クライアントレスのトラブルシューティング方法 GlobalProtect VPN
Objective
この記事は、顧客がクライアントレス関連の問題に関するデータを収集 VPN し、 TAC データポイントを提供できるように設計されています。
Environment
GlobalProtect クライアントレス VPN ポータル
Procedure
この記事では、接続の問題のデータを収集する方法と関連する問題を書き換える方法について詳しく説明します。
A.接続の問題
B: 書き換え問題
================================================================
A.接続の問題
接続の問題を言うとき、次の内容が含まれます:
- クライアントレス VPN ポータル ログイン ページがブラウザに
読み込まれていないクライアントレス アプリケーション -
クライアントレス アプリケーションの起動が Clientless ポータルログイン ページにリダイレクトされる可能性 VPN
があります。
VPN firewall IP FQDN 一致する必要があります - アプリケーション
トラフィックの firewall
セキュリティが誤って構成されている - 上 policy のアプリケーショントラフィックの誤った構成のセキュリティは、 firewall
DNS- DNS firewall
上記の手順が検証され、構成が良好に見えることを確認した場合、以下の手順に従ってデータを収集し、レビューのためにケースにアップロードしてください TAC 。
シナリオ例:
クライアントレス VPN ポータル IP : 1.1.1.1
クライアント : IP 2.2.2.2
アプリケーション : IP 10.1.0.120
----------------------------------------------------------------------------------------------------------------------------------------------
1. CLI セッション 2 をログに記録してください
。 パケット キャプチャの以下のフィルタとキャプチャ ステージを設定 firewall します。
>クロック
>デバッグ データプレーン パケット diag セット フィルタ マッチ ソース 2.2.2.2.2 宛先 1.1.1.1
> デバッグ データプレーン パケット diag セット フィルタ マッチ ソース 2.2.2.2.2 宛先 10.1.0.120
> デバッグ データプレーン パケット diag セット キャプチャ ステージ受信ファイル rx.pcap
>デバッグ データプレーン パケット-diag セット キャプチャ ステージを示します 送信ファイル tx.pcap
> デバッグ データプレーン パケット diag セット ドロップ ファイル dp.pcap
> デバッグ データプレーン パケット- diag セット キャプチャ ステージ fw.pcap > デバッグ データ >プレーン パケット- ログ 出力 firewall
の基本的なフロー
基本> デバッグ データプレーン パケット-diag セット ログ 機能のプロキシ >のすべてのデバッグ
データプレーン パケット-diag 表示設定
PA-220admin@>デバッグ データプレーン パケット diag 表示
の設定-------------------------------------------------------------------------------- パケット診断設定:
-------------------------------------------------------------------------------- パケット
フィルタ
有効: はい
一致事前解析済みパケット:
いいえ インデックス 1: 2.2.2.2/32[0]->1.1.1.1/32[0]、 proto 0
インググレス インターフェイス 任意、出力インターフェイス任意、非 IP
インデックス 2 を除外する 2.2.2.2/32[0]->10.1.0.120/32[0]、 proto 0
入力インターフェイス任意、出力インターフェイス任意、非 IP
--------------------------------------------------------------------------------
ロギング
有効を除外:
ログスロットルなし:
同期ログバイティック: はい機能:
フロー :
基本プロキシ :
基本タイマー詳細
カウンタ: -------------------------------------------------------------------------------- パケット
キャプチャ
有効:
Snaplen なし: 0
ユーザ名:
ステージ受信 : ファイル rx.pcap
キャプチャ: パケット - 0 バイト - 0
最大: パケット - 0 バイト - 0
ステージ : ファイル firewall fw.pcap
キャプチャ: パケット - 0 バイト - 0
最大: パケット - 0 バイト - 0
ステージ送信 : ファイル tx.pcap
キャプチャ: パケット - 0 バイト - 0
パケットの最大数: パケット数 - 0 バイト - 0
ステージ ドロップ : ファイル dp.pcap
キャプチャ: パケット - 0 バイト - 0
最大: パケット - 0 バイト - 0
--------------------------------------------------------------------------------
3. データプレーンデバッグログおよびキャプチャを有効にする firewall
デバッグ データ プレーン パケット diag セット キャプチャ
>デバッグ データ プレーン パケット diag セット ログで>デバッグ
データプレーン パケット diag の設定設定>
クロック>表示
4. 問題を再現し、以下のコマンドを実行します。
すべてのフィルタ ソース 2.2.2.2
>表示セッション ID ID > [作成されたすべてのセッション]
