Objective

Este artículo está diseñado para permitir a los clientes recopilar datos sobre problemas relacionados con Clientless VPN y proporcionar TAC puntos de datos

Environment

GlobalProtect Portal sin cliente VPN

Procedure

En este artículo se detalla cómo recopilar datos para problemas de conectividad y volver a escribir problemas relacionados.

A. Problemas de conectividad

B. Reescribir problemas

===================================

A. Problemas de conectividad

Cuando decimos problemas de conectividad, incluye:
- Página de inicio de sesión del portal sin cliente que no se carga en el navegador VPN - Aplicaciones sin cliente que no se
cargan en absoluto una vez
iniciadas - Iniciar aplicaciones sin cliente redirige de nuevo a la página de inicio de sesión del portal sin cliente VPN La posible causa de estos problemas podría

ser: - Configuración del portal sin
cliente en la dirección has como nombre de VPN firewall IP host, pero se accede al propio portal mediante FQDN . Deben hacer juego
- No hay ruta a la aplicación en el - Seguridad mal firewall
configurada para el tráfico de la policy aplicación en el - Objeto proxy mal configurado o resoluciones firewall
DNS- DNS fallan en el firewall

Si se verifican los pasos anteriores y se confirma que la configuración se ve bien, siga los pasos a continuación para recopilar los datos y cargarlos en el caso para TAC su revisión:

Ejemplo de escenario:

Portal sin cliente VPN IP : 1.1.1.1
Cliente : IP 2.2.2.2
Aplicación : IP 10.1.0.120

----------------------------------------------------------------------------------------------------------------------------------------------

1. Registre la CLI sesión

2. Establezca los siguientes filtros y etapas de captura para firewall las capturas de paquetes

> mostrar el reloj
> debug dataplane packet-diag set filter match source 2.2.2.2 destination 1.1.1.1
> debug dataplane packet-diag set filter match fuente 2.2.2.2 destino 10.1.0.120
> debug dataplane packet-diag set capture stage receive file rx.pcap
> debug dataplane packet-Diag set fase de captura transmitir archivo tx.pcap
> debug dataplane packet-diag set capture stage drop file dp.pcap
> debug dataplane packet-diag set capture stage firewall file fw.pcap
> debug filtro de conjunto de paquetes-diag de plano de datos en
> debug dataplane packet-diag set log feature flow basic
> debug dataplane packet-diag set log feature proxy all
> debug dataplane packet-diag show setting

admin@ > PA-220 debug dataplane packet-diag show setting
-------------------------------------------------------------------------------- Configuración de diagnóstico de
paquetes: filtro de paquetes --------------------------------------------------------------------------------

habilitado: sí Haga coincidir el paquete
pre-analizado: no
index 1: 2.2.2.2/32[0] ->1.1.1.1/32[0], proto 0
ingress-interface any, egress-interface any, excluir non- IP
Index 2: 2.2.2.2/32[0]->10.1.0.120/32[0], proto 0
ingress-interface any, egress-interface any, exclude IP
non--------------------------------------------------------------------------------- Logging

Enabled: no
Log-throttle: no
Sync-log-by-ticks: yes
Features: flow : basic proxy :

basic timer detail
Counters:
-------------------------------------------------------------------------------- Packet capture

Enabled: no
Snaplen: 0
Username: Stage receive : file
rx.pcap
Captured: packets -0 bytes - 0
Máximo: paquetes - 0 bytes - 0
Etapa : archivo firewall fw.pcap
capturado: paquetes - 0 bytes - 0
Máximo: paquetes - 0 bytes - Transmisión de 0
etapas : archivo tx.pcap
capturado: paquetes - 0 bytes - 0
Máximo: paquetes - 0 bytes - 0
Caída de etapa : archivo dp.pcap
capturado: paquetes - 0 bytes - 0
Máximo: paquetes - 0 bytes - 0
--------------------------------------------------------------------------------

3. Habilite los registros y capturas de depuración del plan de datos en el firewall

> captura del conjunto del paquete-diag del dataplane del debug en
> registro del conjunto del paquete-diag del dataplane del debug en > configuración de la
demostración del paquete-diag del dataplane del debug
> del reloj de la demostración

4. Reproduzca el problema y ejecute los siguientes comandos

> mostrar sesión toda la fuente de filtro 2.2.2.2 > mostrar id de sesión
ID > [para todas las sesiones creadas]
> mostrar filtro global de contador delta sí packet-filter yes [ejecutarlo un par de veces]

5. Una vez que se reproduzca, detenga los registros de depuración del plan de datos y las capturas de paquetes en el firewall

> la captura del conjunto del paquete-diag del dataplane del debug apagado
> el registro del conjunto del paquete-diag del debug del debug > la configuración de la
demostración del paquete-diag del dataplane del debug
> del reloj de la demostración

