Comment dépanner GlobalProtect clientless VPN
Objective
Cet article est conçu pour permettre aux clients de recueillir des données sur les questions liées VPN à Clientless et de fournir TAC des points de données
Environment
GlobalProtect Portail sans VPN client
Procedure
Cet article détaillera la façon de recueillir des données pour les problèmes de connectivité et de réécrire les questions connexes.
A. Problèmes de connectivité
B. Réécrire les
questions ======================================================================================================
A. Problèmes de connectivité
Lorsque nous disons problèmes de connectivité, il comprend: - Page de connexion portail sans client ne pas charger sur le navigateur - Applications sans client ne pas charger
du tout une fois lancé - Lancement VPN
d’applications sans client redirige vers la page de connexion portail sans VPN client La cause possible de ces problèmes pourrait
être: - Configuration portail sans client
sur l’adresse a comme nom VPN firewall IP d’hôte, mais le portail lui-même est accessible en utilisant FQDN . Ils doivent correspondre
- Aucun itinéraire vers l’application sur le - Sécurité mal configurée pour le trafic firewall
policy d’application sur firewall
le - Objet proxy mal DNS- configuré ou DNS résolutions échouent sur le Si les étapes ci-dessus sont vérifiées et confirmées firewall
que la configuration semble bonne, s’il vous plaît suivre les étapes ci-dessous pour recueillir les données et les télécharger sur le cas pour TAC examen:
Exemple de scénario:
Portail sans VPN client IP : 1.1.1.1
Client : IP 2.2.2.2
Application : IP 10.1.0.120
----------------------------------------------------------------------------------------------------------------------------------------------
1. Veuillez enregistrer la CLI session
2. Définissez les filtres ci-dessous et capturez les étapes pour firewall les captures de paquets
> montrez
l’horloge > debug dataplane packet-diag set filter match source 2.2.2.2 destination 1.1.1.1
> debug dataplane packet-diag set filter match source 2.2.2.2 destination 10.1.0.120
> debug dataplane packet-diag set capture stage receive file rx.pcap
> debug dataplane packet-dia l’étape définie de capture de jeu transmettent le fichier tx.pcap
> debug dataplane packet-diag set capture stage drop file dp.pcap
> debug dataplane packet-diag set capture stage firewall file fw.pcap
> debu g dataplane packet-diag set filter on
> debug dataplane packet-diag set log feature flow basic
> debug dataplane packet-diag set log feature proxy all
> debug dataplane packet-diag show setting
admin@ > PA-220 debug dataplane packet-diag show setting
-------------------------------------------------------------------------------- Packet diagnosis
setting: -------------------------------------------------------------------------------- Packet filter
Enabled: yes Match
pre-parsed packet: no
Index 1: 2.2.2.2/32[0]->1.1.1.1/32[0], proto 0
ingress-interface any, egress-interface any, exclude IP
non-Index 2: 2.2.2.2/32[0]->10.1.0.120/32[0], proto 0
ingress-interface any, egress-interface any, exclude IP
non--------------------------------------------------------------------------------- Logging
Enabled: no
Log-throttle: no
Sync-log-by-ticks: yes
Features:
flow: basic
proxy: basic timer detail
Counters:
-------------------------------------------------------------------------------- Packet capture
Enabled: no
Snaplen: 0
Username:
Stage receive: file rx.pcap
Captured: packets - 0 octets - 0
Maximum: paquets - 0 octets - 0
Étape : fichier firewall fw.pcap
Capturé: paquets - 0 octets - 0
Maximum: paquets - 0 octets - 0
Étape transmettre : fichier tx.pcap
Capturé: paquets - 0 octets - 0
Maximum: paquets - 0 octets - 0 octets - 0
Chute d’étape : fichier dp.pcap
Capturé: paquets - 0 octets - 0
Maximum: paquets - 0 octets - 0
--------------------------------------------------------------------------------
3. Activer les journaux de débogage et les captures d’avions de données sur le firewall
> debug dataplane packet-diag set capture sur
> debug dataplane packet-diag set log on
> debug dataplane packet-diag show setting
> show clock
4. Reproduire le problème et exécuter en dessous des commandes
> session afficher toutes les sources de filtre 2.2.2.2 > afficher
ID l’id de session > [pour toutes les sessions
créées] > afficher contre le filtre global delta oui packet-filter oui [exécuter deux ou trois fois]
5. Une fois qu’il est reproduit, arrêtez les journaux de débogage de dataplane et les captures de paquets sur le firewall
> debug dataplane packet-diag set capture off
> debug dataplane packet-diag set log off
> debug dataplane packet-diag show setting
> show clock
6. Après environ 30 secondes, exécutez la commande ci-dessous pour agréger les journaux de débogage sur le firewall
> debug dataplane packet-diag aggregate-logs [exécutez-le deux fois]
7. S’il vous plaît recueillir ci-dessous les fichiers et les télécharger sur l’affaire
- Firewall captures de paquets : rx.pcap, tx.pcap, dp.pcap, fw.pcap
- Session enregistrée - Fichier de support technique frais CLI
(contenant des journaux de débogage de dataplane)
===============================
Lorsque nous disons Réécrire les problèmes, cela signifie que la plupart des applications clientless chargent correctement, mais certaines applications sans client ne parviennent pas à afficher certains éléments de la page ou certains boutons / hyperliens ne répondent pas.