>表示> カウンター グローバル フィルタ デルタはい パケット フィルタはい [数回実行]
5. 再現後、データプレーンのデバッグログとパケットキャプチャを停止 firewall
デバッグ データ プレーン パケット diag セットオフ>デバッグ データ プレーン パケット diag >オフキャプチャ>
デバッグ
データプレーン パケット diag
ショー設定>クロックを示す設定
6. 約 30 秒後、以下のコマンドを実行して、デバッグ ログを firewall
>デバッグ データプレーン パケット diag 集約ログ [2 回実行]
7. 以下のファイルを収集し、ケースにアップロードしてください
- Firewall パケット キャプチャ: rx.pcap、tx.pcap、dp.pcap、fw.pcap
- ログセッション - CLI
フレッシュ テクニカル サポート ファイル (データプレーン デバッグ ログを含む)
===============================
書き換えの問題を言うと、ほとんどのClientlessアプリケーションが正しく読み込まれますが、一部のClientlessアプリケーションはページの特定の要素を表示できないか、ボタンやハイパーリンクが応答しません。
この場合、次の情報を収集する必要があります:
- Firewall パケット キャプチャ (クライアントレス vpn-client とクライアントレス vpn-server)、FiddlerCap キャプチャと、ユーザーが問題のあるアプリケーションポータルにアクセスするときにブラウザー コンソール ログ THROUGH 。 これは非動作シナリオ
です - FiddlerCap は DIRECTLY 、ユーザーがポータルを介してではなくアプリケーションにアクセスしたときに、ユーザーのマシンからコンソール ログをキャプチャし、ブラウザーコンソールをキャプチャします。 これは、
データを収集し、レビューのためにケースにアップロードする手順に従ってください TAC :
例シナリオ:
クライアントレス VPN ポータル IP : 1.1.1.1.1
クライアント : IP 5.5.5.5
アプリケーション : IP 10.1.0.120
注: macOS/iPad/iOS デバイスの場合は、トラフィックを Web プロキシ サーバーに向けてポイントし、サーバー ---------------------------------------------------------------------------------------------------------------------------------------------- 1 で FiddlerCap キャプチャを有効に
します。 CLIセッションを記録し、ズームセッションを記録してください
2. 次の手順は、ユーザーがポータル a の問題のあるアプリケーションにアクセス THROUGH
する非作業シナリオのデータをキャプチャするためのものです。 VPN正しいユーザー名の形式を取得するには、以下のコマンドを実行するために、テストユーザーがClientlessポータルにログインするようにしてください。 firewall
これは、グローバル保護ポータルの現在のユーザーフィルターユーザーの全ユーザーポータルを表示>上でこの特定のユーザーのパケットをキャプチャするために使用されます
GlobalProtect : GPClientlessPortal
Vsys-Id : 1
ユーザー : paloaltonetworks.com\johndoe
セッション ID : 1SU2vrPIDfdopGf-7gahMTCiX8PuL0S0
クライアント- : IP 5.5.5.5
セッション開始時間 : Mon Apr 20 10:32:35 2020
非アクティブタイムアウト: 1800
秒前の非アクティブ タイムアウト : 1789
ログインライフタイム : 10800
ログインライフタイム前 : 10780 クッキー
キャッシュのサイズ : 0
ソースリージョン : ドイツ
注意:ここでは、クライアントレス VPN キャプチャのユーザー名を使用する前に留意すべきいくつかのポインタがあります:
- コマンドの出力で指摘されたユーザー名:グローバル保護ポータルの現在のユーザーフィルターユーザーの全ユーザーを表示し、コマンドの出力にユーザー名を表示する:ユーザー名フィルタが大文字と小文字を区別するので、すべてのタイプのユーザー ip-user マッピングを表示 GP-CLIENTLESSVPNします。
- A 不一致は、クライアントレス VPN キャプチャを生成しません
>ユーザーのip-ユーザーマッピングのすべてのタイプ GP-CLIENTLESSVPN
IP Vsysをユーザーアイドルタイムアウトから表示--------------------------------------------- ------------------- ------- -------------------------------- -------------- ------------- MaxTimeout(s)
5.5.5.5 vsys1 GP-CLIENTLESSVPN paloaltonetworks.com\johndoe < 10797 10797
合計: 1 ユーザー
- 宛先アドレスに関連付けられたユーザー名は存在しない IP はずです。 それ以外の場合、クライアントレス VPN キャプチャは、宛先のユーザー名のために生成されません。
> show session id 3136988
Session 3136988
c2s flow:
source: 5.5.5.5 [Clientless_VPN]
dst: 10.1.0.120
proto: 6
sport: 15715 dport: 443
state: INIT type: FLOW
src user: paloaltonetworks.com\johndoe
dst user: unknown <<<<<<<<<<
s2c flow:
source: 10.1.0.120 [Inside]
dst: 10.1.2.214
proto: 6
sport: 443 dport: 15715
state: INIT type: FLOW
src user: unknown <<<<<<<<<<
