GlobalProtect mises à niveau clients ne sont pas terminées.
55366
Created On 03/08/19 08:16 AM - Last Modified 03/26/21 18:21 PM
Symptom
GlobalProtect est configuré sur le portail pour permettre aux clients de mettre à niveau de manière transparente ou manuelle. Lorsque la mise à niveau est démarrée manuellement ou en toute transparence, le processus commence mais ne se termine pas.
Environment
GlobalProtect avec mise à niveau client autorisée sur la configuration du portail (transparente ou manuelle).
Cause
Le problème est spécifiquement si le portail et les passerelles sont hébergés sur différentes IP adresses que GlobalProtect le client va essayer de télécharger la mise à jour à partir du portail à travers le GlobalProtect tunnel.
Les erreurs ci-dessous montrent que la mise à niveau commence, mais le téléchargement du fichier échoue.
(T14088) 03/08/19 17:31:50:199 Error( 291): CPanHTTPSession::SendRequest: WinHttpSendRequest failed with error 12002.
(T14088) 03/08/19 17:31:50:199 Error( 148): DownloadURLToFile: download failed
(T14088) 03/08/19 17:31:50:199 Error( 361): CPanHTTPSession::DownloadData: WinHttpQueryHeaders failed with error 12019.
(T14088) 03/08/19 17:31:50:199 Error( 167): DownloadURLToFile: cancel download
(T14088) 03/08/19 17:31:50:199 Info (2375): DownloadProc: download file failed.Les choses à vérifier sont:
- Lorsque le client est connecté à la passerelle, il doit être en mesure de résoudre le nom d’hôte du portail.Si les serveurs DNS changent lorsqu’ils sont connectés à la passerelle et pour une raison quelconque, ils ne peuvent pas résoudre le nom d’hôte du portail, le téléchargement du fichier échouera.
- Si la résolution du nom fonctionne bien, il devrait y avoir un policy pour permettre l’accès du portail à travers le tunnel sur la passerelle.Comme on peut le voir dans les journaux ci-dessous, GlobalProtect avant que le client ne soit connecté, le portail (192.168.0.1) est accessible directement, mais une fois que le client est connecté, le trafic passe par le tunnel et comme il GlobalProtect n’y a pas de policy sécurité, le trafic est refusé.
Journaux de circulation:
- L’accès au portail via le navigateur montre que la connexion est autorisée dans ce cas car elle est directement de L3-Trust à L3-Trust.
- Une fois GlobalProtect que le client est connecté, l’accès au portail via le navigateur est bloqué parce que le trafic est de la zone L3 qui est pour le tunnel et il GP GlobalProtect n’y a pas de règle pour permettre le trafic.
Topologie d’essai :
Cela a été testé à l’aide d’un single firewall avec la passerelle configurée sur l’interface L3-Trust et le portail configuré sur une interface loopback également sur le L3-Trust, mais une IP adresse différente de la passerelle.
Les points clés sont la passerelle et le portail sont différentes IP adresses et les itinéraires d’accès fournis GlobalProtect au client signifient que le trafic vers le portail est acheminé à travers GlobalProtect le tunnel lorsqu’il est connecté.
Sécurité de policy test :
Le portail et la connectivité de passerelle pour le client sont autorisés car les deux sont sur la zone L3-Trust.
Une fois que le client se connecte, il sera dans la GP zone L3. Le policy permet à la zone L3 à GP L3-Untrust mais pas L3-Trust qui est la zone où l’adresse loopback portail est.
Resolution
- Assurez-vous que le client est toujours en mesure de résoudre le nom d’hôte du portail lorsqu’il est connecté à la passerelle.
- Assurez-vous policy que la sécurité sur la passerelle permettra la connectivité du client GlobalProtect IP /Zone au portail.