In diesem Artikel wird erläutert, wie Sie Daten für Verbindungsprobleme sammeln und verwandte Probleme neu schreiben.

A. Verbindungsprobleme


B. Umschreiben von Problemen


====================================
 

A. Verbindungsprobleme

Beispiel Szenario:

Clientloses VPN Portal IP : 1.1.1.1
Client : IP 2.2.2.2
Anwendung : IP 10.1.0.120

----------------------------------------------------------------------------------------------------------------------------------------------

1. Bitte protokollieren Sie die CLI Sitzung

2. Festlegen der folgenden Filter und firewall Erfassungsphasen für Paketerfassungen

> zeigen Uhr
> Debug-Dataplane-Paket-Diag-Set-Filter-Übereinstimmungsquelle 2.2.2.2 Ziel 1.1.1.1
> Debug-Dataplane-Paket-Diag-Set-Filter-Übereinstimmungsquelle 2.2.2.2-Ziel 10.1.0.120
> Debug-Datenplane-Paket-Diag-Set-Capture-Phase-Empfangsdatei rx.pcap
> Transmit file tx.pcap
> debug dataplane packet-diag set capture stage drop file dp.pcap
> debug dataplane packet-diag set capture stage firewall file fw.pcap
> debug dataplane packet-diag set filter on
> debug dataplane packet-diag set log feature flow basic
> debug dataplane packet-diag set > log

admin@ PA-220 > Debug-Datenebenen-Paket-Diag-Einstellung

---------------------------------------------------------------------------------Paketdiagnoseeinstellung:
--------------------------------------------------------------------------------
Paketfilter
Aktiviert: ja
Vorparsen-Paket abgleichen: kein
Index 1: 2.2.2.2/32[0]->1.1.1.1/32[0], proto 0
ingress-interface any, egress-interface be, exclude IP
non-Index 2: 2.2.2.2/32[0]->10.1.0.120/32[0], proto 0
ingress-interface any, egress-interface any, exclude non- IP
-------------------------------------------------------------------------------- Logging

Enabled: no
Log-throttle: no
Sync-log-by-ticks: yes
Features: flow : basic proxy :
basic timer detail

Counters:
-------------------------------------------------------------------------------- Packet capture

Enabled: no
Snaplen: 0
Username:
Stage receive : Datei rx.pcap
Erfasst: Pakete - 0 Bytes - 0
Maximum: Pakete - 0 Bytes - 0
Stufe : Datei firewall fw.pcap
Erfasst: Pakete - 0 Bytes - 0
Maximum: Pakete - 0 Bytes - 0
Stage übertragen : Datei tx.pcap
Erfasst: Pakete - 0 Bytes - 0
Maximum: Pakete - 0 Bytes - 0
Stage Drop : Datei dp.pcap
Erfasst: Pakete - 0 Bytes - 0
Maximum: Pakete - 0 Bytes - 0 byte - 0
--------------------------------------------------------------------------------
 

3. Aktivieren Sie Datenebenen-Debugprotokolle und firewall

> Debug-Datenebenen-Paket-Diag-Set-Capture auf
> Debug-Datenebenen-Paket-Diag-Satzprotokoll auf
> Debug-Datenebene-Paket-Diag-Einstellung
> Uhr anzeigen

4. Reproduzieren Sie das Problem und führen Sie die Befehle unter

> zeigen Alle Filterquelle 2.2.2.2
> Zeigen Sitzungs-ID ID > [für alle erstellten Sitzungen]
> Anzeigen von Zählerglobalen Filterdelta ja Paketfilter ja [führen Sie es mehrmals aus]

5. Beenden Sie nach der Reproduktion die Debugprotokolle und Paketerfassungen der Datenebene auf dem firewall

> Debug-Datenebenen-Paket-Diag-Set-Capture
aus > Debug-Datenebenen-Paket-Diag-Abmelden
> Debug-Datenplane-Paket-Diag-Show-Einstellung
> Uhr anzeigen

6. Führen Sie nach ca. 30 Sekunden den folgenden Befehl aus, um Debugprotokolle auf dem firewall

> Debugdatenebene-Paket-Diag-Aggregat-Logs [zweimal ausführen]

7. Bitte sammeln Sie unten Dateien und laden Sie sie in den Fall hoch

- Firewall Paketerfassungen: rx.pcap, tx.pcap, dp.pcap, fw.pcap
- Protokollierte Sitzung - Fresh Tech CLI
Support-Datei (enthält Datenebenen-Debugprotokolle)

B. Probleme neu schreiben:

Wenn wir Probleme umschreiben sagen, bedeutet dies, dass die meisten clientlosen Anwendungen ordnungsgemäß geladen werden, aber einige clientlose Anwendungen bestimmte Elemente der Seite nicht anzeigen können oder einige Schaltflächen/Hyperlinks nicht reagieren.