dst user: paloaltonetworks.com\johndoe
- IPフィルタも設定しないでください。 クライアントレス キャプチャをキャプチャするには、純粋にユーザー名フィルターに基づいている必要があります VPN 。
b. firewall パケット キャプチャの以下のフィルタとキャプチャ ステージを設定
する 注意: フィルタはユーザ名によって設定されるため、 IP この場合、システム
設定ssl-decrypt dns >-cache >表示システム設定ssl-decrypt gp-cookie-cacheを表示>表示> >クロックを表示する場合、アドレスフィルタは必要ありません >
システム設定ssl-decrypt gp-cookie-cache
>を表示するシステム設定ssl-decrypt rewrite-stats
>デバッグデータプレーンパケットダイアグセットキャプチャ{usernameログに記録するユーザ名を使用します クライアントレス VPN ポータル}
> デバッグ データプレーン パケット diag セット キャプチャ ステージ クライアントレス vpn-client ファイル client.pcap
> デバッグ データプレーン パケット-diag セット キャプチャ ステージ クライアントレス vpn-server ファイル server.pcap
> デバッグ
データプレーン パケット-diag show 設定のデータプレーン パケット-diag セット フィルタ> pcap
PA-220admin@>デバッグ データプレーン パケット diag 表示
設定--------------------------------------------------------------------------------パケット診断設定:
-------------------------------------------------------------------------------- パケット
フィルタ
有効: はい
一致事前解析済みパケット: は
い --------------------------------------------------------------------------------
ログ記録
なし: ログ出力なし: ログ バイ ティックの
同期: はい
:
カウンタ: -------------------------------------------------------------------------------- パケット
キャプチャ
有効:
Snaplen: 0
ユーザー名 : paloaltonetworks.com\johndoe
Stage クライアントレス VPN-クライアント: ファイル client.pcap
キャプチャ: パケット - 0 バイト - 0
最大: パケット - 0 バイト - 0
ステージ クライアントレス vpn-server: file server.pcap
キャプチャ: パケット - 0 バイト - 0
最大: パケット - 0 バイト - 0 --------------------------------------------------------------------------------
c. クライアントレス ポータル d からテスト ユーザー ログを取 VPN
り出してください。>firewall
デバッグ データプレーン パケット diag セット キャプチャでキャプチャ
を有効に> クロックを表示する設定
>
キャプチャ:パケット キャプチャには、ブラウザと、およびアプリケーション e との firewall 間のクリア テキスト (暗号化されていない) firewall firewall 通信が含まれることに注意してください
。 ブラウザで開発者ツールを開き、コンソールタブを開いて、JavaScriptエラー
を確認します。 テストユーザーがクライアントレスポータルにログイン VPN してから、FiddlerCap のキャプチャを有効にしてください。
g. 問題が発生しているアプリケーションに移動し、次に firewall 、CLI
すべてのフィルタ ソース <Client- IP >>表示セッション ID
ID > [作成されたすべてのセッション] >表示する > [この数回実行する
]
の下のコマンドを実行します。 問題が再現されるとfirewall
、>デバッグ データプレーン パケットダイアグセット キャプチャオフ > デバッグ
データプレーン パケット diag show 設定でパケット キャプチャを停止
>、
システム設定を示すクロック>表示>システム
設定 ssl-decrypt-dns-cache >表示システム設定 ssl-decrypt
gp-cookie-cache >
>表示システム設定 ssl-decrypt gp-cookie-cache-rewrite-stats を表示します
3. ユーザーがアプリケーションにアクセスする際に、FiddlerCap のキャプチャとブラウザ コンソール ログを収集してください DIRECTLY 。
注: FiddlerCap はクリアテキスト トラフィックを収集でき、キャプチャの間に交換されたすべてのユーザー認証情報(ユーザ名/パスワード)は収集されたデータに表示されます。 これらのパケット キャプチャには、ブラウザと の間、および と アプリケーション間のクリア テキスト (暗号化されていない) 通信が含まれます firewall firewall 。 問題のあるアプリケーションへのログインが必要な場合は、テスト資格情報を使用することをお勧めします。
4.ズーム録画を停止し、以下のファイルを収集し、ケースにアップロード
- Firewall パケット キャプチャ: クライアントレス vpn-client.pcap, クライアントレス vpn-server.pcap- ログ セッション - CLI
新しい技術サポート ファイル
- ブラウザー コンソール ログ (作業シナリオおよび非
作業シナリオ) - FiddlerCaps (作業シナリオおよび非作業シナリオ)
- ビデオ録画をズームします。
Additional Information
-- プラティシャ・バサムセッティ (Pバサムセッティ)