Cómo solucionar problemas GlobalProtect sin cliente VPN
Objective
Este artículo está diseñado para permitir a los clientes recopilar datos sobre problemas relacionados con Clientless VPN y proporcionar TAC puntos de datos
Environment
GlobalProtect Portal sin cliente VPN
Procedure
En este artículo se detalla cómo recopilar datos para problemas de conectividad y volver a escribir problemas relacionados.
A. Problemas de conectividad
B. Reescribir problemas
===================================
A. Problemas de conectividad
Cuando decimos problemas de conectividad, incluye:
- Página de inicio de sesión del portal sin cliente que no se carga en el navegador VPN - Aplicaciones sin cliente que no se
cargan en absoluto una vez
iniciadas - Iniciar aplicaciones sin cliente redirige de nuevo a la página de inicio de sesión del portal sin cliente VPN La posible causa de estos problemas podría
ser: - Configuración del portal sin
cliente en la dirección has como nombre de VPN firewall IP host, pero se accede al propio portal mediante FQDN . Deben hacer juego
- No hay ruta a la aplicación en el - Seguridad mal firewall
configurada para el tráfico de la policy aplicación en el - Objeto proxy mal configurado o resoluciones firewall
DNS- DNS fallan en el firewall
Si se verifican los pasos anteriores y se confirma que la configuración se ve bien, siga los pasos a continuación para recopilar los datos y cargarlos en el caso para TAC su revisión:
Ejemplo de escenario:
Portal sin cliente VPN IP : 1.1.1.1
Cliente : IP 2.2.2.2
Aplicación : IP 10.1.0.120
----------------------------------------------------------------------------------------------------------------------------------------------
1. Registre la CLI sesión
2. Establezca los siguientes filtros y etapas de captura para firewall las capturas de paquetes
> mostrar el reloj
> debug dataplane packet-diag set filter match source 2.2.2.2 destination 1.1.1.1
> debug dataplane packet-diag set filter match fuente 2.2.2.2 destino 10.1.0.120
> debug dataplane packet-diag set capture stage receive file rx.pcap
> debug dataplane packet-Diag set fase de captura transmitir archivo tx.pcap
> debug dataplane packet-diag set capture stage drop file dp.pcap
> debug dataplane packet-diag set capture stage firewall file fw.pcap
> debug filtro de conjunto de paquetes-diag de plano de datos en
> debug dataplane packet-diag set log feature flow basic
> debug dataplane packet-diag set log feature proxy all
> debug dataplane packet-diag show setting
admin@ > PA-220 debug dataplane packet-diag show setting
-------------------------------------------------------------------------------- Configuración de diagnóstico de
paquetes: filtro de paquetes --------------------------------------------------------------------------------
habilitado: sí Haga coincidir el paquete
pre-analizado: no
index 1: 2.2.2.2/32[0] ->1.1.1.1/32[0], proto 0
ingress-interface any, egress-interface any, excluir non- IP
Index 2: 2.2.2.2/32[0]->10.1.0.120/32[0], proto 0
ingress-interface any, egress-interface any, exclude IP
non--------------------------------------------------------------------------------- Logging
Enabled: no
Log-throttle: no
Sync-log-by-ticks: yes
Features: flow : basic proxy :
basic timer detail
Counters:
-------------------------------------------------------------------------------- Packet capture
Enabled: no
Snaplen: 0
Username: Stage receive : file
rx.pcap
Captured: packets -0 bytes - 0
Máximo: paquetes - 0 bytes - 0
Etapa : archivo firewall fw.pcap
capturado: paquetes - 0 bytes - 0
Máximo: paquetes - 0 bytes - Transmisión de 0
etapas : archivo tx.pcap
capturado: paquetes - 0 bytes - 0
Máximo: paquetes - 0 bytes - 0
Caída de etapa : archivo dp.pcap
capturado: paquetes - 0 bytes - 0
Máximo: paquetes - 0 bytes - 0
--------------------------------------------------------------------------------
3. Habilite los registros y capturas de depuración del plan de datos en el firewall
> captura del conjunto del paquete-diag del dataplane del debug en
> registro del conjunto del paquete-diag del dataplane del debug en > configuración de la
demostración del paquete-diag del dataplane del debug
> del reloj de la demostración
4. Reproduzca el problema y ejecute los siguientes comandos
> mostrar sesión toda la fuente de filtro 2.2.2.2 > mostrar id de sesión
ID > [para todas las sesiones creadas]
> mostrar filtro global de contador delta sí packet-filter yes [ejecutarlo un par de veces]
5. Una vez que se reproduzca, detenga los registros de depuración del plan de datos y las capturas de paquetes en el firewall
> la captura del conjunto del paquete-diag del dataplane del debug apagado
> el registro del conjunto del paquete-diag del debug del debug > la configuración de la
demostración del paquete-diag del dataplane del debug
> del reloj de la demostración
6. Después de unos 30 segundos, ejecute el siguiente comando para agregar registros de depuración en el firewall
> debug dataplane packet-diag aggregate-logs [ejecútelo dos veces]
7. Por favor, recopile debajo de los archivos y cárguelos en el caso
- Firewall capturas de paquetes: rx.pcap, tx.pcap, dp.pcap, fw.pcap
- Sesión registrada - Archivo de soporte técnico fresco CLI
(que contiene registros de depuración de plan de datos)
===============================
Cuando decimos Problemas de reescritura, significa que la mayoría de las aplicaciones Clientless se cargan correctamente, pero algunas aplicaciones sin cliente no pueden mostrar ciertos elementos de la página o algunos botones/hipervínculos no responden.