6. Después de unos 30 segundos, ejecute el siguiente comando para agregar registros de depuración en el firewall

> debug dataplane packet-diag aggregate-logs [ejecútelo dos veces]

7. Por favor, recopile debajo de los archivos y cárguelos en el caso

- Firewall capturas de paquetes: rx.pcap, tx.pcap, dp.pcap, fw.pcap
- Sesión registrada - Archivo de soporte técnico fresco CLI
(que contiene registros de depuración de plan de datos)

===============================

B. Reescribir problemas:

Cuando decimos Problemas de reescritura, significa que la mayoría de las aplicaciones Clientless se cargan correctamente, pero algunas aplicaciones sin cliente no pueden mostrar ciertos elementos de la página o algunos botones/hipervínculos no responden.

En este caso, necesitaríamos recopilar la siguiente información:
- Firewall capturas de paquetes (clientless-vpn-client y clientless-vpn-server), capturas de FiddlerCap y registros de la consola del navegador cuando el usuario accede a la aplicación problemática THROUGH el portal. Este es el escenario que no
funciona: FiddlerCap captura y registra la consola del explorador desde el equipo del usuario cuando el usuario accede a la DIRECTLY aplicación, no a través del portal. Este es el escenario de trabajo

Siga los pasos a continuación para recopilar los datos y cargarlos en el caso de TAC revisión: Escenario de

ejemplo:

Portal sin cliente VPN : IP 1.1.1.1
Cliente : IP 5.5.5.5
Aplicación : IP 10.1.0.120

Nota: Para dispositivos macOS/ iPad / iOS, señale el tráfico hacia un servidor proxy web y habilite las capturas de FiddlerCap en el servidor
----------------------------------------------------------------------------------------------------------------------------------------------

1. Registre la sesión y registre la CLI sesión de zoom también

2. Los pasos siguientes serían para capturar datos para escenarios que no funcionan donde el usuario tiene acceso a la aplicación problemática a del THROUGH portal.

Por favor, haga que el usuario de prueba inicie sesión en el portal sin VPN cliente para funcionar con el comando abajo de obtener el formato de nombre de usuario correcto. Se utilizará para capturar paquetes para este usuario en particular en el firewall

> mostrar global-protect-portal current-user filter-user all-users
GlobalProtect Portal : GPClientlessPortal
Vsys-Id : 1
Usuario : paloaltonetworks.com\johndoe
Session-id : 1SU2vrPIDfdopGf-7gahMTCiX8PuL0S0
Cliente- : IP 5.5.5.5
Sesión hora de inicio : Lunes abr 20 10:32:35 2020
Tiempo de inactividad : 1800
Segundos antes del tiempo de espera de inactividad : 1789
Duración de inicio de sesión : 10800 Segundos antes de la duración del inicio de sesión :
10789
Tamaño de la caché de cookies : 0
Región de origen : Alemania

Nota: Aquí hay algunos punteros a tener en cuenta antes de usar el filtro de nombre de usuario para VPN capturas sin cliente:

El nombre de usuario señalado en la salida del comando: show global-protect-portal current-user filter-user all-users y el nombre de usuario en la salida del comando: show user ip-user-mapping all type GP-CLIENTLESSVPN debe hacer juego como el filtro de nombre de usuario distingue entre mayúsculas y minúsculas.
A desajuste no generará capturas sin VPN cliente

> mostrar al usuario ip-user-mapping todo tipo GP-CLIENTLESSVPN

IP vsys de usuario IdleTimeout(s) MaxTimeout(s)
--------------------------------------------- ------------------- ------- -------------------------------- -------------- -------------
5.5.5.5 vsys1 GP-CLIENTLESSVPN paloaltonetworks.com\johndoe < 10797 10797
Total: 1 usuarios

No debe haber ningún nombre de usuario asociado con la dirección de IP destino; debe ser desconocido como se muestra a continuación. De lo contrario, las capturas sin cliente VPN no se generarán debido al nombre de usuario del destino

> show session id 3136988
Session         3136988
        c2s flow:
                source:      5.5.5.5 [Clientless_VPN]
                dst:         10.1.0.120
                proto:       6
                sport:       15715           dport:      443
                state:       INIT            type:       FLOW
                src user:    paloaltonetworks.com\johndoe
                dst user:    unknown                 <<<<<<<<<<
        s2c flow:
                source:      10.1.0.120 [Inside]
                dst:         10.1.2.214
                proto:       6
                sport:       443             dport:      15715
                state:       INIT            type:       FLOW
                src user:    unknown                  <<<<<<<<<<
                dst user:    paloaltonetworks.com\johndoe

