GlobalProtect 客户端升级无法完成。
71884
Created On 03/08/19 08:16 AM - Last Modified 03/26/21 18:21 PM
Symptom
GlobalProtect 在门户上进行配置,以便以透明或手动的方式进行客户端升级。 当升级以手动或透明的方式开始时,该过程开始但未完成。
Environment
GlobalProtect 允许在门户配置(透明或手动)上进行客户端升级。
Cause
问题在于,如果门户和网关托管在不同的地址上 IP ,因为 GlobalProtect 客户端将尝试通过隧道从门户下载更新 GlobalProtect 。
下面的错误显示升级开始,但文件下载失败。
(T14088) 03/08/19 17:31:50:199 Error( 291): CPanHTTPSession::SendRequest: WinHttpSendRequest failed with error 12002.
(T14088) 03/08/19 17:31:50:199 Error( 148): DownloadURLToFile: download failed
(T14088) 03/08/19 17:31:50:199 Error( 361): CPanHTTPSession::DownloadData: WinHttpQueryHeaders failed with error 12019.
(T14088) 03/08/19 17:31:50:199 Error( 167): DownloadURLToFile: cancel download
(T14088) 03/08/19 17:31:50:199 Info (2375): DownloadProc: download file failed.要检查的事项包括:
- 当客户端连接到网关时,它应该能够解决门户主机名问题。如果 DNS 服务器在连接到网关时发生变化,并且由于某种原因无法解决门户主机名问题,则文件下载将失败。
- 如果名称解析工作正常,则应该有一个 policy 允许门户通过网关上的隧道访问。如下面的日志所示,在 GlobalProtect 客户端连接之前,将直接访问门户(192.168.0.1),但一旦客户端连接,流量就会通过 GlobalProtect 隧道,并且由于没有安全性 policy ,交通被拒绝。
流量日志:
- 通过浏览器访问门户显示在这种情况下允许连接,因为它直接从 L3 信任到 L3 信任。
- 连接 GlobalProtect 客户端后,通过浏览器访问门户被阻止,因为流量来自用于隧道的 L3 GP 区域 GlobalProtect ,并且没有允许流量的规则。
测试拓扑学:
这是使用 firewall L3-Trust 界面上配置的网关和在 L3-Trust 上配置的回回界面上的门户进行测试的,但 IP 与网关的地址不同。
要点是网关,门户是不同的 IP 地址,提供给 GlobalProtect 客户端的访问路线意味着连接时通过隧道路由到门户的流量 GlobalProtect 。
测试安全 policy :
客户端的门户和网关连接是允许的,因为两者都在L3信任区。
客户端连接后,它将位于L3 GP 区域。 policy允许L3 GP 区域到L3不信任,但不允许L3-信任,这是门户回路地址所在的区域。
Resolution
- 确保客户端在连接到网关时仍能够解决门户主机名问题。
- 确保 policy 网关上的安全将允许从 GlobalProtect 客户端 IP /区域连接到门户的连接。