GlobalProtect los usuarios están desconectados varias veces al día
19345
Created On 04/15/21 11:30 AM - Last Modified 09/23/21 22:13 PM
Symptom
Los usuarios están experimentando múltiples desconexiones durante GlobalProtect todo el día.
- PanGPS.logs muestra lo siguiente durante el tiempo del problema:
(T7360)Debug(5128): 02/19/21 12:57:13:494 using https to send hip report check to gateway plano.gppanw.com
(T7360)Debug(7433): 02/19/21 12:57:13:494 use cached deviceSN
(T7360)Debug(5170): 02/19/21 12:57:13:494 Network discover SN 57 remains same.
(T7360)Debug( 780): 02/19/21 12:57:13:495 SSL connecting to 172.16.0.11
(T7360)Debug( 329): 02/19/21 12:57:13:495 host 172.16.0.11, proxy=127.0.0.1, port=9000, isIpv6=0
(T7360)Debug( 550): 02/19/21 12:57:13:495 host is 172.16.0.11, port=443, isIpV6=0, bProxy=1, proxyhost=127.0.0.1, proxyport=9000
(T7360)Debug( 559): 02/19/21 12:57:13:505 Network is reachable
(T7360)Debug( 621): 02/19/21 12:57:13:506 try to connect to proxy, nProxyIP=0100007f, proxyPort=9000, proto=6
(T7360)Debug( 627): 02/19/21 12:57:13:506 connect to proxy now
(T7360)Debug( 200): 02/19/21 12:57:13:506 s=3224, destName=172.16.0.11, nPort=443, nProxyIP=0100007f, nProxyPort=9000, proxyuser=, proxypass=
(T7360)Debug( 263): 02/19/21 12:57:13:561 Proxy connection established
(T7360)Error(4550): 02/19/21 12:57:13:584 certification verification failed
(T7136)Debug(2381): 02/19/21 12:57:13:585 Setting debug level to 5
(T7360)Debug(1323): 02/19/21 12:57:13:585 OpenSSL alert write:fatal:certificate unknown
(T7360)Debug( 316): 02/19/21 12:57:13:585 SSL connect failed
(T7360)Debug( 60): 02/19/21 12:57:13:585 detailed SSL error info:
(T7360)Debug( 63): 02/19/21 12:57:13:585 *** error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
(T7360)Debug( 793): 02/19/21 12:57:13:585 connect() failed
(T7360)Info (4694): 02/19/21 12:57:13:585 ConnectSSL: Failed to connect to '172.16.0.11:443'
(T7360)Debug(5579): 02/19/21 12:57:13:585 Show Gateway Plano-TX : The server certificate is invalid. Please contact your IT administrator.
(T7360)Info (4730): 02/19/21 12:57:13:585 ConnectSSL(FALSE) failed
(T7360)Info (5173): 02/19/21 12:57:13:585 SendNReceive() failed.
(T7360)Debug(4975): 02/19/21 12:57:13:585 Send hip report check failed
- Desde los registros anteriores, el GlobalProtect cliente está intentando enviar una comprobación de informe de moda a la puerta de enlace mediante https.
- Al iniciar una conexión a la puerta de enlace 172.16.0.11, parece haber una conexión de proxy que se establece.
- A continuación, se produce un error en la verificación del certificado con los siguientes mensajes de error:
certification verification failed
OpenSSL alert write:fatal:certificate unknown
*** error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failedEnvironment
- GlobalProtect Agente
- UnaNY PAN-OS
Cause
Los registros anteriores de PanGPS muestran que el "Open_SSL_connection" tiene el emisor incorrecto para el certificado de GlobalProtect servidor como se ve abajo. Esto hace que la verificación del certificado de servidor falle, ya que el cliente no puede verificar esta cadena de certificados.
(T7648)Debug( 366): 02/19/21 12:56:43:596 Open_SSL_connection: subject '/C=US/ST=TX/O=Palo Alto Networks/CN=*.gppanw.com' (T9556)'
(T7648)Debug( 366): 02/19/21 12:56:43:596 Open_SSL_connection: issuer '/C=US/ST=California/O=Zscaler Inc./OU=Zscaler Inc./CN=Zscaler Intermediate Root CA (zscloud.net) (t) ' La siguiente captura de pantalla muestra el emisor correcto "PA.root.local" para el certificado de GlobalProtect servidor:
Esto puede deberse a una aplicación de terceros que actúa como proxy interceptando las conexiones al GlobalProtect portal/puerta de enlace.
Resolution
Excluyendo la GlobalProtect dirección de Portal/Gateway IP en la aplicación de terceros que actúa como proxy.