No debe haber IP filtros establecidos también. Debe basarse exclusivamente en el filtro de nombre de usuario para capturar capturas sin cliente VPN

b. Fije los siguientes filtros y etapas de captura para firewall las capturas de paquetes

Nota: Puesto que el filtro sería establecido por el nombre de usuario, IP Los filtros

de dirección no serían necesarios en este caso> mostrar el reloj > mostrar la configuración del sistema
ssl-descifrar la memoria
> mostrar la configuración del sistema ssl-decrypt dns-cache
> mostrar la configuración del sistema ssl-decrypt gp-cookie-cache
> mostrar la configuración del sistema ssl-decrypt rewrite-stats
> debug dataplane packet-diag set capture username {use el nombre de usuario que registra en el portal sin VPN cliente} >
debug dataplane packet-diag set capture stage clientless-vpn-client file client.pcap
> debug dataplane packet-diag set capture stage clientless-vpn-server file server.pcap >
debug dataplane packet-diag set filter on
> debug dataplane packet-diag show setting

admin@ PA-220 > debug dataplane packet-diag show setting
-------------------------------------------------------------------------------- Configuración de diagnóstico de
paquetes: -------------------------------------------------------------------------------- Filtro de paquetes

habilitado: sí
Haga coincidir el paquete pre-analizado: no
-------------------------------------------------------------------------------- Registro

habilitado: sin
log-throttle: no
Sync-log-by-ticks: yes
Características:
Contadores:
-------------------------------------------------------------------------------- Captura de paquetes

habilitado: sin
Snaplen: 0
Nombre de usuario: paloaltonetworks.com\johndoe
Stage clientless-vpn-client: file client.pcap
Capturado: paquetes - 0 bytes - 0
Máximo: paquetes - 0 bytes - 0
Etapa clientless-vpn-server: file server.pcap
Capturado: paquetes - 0 bytes - 0
Máximo: paquetes - 0 bytes - 0
--------------------------------------------------------------------------------

c. Haga que el usuario de prueba cierre sesión en el portal sin cliente VPN

d.Habilite las capturas en la firewall

> debug dataplane packet-diag set capture on
> debug dataplane packet-diag show setting
> show clock

Note: Tenga en cuenta que las firewall capturas de paquetes contendrían la comunicación de texto claro (sin cifrar) entre el navegador y el firewall y el e de la firewall aplicación.

Abra la herramienta de desarrollador en el navegador y abra la pestaña de la consola para ver los errores de javascript

f. Por favor, haga que el usuario de prueba inicie sesión en el portal sin cliente VPN y, a continuación, habilite fiddlercap capturas según el artículo FiddlerCap

g. Navegue a la aplicación que muestra el problema y, a continuación, ejecute los siguientes comandos en la firewall sesión de CLI

la demostración de > toda la fuente de filtro > > mostrar el id de sesión <Client- IP
ID > [para todas las sesiones creadas]
> mostrar el filtro global delta yes packet-filter yes [ejecute este par de veces]

h. Una vez que se reproduce el problema, detenga las capturas de paquetes en el firewall

> debug dataplane packet-diag set capture off
> debug dataplane packet-diag show setting
> show clock > show system setting
ssl-decrypt memory
> mostrar la configuración del sistema ssl-decrypt dns-cache
> mostrar la configuración del sistema ssl-decrypt gp-cookie-cache
> mostrar la configuración del sistema ssl-decrypt rewrite-stats

3. Por favor, recoja las capturas de FiddlerCap y los registros de la consola del navegador para el escenario de trabajo cuando el usuario accede a la DIRECTLY aplicación, no a través del portal según el artículo FiddlerCap

Nota: Tenga en cuenta que FiddlerCap puede recopilar tráfico de texto no cifrado, y todas las credenciales de usuario (nombres de usuario/contraseñas) intercambiadas durante el tiempo de la captura, serán visibles en los datos recopilados. Estas capturas de paquetes contienen comunicación de texto sin cifrar (sin cifrar) entre el explorador y el firewall objeto , y entre la aplicación y la firewall aplicación. Se recomienda utilizar credenciales de prueba si es necesario iniciar sesión en la aplicación problemática

4. Detenga la grabación de zoom y recopile los siguientes archivos y cárguelos en el caso

- Firewall capturas de paquetes: clientless-vpn-client.pcap, clientless-vpn-server.pcap
- Sesión registrada - Archivo de soporte técnico fresco - Registros de la consola del navegador CLI

(escenarios de trabajo y no de trabajo)
- FiddlerCaps (escenarios de trabajo y no de trabajo) - Grabación de vídeo
zoom

Additional Information

-- Prathyusha Basamsetty (PBasamsetty)

Cómo solucionar problemas GlobalProtect sin cliente VPN