In diesem Fall müssten wir die folgenden Informationen sammeln:
- Firewall Paketerfassungen (clientless-vpn-client und clientless-vpn-server), FiddlerCap-Erfassungen und Browserkonsolenprotokolle, wenn der Benutzer auf die problematische Anwendung THROUGH des Portals zugreift. Dies ist das nicht funktionierende Szenario
- FiddlerCap erfasst und Browserkonsolenprotokolle vom Computer des Benutzers, wenn der Benutzer auf die Anwendung DIRECTLY zugreift, nicht über das Portal. Dies ist das Arbeitsszenario

Bitte folgen Sie den folgenden Schritten, um die Daten zu sammeln und sie in den Fall zur Überprüfung hochzuladen: TAC

Beispielszenario:

Clientloses VPN Portal : IP 1.1.1.1
Client : IP 5.5.5.5
Anwendung : IP 10.1.0.120

Hinweis: Für macOS/iPad/iOS-Geräte, weisen Sie den Datenverkehr auf einen Webproxyserver hin und aktivieren Sie FiddlerCap-Aufnahmen auf dem Server
----------------------------------------------------------------------------------------------------------------------------------------------

1. Bitte protokollieren Sie die CLI Sitzung und zeichnen Sie die Zoomsitzung auf

2. Die folgenden Schritte sind das Erfassen von Daten für nicht funktionierende Szenarien, in denen der Benutzer auf die problematische Anwendung des THROUGH Portals a zugreift.

 Melden Sie sich bitte beim Testbenutzer beim Clientless-Portal an, VPN um den folgenden Befehl auszuführen, um das richtige Benutzernamenformat zu erhalten. Es wird verwendet, um Pakete für diesen bestimmten Benutzer auf der firewall

> zeigen global-protect-portal current-user filter-user
GlobalProtect all-user Portal : GPClientlessPortal
Vsys-Id : 1
User : paloaltonetworks.com-johndoe
Session-id : 1SU2vrPIDfdopGf-7gahMTCiX8PuL0S0
Client- : IP 5.5.5.5
Sitzungsstartzeit : Mon Apr 20 10 10:32:35 2020
Inaktivität Timeout : 1800
Sekunden vor Inaktivität Timeout : 1789
Login Lifetime : 10800
Sekunden vor login Lebensdauer : 10789
Größe des Cookie-Cache : 0
Quellregion : Deutschland


Hinweis: Hier sind ein paar Hinweise zu beachten, bevor Sie Benutzername Filter für VPN Clientless-Aufnahmenverwenden :

• Der in der Ausgabe des Befehls: global-protect-portal current-user filter-user all-users und den Benutzernamen in der Ausgabe des Befehls: User ip-user-mapping anzeigen, GP-CLIENTLESSVPN sollte übereinstimmen, da der Benutzernamefilter groß ist.
• A Nichtübereinstimmung generiert keine clientlosen VPN Erfassungen

> zeigen Benutzer ip-user-mapping alle Typ GP-CLIENTLESSVPN

IP Vsys Von Benutzer IdleTimeout(s) MaxTimeout(s)
--------------------------------------------- ------------------- ------- -------------------------------- -------------- -------------
5.5.5.5 vsys1 GP-CLIENTLESSVPN paloaltonetworks.com-johndoe <    10797    10797   
Insgesamt: 1 Benutzer
 

• Der Zieladresse sollte kein Benutzername zugeordnet IP sein; er sollte unbekannt sein, wie unten gezeigt. Andernfalls werden clientlose VPN Erfassungen aufgrund des Zielbenutzernamens nicht generiert.

> show session id 3136988
Session         3136988
        c2s flow:
                source:      5.5.5.5 [Clientless_VPN]
                dst:         10.1.0.120
                proto:       6
                sport:       15715           dport:      443
                state:       INIT            type:       FLOW
                src user:    paloaltonetworks.com\johndoe
                dst user:    unknown                 <<<<<<<<<<
        s2c flow:
                source:      10.1.0.120 [Inside]
                dst:         10.1.2.214
                proto:       6
                sport:       443             dport:      15715
                state:       INIT            type:       FLOW
                src user:    unknown                  <<<<<<<<<<
                dst user:    paloaltonetworks.com\johndoe

• Es sollten auch keine IP Filter festgelegt werden. Es sollte ausschließlich auf dem Benutzernamenfilter basieren, um clientlose Erfassungen zu erfassen. VPN

b. Stellen Sie die folgenden Filter und firewall Erfassungsstufen für Paketerfassungen