Dans ce cas, nous aurions besoin de recueillir les informations
ci-dessous: - Firewall captures de paquets (client-vpn-client et clientless-vpn-serveur), FiddlerCap capture et les journaux de console de navigateur lorsque l’utilisateur accède à l’application problématique THROUGH du portail. Il s’agit du scénario non-travail
- FiddlerCap capture et enregistre console de navigateur de la machine de l’utilisateur lorsque l’utilisateur accède à l’application DIRECTLY , pas à travers le portail. Il s’agit du scénario de travail S’il vous plaît suivre ci-dessous les étapes pour recueillir les données et les télécharger sur le
cas TAC pour examen: Exemple
scénario:
Portail sans VPN IP client: 1.1.1.1
IP Client: 5.5.5.5
IP Application: 10.1.0.120
Note: Pour macOS / iPad / iOS dispositifs, pointer le trafic vers un serveur proxy web et activer fiddlercap captures sur le
serveur ----------------------------------------------------------------------------------------------------------------------------------------------
1. S’il vous plaît CLI enregistrer la session et enregistrer la session de zoom ainsi
2. Les étapes suivantes seraient pour capturer des données pour le scénario non-travail où l’utilisateur accède à l’application THROUGH problématique du portail
a. S’il vous plaît avoir l’utilisateur de test se connecter au portail Clientless VPN afin d’exécuter la commande ci-dessous pour obtenir le format de nom d’utilisateur correct. Il sera utilisé pour capturer des paquets pour cet utilisateur particulier firewall
sur le > afficher global-protect-portal current-user filter-user all-users Portal :
GlobalProtect GPClientlessPortal
Vsys-Id : 1
Utilisateur : paloaltonetworks.com\johndoe
Session-id : 1SU2vrPIDfdopGf-7gahMTCiX8PuL0S0
Client- : IP 5.5.5.5
Session start temps : Lun Apr 20 10:32:35 2020
Temps d’inactivité : 1800
Secondes avant délai d’attente d’inactivité : 1789 Durée de vie
de connexion : 10800
Secondes avant la durée de vie de connexion : 10789
Taille du cache de cookies : 0
Région source : Allemagne
Note : Voici quelques conseils à garder à l’esprit avant d’utiliser le filtrenom d’utilisateur pour les VPN captures sans client:
- Le nom d’utilisateur indiqué dans la sortie de la commande : afficher global-protect-portal current-user filter-user all-users et le nom d’utilisateur dans la sortie de la commande : afficher l’utilisateur ip-user-mapping tout type doit GP-CLIENTLESSVPN correspondre car le filtre de nom d’utilisateur est sensible au cas.
