GlobalProtect Client-Upgrades können nicht abgeschlossen werden.

GlobalProtect Client-Upgrades können nicht abgeschlossen werden.

55356
Created On 03/08/19 08:16 AM - Last Modified 03/26/21 18:21 PM


Symptom


GlobalProtect wird im Portal so konfiguriert, dass Client-Upgrades transparent oder manuell möglich sind. Wenn das Upgrade manuell oder transparent gestartet wird, wird der Prozess gestartet, aber nicht abgeschlossen.

Environment


GlobalProtect mit Client-Upgrade in der Portalkonfiguration erlaubt (transparent oder manuell).

Cause


Das Problem ist insbesondere, wenn das Portal und Gateways auf verschiedenen Adressen gehostet werden, IP da der GlobalProtect Client versucht, das Update aus dem Portal durch den GlobalProtect Tunnel herunterzuladen.

Die folgenden Fehler zeigen, dass das Upgrade gestartet wird, der Dateidownload jedoch fehlschlägt.
 
(T14088) 03/08/19 17:31:50:199 Error( 291): CPanHTTPSession::SendRequest: WinHttpSendRequest failed with error 12002.
(T14088) 03/08/19 17:31:50:199 Error( 148): DownloadURLToFile: download failed
(T14088) 03/08/19 17:31:50:199 Error( 361): CPanHTTPSession::DownloadData: WinHttpQueryHeaders failed with error 12019.
(T14088) 03/08/19 17:31:50:199 Error( 167): DownloadURLToFile: cancel download
(T14088) 03/08/19 17:31:50:199 Info (2375): DownloadProc: download file failed.



Zu überprüfen sind:
  • Wenn der Client mit dem Gateway verbunden ist, sollte er in der Lage sein, den Portalhostnamen aufzulösen.Wenn sich die Server ändern, wenn sie mit dem Gateway verbunden sind, und aus DNS irgendeinem Grund den Hostnamen des Portals nicht auflösen können, schlägt der Dateidownload fehl.
  • Wenn die Namensauflösung in Ordnung funktioniert, sollte es eine geben, policy um dem Portal den Zugriff durch den Tunnel auf dem Gateway zu ermöglichen.Wie in den folgenden Protokollen zu sehen, wird vor der Verbindung des GlobalProtect Clients direkt auf das Portal (192.168.0.1) zugegriffen, aber sobald der Client verbunden ist, geht der Datenverkehr durch den Tunnel und da keine Sicherheit GlobalProtect besteht, wird der Datenverkehr policy verweigert.

Verkehrsprotokolle:
GlobalProtect Protokolle
  1. Der Zugriff auf das Portal über den Browser zeigt, dass die Verbindung in diesem Fall erlaubt ist, da sie direkt von L3-Trust zu L3-Trust ist.
  2. Sobald der GlobalProtect Client verbunden ist, wird der Zugriff auf das Portal über den Browser blockiert, da der Datenverkehr aus der L3-Zone für GP den Tunnel ist und es keine Regel GlobalProtect gibt, um den Datenverkehr zuzulassen.

Testtopologie:
Dies wurde mit einem einzigen Gateway getestet, firewall wobei das Gateway auf der L3-Trust-Schnittstelle konfiguriert wurde und das Portal auf einer Loopback-Schnittstelle auch auf der L3-Vertrauensschnittstelle konfiguriert wurde, aber eine andere Adresse als das IP Gateway.
Wichtige Punkte sind das Gateway und das Portal sind unterschiedliche IP Adressen, und die dem Client bereitgestellten Zugriffsrouten GlobalProtect bedeuten, dass der Datenverkehr zum Portal durch den Tunnel geleitet GlobalProtect wird, wenn er verbunden ist.

policyTestsicherheit:
GlobalProtect sicherheit policy
Die Portal- und Gatewaykonnektivität für den Client ist zulässig, da sich beide in der L3-Vertrauenszone befinden.
Sobald der Client eine Verbindung herstellt, befindet er sich in der GP L3-Zone. Die policy erlaubt die L3-Zone GP zu L3-Untrust, aber nicht Zul.L3-Trust, der Zone, in der sich die Portal-Loopback-Adresse befindet.
 

Resolution


  1. Stellen Sie sicher, dass der Client den Portalhostnamen weiterhin auflösen kann, wenn er mit dem Gateway verbunden ist.
  2. Stellen Sie sicher, dass die Sicherheit policy auf dem Gateway die Verbindung vom GlobalProtect IP Client/Zone zum Portal ermöglicht.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boIFCAY&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language