GlobalProtect Benutzer werden mehrmals am Tag getrennt
20655
Created On 04/15/21 11:30 AM - Last Modified 09/23/21 22:13 PM
Symptom
Benutzer erleben mehrere Trennungen für GlobalProtect den ganzen Tag.
- PanGPS.logs zeigt zum Zeitpunkt des Problems Folgendes an:
(T7360)Debug(5128): 02/19/21 12:57:13:494 using https to send hip report check to gateway plano.gppanw.com
(T7360)Debug(7433): 02/19/21 12:57:13:494 use cached deviceSN
(T7360)Debug(5170): 02/19/21 12:57:13:494 Network discover SN 57 remains same.
(T7360)Debug( 780): 02/19/21 12:57:13:495 SSL connecting to 172.16.0.11
(T7360)Debug( 329): 02/19/21 12:57:13:495 host 172.16.0.11, proxy=127.0.0.1, port=9000, isIpv6=0
(T7360)Debug( 550): 02/19/21 12:57:13:495 host is 172.16.0.11, port=443, isIpV6=0, bProxy=1, proxyhost=127.0.0.1, proxyport=9000
(T7360)Debug( 559): 02/19/21 12:57:13:505 Network is reachable
(T7360)Debug( 621): 02/19/21 12:57:13:506 try to connect to proxy, nProxyIP=0100007f, proxyPort=9000, proto=6
(T7360)Debug( 627): 02/19/21 12:57:13:506 connect to proxy now
(T7360)Debug( 200): 02/19/21 12:57:13:506 s=3224, destName=172.16.0.11, nPort=443, nProxyIP=0100007f, nProxyPort=9000, proxyuser=, proxypass=
(T7360)Debug( 263): 02/19/21 12:57:13:561 Proxy connection established
(T7360)Error(4550): 02/19/21 12:57:13:584 certification verification failed
(T7136)Debug(2381): 02/19/21 12:57:13:585 Setting debug level to 5
(T7360)Debug(1323): 02/19/21 12:57:13:585 OpenSSL alert write:fatal:certificate unknown
(T7360)Debug( 316): 02/19/21 12:57:13:585 SSL connect failed
(T7360)Debug( 60): 02/19/21 12:57:13:585 detailed SSL error info:
(T7360)Debug( 63): 02/19/21 12:57:13:585 *** error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
(T7360)Debug( 793): 02/19/21 12:57:13:585 connect() failed
(T7360)Info (4694): 02/19/21 12:57:13:585 ConnectSSL: Failed to connect to '172.16.0.11:443'
(T7360)Debug(5579): 02/19/21 12:57:13:585 Show Gateway Plano-TX : The server certificate is invalid. Please contact your IT administrator.
(T7360)Info (4730): 02/19/21 12:57:13:585 ConnectSSL(FALSE) failed
(T7360)Info (5173): 02/19/21 12:57:13:585 SendNReceive() failed.
(T7360)Debug(4975): 02/19/21 12:57:13:585 Send hip report check failed
- Aus den vorherigen Protokollen versucht der GlobalProtect Client, eine Hüftberichtsprüfung mithilfe von httpsan das Gateway zu senden.
- Beim Initiieren einer Verbindung zum Gateway 172.16.0.11scheint es eine Proxyverbindung zu geben, die hergestellt wird.
- Die Zertifikatsüberprüfung schlägt dann mit den folgenden Fehlermeldungen fehl:
certification verification failed
OpenSSL alert write:fatal:certificate unknown
*** error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failedEnvironment
- GlobalProtect der
- Any PAN-OS
Cause
Vorherige PanGPS-Protokolle zeigen, dass die "Open_SSL_connection" den falschen Aussteller für das GlobalProtect Serverzertifikat hat, wie unten dargestellt. Dies führt dazu, dass die Überprüfung für das Serverzertifikat fehlschlägt, da der Client diese Zertifikatkette nicht überprüfen kann.
(T7648)Debug( 366): 02/19/21 12:56:43:596 Open_SSL_connection: subject '/C=US/ST=TX/O=Palo Alto Networks/CN=*.gppanw.com' (T9556)'
(T7648)Debug( 366): 02/19/21 12:56:43:596 Open_SSL_connection: issuer '/C=US/ST=California/O=Zscaler Inc./OU=Zscaler Inc./CN=Zscaler Intermediate Root CA (zscloud.net) (t) ' Der screenshot unten zeigt den richtigen Aussteller "PA.root.local" für das GlobalProtect Serverzertifikat:
Dies kann durch eine Drittanbieteranwendung verursacht werden, die als Proxy fungiert, der die Verbindungen zum GlobalProtect Portal/Gateway abfängt.
Resolution
Ausschließen der GlobalProtect IP Portal/Gateway-Adresse in der Drittanbieteranwendung, die als Proxy fungiert.