- A l’inadéquation ne générera pas de VPN captures sans client
> afficher l’utilisateur ip-utilisateur-mapping tous les types GP-CLIENTLESSVPN
IP Vsys De l’utilisateur IdleTimeout (s) MaxTimeout(s)
--------------------------------------------- ------------------- ------- -------------------------------- -------------- -------------
5.5.5.5 vsys1 GP-CLIENTLESSVPN paloaltonetworks.com\johndoe < 10797 10797
Total: 1 utilisateurs
- Il ne doit pas y avoir de nom d’utilisateur associé à l’adresse IP de destination; il doit être inconnu comme indiqué ci-dessous. Dans le cas contraire, les VPN captures sans client ne seront pas générées en raison du nom d’utilisateur de destination
> show session id 3136988
Session 3136988
c2s flow:
source: 5.5.5.5 [Clientless_VPN]
dst: 10.1.0.120
proto: 6
sport: 15715 dport: 443
state: INIT type: FLOW
src user: paloaltonetworks.com\johndoe
dst user: unknown <<<<<<<<<<
s2c flow:
source: 10.1.0.120 [Inside]
dst: 10.1.2.214
proto: 6
sport: 443 dport: 15715
state: INIT type: FLOW
src user: unknown <<<<<<<<<<
dst user: paloaltonetworks.com\johndoe
- Il ne devrait pas y IP avoir de filtres définis ainsi. Il doit être purement basé sur le filtre de nom d’utilisateur pour capturer les VPN captures sans client
b. Réglez les filtres ci-dessous et capturez les étapes firewall pour les captures de paquets
Note : Puisque le filtre serait défini par le nom d’utilisateur, IP les filtres d’adresse ne seraient
pasnécessaires dans ce cas > afficher
l’horloge > afficher le système de réglage ssl-decrypt memory > afficher le système
de réglage ssl-decrypt dns-cache > afficher le système
de réglage ssl-decrypt gp-cookie-cache
> afficher le système de réglage ssl-decrypt rewrite-stats
> debug dataplane packet-diag set capture nom d’utilisateur {utilisez le nom d’utilisateur qui se connecte VPN au portail Clientless} >
debug dataplane packet-diag set capture stage clientless-vpn-client file client.pcap
> debug dataplane packet-diag set capture stage clientless-vpn-server file server.pcap
> débogage dataplane packet-diag set filter on
> debug dataplane packet-diag show setting
admin@ PA-220 > debug dataplane packet-diag show setting
-------------------------------------------------------------------------------- Packet diagnosis
setting: -------------------------------------------------------------------------------- Packet filter
Enabled: yes Match
pre-parsed packet: no
-------------------------------------------------------------------------------- Logging
Enabled: no
Log-throttle: no
Sync-log-by-ticks: yes
Features: Counters:
-------------------------------------------------------------------------------- Packet capture
Enabled: no
Snaplen: 0
Nom d’utilisateur: -------------------------------------------------------------------------------- paloaltonetworks.com\johndoe
Stage clientless-vpn-client: file client.pcap
Capturé: paquets - 0 octets - 0
Maximum: paquets - 0 octets - 0
Étape clientless-vpn-serveur: file server.pcap
Capturé: paquets - 0 octets - 0
Maximum: paquets - 0 octets - 0 octets - 0
--------------------------------------------------------------------------------
c. S’il vous plaît avoir l’utilisateur de test se connecter à partir du portail VPN
clientless d.Activer les captures sur firewall
le jeu de paquets de données debug de > sur
> un décalage de paquets-diag d’espace
de
débogage > afficher l’horloge Note : Sachez que les captures de paquets contiendraientune communication claire firewall (non cryptée) entre le navigateur et l’e firewall et l’application et l’application. firewall
Ouvrez l’outil développeur sur le navigateur et ouvrez l’onglet console pour voir toutes les erreurs javascript
f. S’il vous plaît avoir l’utilisateur de test se connecter au VPN portail Clientless, puis, activer FiddlerCap capture selon l’article FiddlerCap
g. Naviguez vers firewall l’application présentant le problème, puis, exécutez ci-dessous les commandes sur la CLI
session d’exposition de > toutes les sources <Client- IP de filtre > >
afficher ID l’id de session > [pour toutes les sessions
créées] > afficher compteur global filtre delta oui packet-filter oui [exécuter cette couple de fois]
h. Une fois le problème reproduit, arrêter les captures de paquets firewall
sur l’ensemble de paquets de données debug de > saisie de paquets de données
hors > debug dataplane packet-diag show setting
> show clock > show system setting
ssl-decrypt memory
> show system setting ssl-decrypt dns-cache
> show system setting ssl-decrypt gp-cookie-cache
> show system setting ssl-decrypt rewrite-stats
3. S’il vous plaît recueillir les captures FiddlerCap et les journaux de console de navigateur pour le scénario de travail lorsque l’utilisateur accède à l’application DIRECTLY , pas à travers le portail selon l’article FiddlerCap
Remarque : Sachez que FiddlerCap peut collecter du trafic cleartext, et que toutes les informations d’identification des utilisateurs (noms d’utilisateur/mots de passe) échangées au moment de la capture seront visibles dans les données collectées. Ces captures de paquets contiennent une communication texte clair (non cryptée) entre le navigateur et firewall le , et entre l’application et firewall l’application. Il est recommandé d’utiliser les informations d’identification de test si vous vous connectez à l’application problématique est nécessaire
4. Arrêtez l’enregistrement de zoom et de recueillir les fichiers ci-dessous et les télécharger sur le cas
- Firewall captures de paquets : clientless-vpn-client.pcap, clientless-vpn-server.pcap- Session enregistrée - Fichier de support technique frais - Journaux de console de navigateur CLI
(scénarios de travail et de non-travail)
- FiddlerCaps (scénarios de travail et
non-travail) - Zoom enregistrement vidéo
Additional Information
-- Prathyusha Basamsetty (PBasamsetty)