Anm. IP Adressfilter wären in diesem Fall nicht erforderlich,

> Uhr anzeigen >
Systemeinstellung ssl-entschlüsselnden Speicher
> Anzeigen der Systemeinstellung ssl-decrypt dns-cache
> zeigen Systemeinstellung ssl-decrypt gp-cookie-cache
> zeigen Systemeinstellung ssl-decrypt rewrite-stats
> debug dataplane packet-diag capture username Logs to Clientless VPN portal- > debug
dataplane packet-diag set capture stage clientless-vpn-client file client.pcap
> debug dataplane packet-diag set capture stage clientless-vpn-server file server.pcap
> debug dataplane packet-diag set filter on
> debug dataplane packet-diag show setting

admin@ PA-220 > debug dataplane packet-diag show setting
-------------------------------------------------------------------------------- Packet diagnosis
setting: -------------------------------------------------------------------------------- Packet filter


Enabled: yes Match
pre-parsed packet: no
-------------------------------------------------------------------------------- Logging

Enabled: no
Log-throttle: no
Sync-log-by-ticks: yes
Features:
Counters:
-------------------------------------------------------------------------------- Packet capture

Enabled: no
Snaplen: 0
Username: paloaltonetworks.com -johndoe
Stage clientless-vpn-client: Datei client.pcap
Erfasst: Pakete - 0 Bytes - 0
Maximum: Pakete - 0 Bytes - 0
Stage clientless-vpn-server: file server.pcap
Erfasst: Pakete - 0 Bytes - 0
Maximum: Pakete - 0 Bytes - 0
--------------------------------------------------------------------------------

c. Bitte lassen Sie den Testbenutzer aus dem VPN Clientless-Portal d ausloggen.

Erfassen auf dem firewall

> Debug-Datenebenen-Paket-Diag-Set-Capture auf
> Debug-Datenebenen-Paket-Diag-Einstellung
> Uhr anzeigen

AktivierenHinweis: Bitte beachten Sie, dass firewall Paketerfassungen eine eindeutige (unverschlüsselte) Kommunikation zwischen dem Browser und dem firewall und der firewall Anwendung

e enthalten würden. Öffnen Sie das Entwicklertool im Browser, und öffnen Sie die Registerkarte Konsole, um Javascript-Fehler


f anzuzeigen. Bitte lassen Sie den Testbenutzer beim Clientless-Portal anmelden und aktivieren Sie VPN dann FiddlerCap-Erfassungen gemäß dem Artikel FiddlerCap 

g. Navigieren Sie zu der Anwendung, die das firewall Problem ausstellt, und führen CLI

Sie dann unter den Befehlen auf der > Show-Sitzung alle Filterquellen > > zeigen Sie die <Client- IP
Sitzungs-ID ID > [für alle erstellten Sitzungen]
> zeigen Sie den globalen Filterdelta des Zählers ja Paketfilter ja [führen Sie dieses Paar Mal]


h aus. Sobald das Problem reproduziert wurde, stoppen Sie Paketerfassungen auf dem firewall

> Debug-Datenplane-Paket-Diag-Set-Capture
aus > Debug-Datenplane-Paket-Diag-Show-Einstellung
> zeigen Sie Die Uhr > zeigen
Systemeinstellung ssl-entschlüsseln den Speicher
> zeigen Systemeinstellung ssl-decrypt dns-cache
> zeigen Systemeinstellung ssl-decrypt gp-cookie-cache
> zeigen Systemeinstellung ssl-decrypt rewrite-stats

3. Bitte sammeln Sie die FiddlerCap-Erfassungen und Browser-Konsolenprotokolle für das Arbeitsszenario, wenn der Benutzer auf die Anwendung DIRECTLY zugreift, nicht über das Portal gemäß dem Artikel FiddlerCap 

Hinweis: Bitte beachten Sie, dass FiddlerCap Klartextverkehr erfassen kann und alle Benutzeranmeldeinformationen (Benutzernamen/Kennwörter), die während der Erfassung ausgetauscht wurden, in den gesammelten Daten sichtbar sind. Diese Paketerfassungen enthalten eine eindeutige (unverschlüsselte) Kommunikation zwischen dem Browser und dem firewall , und zwischen der und der firewall Anwendung. Es wird empfohlen, Testanmeldeinformationen zu verwenden, wenn eine Anmeldung bei der problematischen Anwendung erforderlich ist.

4. Beenden Sie die Zoom-Aufnahme und sammeln Sie die folgenden Dateien und laden Sie sie in den Fall hoch