GlobalProtect ユーザーは 1 日に複数の時間切断されます
19209
Created On 04/15/21 11:30 AM - Last Modified 09/23/21 22:13 PM
Symptom
ユーザーは 1 日を GlobalProtect 通して複数の切断を経験しています。
- PanGPS.logs は、問題の時間中に次の表示されます。
(T7360)Debug(5128): 02/19/21 12:57:13:494 using https to send hip report check to gateway plano.gppanw.com
(T7360)Debug(7433): 02/19/21 12:57:13:494 use cached deviceSN
(T7360)Debug(5170): 02/19/21 12:57:13:494 Network discover SN 57 remains same.
(T7360)Debug( 780): 02/19/21 12:57:13:495 SSL connecting to 172.16.0.11
(T7360)Debug( 329): 02/19/21 12:57:13:495 host 172.16.0.11, proxy=127.0.0.1, port=9000, isIpv6=0
(T7360)Debug( 550): 02/19/21 12:57:13:495 host is 172.16.0.11, port=443, isIpV6=0, bProxy=1, proxyhost=127.0.0.1, proxyport=9000
(T7360)Debug( 559): 02/19/21 12:57:13:505 Network is reachable
(T7360)Debug( 621): 02/19/21 12:57:13:506 try to connect to proxy, nProxyIP=0100007f, proxyPort=9000, proto=6
(T7360)Debug( 627): 02/19/21 12:57:13:506 connect to proxy now
(T7360)Debug( 200): 02/19/21 12:57:13:506 s=3224, destName=172.16.0.11, nPort=443, nProxyIP=0100007f, nProxyPort=9000, proxyuser=, proxypass=
(T7360)Debug( 263): 02/19/21 12:57:13:561 Proxy connection established
(T7360)Error(4550): 02/19/21 12:57:13:584 certification verification failed
(T7136)Debug(2381): 02/19/21 12:57:13:585 Setting debug level to 5
(T7360)Debug(1323): 02/19/21 12:57:13:585 OpenSSL alert write:fatal:certificate unknown
(T7360)Debug( 316): 02/19/21 12:57:13:585 SSL connect failed
(T7360)Debug( 60): 02/19/21 12:57:13:585 detailed SSL error info:
(T7360)Debug( 63): 02/19/21 12:57:13:585 *** error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
(T7360)Debug( 793): 02/19/21 12:57:13:585 connect() failed
(T7360)Info (4694): 02/19/21 12:57:13:585 ConnectSSL: Failed to connect to '172.16.0.11:443'
(T7360)Debug(5579): 02/19/21 12:57:13:585 Show Gateway Plano-TX : The server certificate is invalid. Please contact your IT administrator.
(T7360)Info (4730): 02/19/21 12:57:13:585 ConnectSSL(FALSE) failed
(T7360)Info (5173): 02/19/21 12:57:13:585 SendNReceive() failed.
(T7360)Debug(4975): 02/19/21 12:57:13:585 Send hip report check failed
- 前のログから、 GlobalProtect クライアントは httpsを使用してゲートウェイにヒップ レポート チェックを送信しようとしています。
- ゲートウェイ 172.16.0.11への接続を確立している間に、確立されるプロキシ接続があるようです。
- 証明書の検証が失敗し、次のエラー メッセージが表示されます。
certification verification failed
OpenSSL alert write:fatal:certificate unknown
*** error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failedEnvironment
- GlobalProtect エージェント
- Ny PAN-OS
Cause
以前の PanGPS ログは、以下に示すように、"Open_SSL_connection" がサーバー証明書の発行元として正しくないことを GlobalProtect 示しています。 これにより、クライアントがこの証明書チェーンを検証できないため、サーバー証明書の検証が失敗します。
(T7648)Debug( 366): 02/19/21 12:56:43:596 Open_SSL_connection: subject '/C=US/ST=TX/O=Palo Alto Networks/CN=*.gppanw.com' (T9556)'
(T7648)Debug( 366): 02/19/21 12:56:43:596 Open_SSL_connection: issuer '/C=US/ST=California/O=Zscaler Inc./OU=Zscaler Inc./CN=Zscaler Intermediate Root CA (zscloud.net) (t) ' 次のスクリーンショットは、サーバー証明書の正しい発行者 "PA.root.local" を示 GlobalProtect しています。
これは、ポータル/ゲートウェイへの接続をインターセプトするプロキシとして機能するサードパーティ製アプリケーションが原因で発生する可能性があります GlobalProtect 。
Resolution
GlobalProtect IP プロキシとして動作しているサードパーティアプリケーションのポータル/ゲートウェイアドレスを除外します。