configure- globalprotect -to-facilitate-multi-factor-authentication-notifications.html.
GlobalProtect el cliente se conecta correctamente a GlobalProtect gateway y las rutas de acceso (para los recursos internos) se envían al equipo cliente. Al intentar RDP o a un recurso SSH interno, el cliente recibe el mensaje de GlobalProtect autenticación entrante de puerta de MFA enlace.
Al hacer clic en Autenticar, intenta conectarse al host de redirección del portal cautivo IP en el puerto 6082, pero la conexión agote el tiempo de salida y el RDP / SSH falla.
Environment
– Portal cautivo configurado en modo de redirección
– Autenticación Policy configurada para el servicio TCP /3389 y TCP /22
– configurado para facilitar las GlobalProtect notificaciones de multifactor authentication
Cause
Esto podría suceder cuando el host de redirección del portal cautivo IP o resolver a correspondiente es IP FQDN inalcanzable del GlobalProtect cliente. Por ejemplo, el host de redirección del portal cautivo IP se configura con el privado IP 192.168.1.254, pero la ruta de GlobalProtect acceso se configura con 192.168.1.0/30, que no incluye IP 192.168.1.254. En este caso, la máquina cliente intentará conectarse al 198.51.100.254 a través de su propio link y no a través del túnel.
Resolution
Aseegurese la MFA autenticación de la página sucede a través del túnel usando la dirección apropiada del host de GlobalProtect redirección IP o modifique la ruta de acceso en la configuración de la puerta de GlobalProtect enlace.Por ejemplo, agregue la entrada 192.168.1.254/32 a la lista de incluir la configuración del túnel dividido junto con la subred de recursos internos.