En este caso, necesitaríamos recopilar la siguiente información:
- Firewall capturas de paquetes (clientless-vpn-client y clientless-vpn-server), capturas de FiddlerCap y registros de la consola del navegador cuando el usuario accede a la aplicación problemática THROUGH el portal. Este es el escenario que no
funciona: FiddlerCap captura y registra la consola del explorador desde el equipo del usuario cuando el usuario accede a la DIRECTLY aplicación, no a través del portal. Este es el escenario de trabajo
Siga los pasos a continuación para recopilar los datos y cargarlos en el caso de TAC revisión: Escenario de
ejemplo:
Portal sin cliente VPN : IP 1.1.1.1
Cliente : IP 5.5.5.5
Aplicación : IP 10.1.0.120
Nota: Para dispositivos macOS/ iPad / iOS, señale el tráfico hacia un servidor proxy web y habilite las capturas de FiddlerCap en el servidor
----------------------------------------------------------------------------------------------------------------------------------------------
1. Registre la sesión y registre la CLI sesión de zoom también
2. Los pasos siguientes serían para capturar datos para escenarios que no funcionan donde el usuario tiene acceso a la aplicación problemática a del THROUGH portal.
Por favor, haga que el usuario de prueba inicie sesión en el portal sin VPN cliente para funcionar con el comando abajo de obtener el formato de nombre de usuario correcto. Se utilizará para capturar paquetes para este usuario en particular en el firewall
> mostrar global-protect-portal current-user filter-user all-users
GlobalProtect Portal : GPClientlessPortal
Vsys-Id : 1
Usuario : paloaltonetworks.com\johndoe
Session-id : 1SU2vrPIDfdopGf-7gahMTCiX8PuL0S0
Cliente- : IP 5.5.5.5
Sesión hora de inicio : Lunes abr 20 10:32:35 2020
Tiempo de inactividad : 1800
Segundos antes del tiempo de espera de inactividad : 1789
Duración de inicio de sesión : 10800 Segundos antes de la duración del inicio de sesión :
10789
Tamaño de la caché de cookies : 0
Región de origen : Alemania
Nota: Aquí hay algunos punteros a tener en cuenta antes de usar el filtro de nombre de usuario para VPN capturas sin cliente:
- El nombre de usuario señalado en la salida del comando: show global-protect-portal current-user filter-user all-users y el nombre de usuario en la salida del comando: show user ip-user-mapping all type GP-CLIENTLESSVPN debe hacer juego como el filtro de nombre de usuario distingue entre mayúsculas y minúsculas.
- A desajuste no generará capturas sin VPN cliente
> mostrar al usuario ip-user-mapping todo tipo GP-CLIENTLESSVPN
IP vsys de usuario IdleTimeout(s) MaxTimeout(s)
--------------------------------------------- ------------------- ------- -------------------------------- -------------- -------------
5.5.5.5 vsys1 GP-CLIENTLESSVPN paloaltonetworks.com\johndoe < 10797 10797
Total: 1 usuarios
- No debe haber ningún nombre de usuario asociado con la dirección de IP destino; debe ser desconocido como se muestra a continuación. De lo contrario, las capturas sin cliente VPN no se generarán debido al nombre de usuario del destino
> show session id 3136988
Session 3136988
c2s flow:
source: 5.5.5.5 [Clientless_VPN]
dst: 10.1.0.120
proto: 6
sport: 15715 dport: 443
state: INIT type: FLOW
src user: paloaltonetworks.com\johndoe
dst user: unknown <<<<<<<<<<
s2c flow:
source: 10.1.0.120 [Inside]
dst: 10.1.2.214
proto: 6
sport: 443 dport: 15715
state: INIT type: FLOW
src user: unknown <<<<<<<<<<
dst user: paloaltonetworks.com\johndoe
- No debe haber IP filtros establecidos también. Debe basarse exclusivamente en el filtro de nombre de usuario para capturar capturas sin cliente VPN
b. Fije los siguientes filtros y etapas de captura para firewall las capturas de paquetes
Nota: Puesto que el filtro sería establecido por el nombre de usuario, IP Los filtros
de dirección no serían necesarios en este caso> mostrar el reloj > mostrar la configuración del sistema
ssl-descifrar la memoria
> mostrar la configuración del sistema ssl-decrypt dns-cache
> mostrar la configuración del sistema ssl-decrypt gp-cookie-cache
> mostrar la configuración del sistema ssl-decrypt rewrite-stats
> debug dataplane packet-diag set capture username {use el nombre de usuario que registra en el portal sin VPN cliente} >
debug dataplane packet-diag set capture stage clientless-vpn-client file client.pcap
> debug dataplane packet-diag set capture stage clientless-vpn-server file server.pcap >
debug dataplane packet-diag set filter on
> debug dataplane packet-diag show setting
admin@ PA-220 > debug dataplane packet-diag show setting
-------------------------------------------------------------------------------- Configuración de diagnóstico de
paquetes: -------------------------------------------------------------------------------- Filtro de paquetes
habilitado: sí
Haga coincidir el paquete pre-analizado: no
-------------------------------------------------------------------------------- Registro
habilitado: sin
log-throttle: no
Sync-log-by-ticks: yes
Características:
Contadores:
-------------------------------------------------------------------------------- Captura de paquetes
habilitado: sin
Snaplen: 0
Nombre de usuario: paloaltonetworks.com\johndoe
Stage clientless-vpn-client: file client.pcap
Capturado: paquetes - 0 bytes - 0
Máximo: paquetes - 0 bytes - 0
Etapa clientless-vpn-server: file server.pcap
Capturado: paquetes - 0 bytes - 0
Máximo: paquetes - 0 bytes - 0
--------------------------------------------------------------------------------
c. Haga que el usuario de prueba cierre sesión en el portal sin cliente VPN
d.Habilite las capturas en la firewall
> debug dataplane packet-diag set capture on
> debug dataplane packet-diag show setting
> show clock
Note: Tenga en cuenta que las firewall capturas de paquetes contendrían la comunicación de texto claro (sin cifrar) entre el navegador y el firewall y el e de la firewall aplicación.
Abra la herramienta de desarrollador en el navegador y abra la pestaña de la consola para ver los errores de javascript
f. Por favor, haga que el usuario de prueba inicie sesión en el portal sin cliente VPN y, a continuación, habilite fiddlercap capturas según el artículo FiddlerCap
g. Navegue a la aplicación que muestra el problema y, a continuación, ejecute los siguientes comandos en la firewall sesión de CLI
la demostración de > toda la fuente de filtro > > mostrar el id de sesión <Client- IP
ID > [para todas las sesiones creadas]
> mostrar el filtro global delta yes packet-filter yes [ejecute este par de veces]
h. Una vez que se reproduce el problema, detenga las capturas de paquetes en el firewall
> debug dataplane packet-diag set capture off
> debug dataplane packet-diag show setting
> show clock > show system setting
ssl-decrypt memory
> mostrar la configuración del sistema ssl-decrypt dns-cache
> mostrar la configuración del sistema ssl-decrypt gp-cookie-cache
> mostrar la configuración del sistema ssl-decrypt rewrite-stats
3. Por favor, recoja las capturas de FiddlerCap y los registros de la consola del navegador para el escenario de trabajo cuando el usuario accede a la DIRECTLY aplicación, no a través del portal según el artículo FiddlerCap
Nota: Tenga en cuenta que FiddlerCap puede recopilar tráfico de texto no cifrado, y todas las credenciales de usuario (nombres de usuario/contraseñas) intercambiadas durante el tiempo de la captura, serán visibles en los datos recopilados. Estas capturas de paquetes contienen comunicación de texto sin cifrar (sin cifrar) entre el explorador y el firewall objeto , y entre la aplicación y la firewall aplicación. Se recomienda utilizar credenciales de prueba si es necesario iniciar sesión en la aplicación problemática
4. Detenga la grabación de zoom y recopile los siguientes archivos y cárguelos en el caso
- Firewall capturas de paquetes: clientless-vpn-client.pcap, clientless-vpn-server.pcap- Sesión registrada - Archivo de soporte técnico fresco - Registros de la consola del navegador CLI
(escenarios de trabajo y no de trabajo)
- FiddlerCaps (escenarios de trabajo y no de trabajo) - Grabación de vídeo
zoom
Additional Information
-- Prathyusha Basamsetty (PBasamsetty)