Intermittierende Konnektivitätsprobleme mit Domänen-Split-Tunnel-Datenverkehr

Intermittierende Konnektivitätsprobleme mit Domänen-Split-Tunnel-Datenverkehr

12309
Created On 07/29/21 14:03 PM - Last Modified 11/01/24 02:27 AM


Symptom


  • Intermittierende Verbindungsprobleme, die durch Datenverkehr verursacht werden, der nicht den Regeln in der Konfiguration für das geteilte Domänentunneling folgt.
  • Die folgenden PanGPS-Dump-Protokolle zeigen, dass "www.youtube.com" mit einer Include-Domain-Regel übereinstimmte und daher seine IP Adresse '216.58.212.238' zur Liste der Adressen hinzugefügt IP wurde, die an die virtuelle Schnittstelle gebunden GlobalProtect sind. (Hinweis: Die Lebenszeit für diesen IP Eintrag beträgt 60 Sekunden, die aus der Antwort abgerufen DNS wird.)
P1824-T26147 Jul 23 08:12:48:324208 Dump (  91): Received DNS request for www.youtube.com with type 1
P1824-T26147 Jul 23 08:12:48:324214 Dump (1259): Domain name www.youtube.com matches include wildcard domain
P1824-T26147 Jul 23 08:12:48:324218 Dump (1355): Insert CNAME youtube-ui.l.google.com(Ex).
P1824-T26147 Jul 23 08:12:48:324224 Dump ( 504): SP added an include ip 216.58.212.238, port 0, ttl 60 for domain www.youtube.com, original ttl=60, infinite ttl=no
 
  • Die folgenden Protokolle von PanNExt.log zeigen, dass ein neuer Datenverkehrsfluss für 216.58.212.238 initiiert wurde, aber die TTL Regel für den geteilten Tunnel abgelaufen IP war, was dazu führte, dass der neue Datenverkehrsfluss an die physische Schnittstelle statt an die virtuelle Schnittstelle gebunden GlobalProtect wurde.
P2575-T287 Jul 23 08:13:56:962874 Dump (2544): (0x7fcf9c40d510)handle new flow 216.58.212.238:443.
P2575-T287 Jul 23 08:13:56:962985 Dump ( 223): (flow-0x7fcf9c40d510)(0x7fcf9c40fa40) Flow initialize NetCli (TCP)-SP Domain, via Phy interface, remote 216.58.212.238:443
P2575-T287 Jul 23 08:13:56:963049 Dump ( 230): (0x7fcf9c40fa40) remote network address 216.58.212.238:443
P2575-T287 Jul 23 08:13:56:963074 Dump (1225): check sp policy, remote addr 216.58.212.238:443
P2575-T287 Jul 23 08:13:56:963100 Dump (1758): find sp ipp rule 4 match 216.58.212.238 bind_if Virtual
P2575-T287 Jul 23 08:13:56:963105 Dump (1770): The sp ipp rule is expired.
P2575-T287 Jul 23 08:13:56:963350 Dump ( 369): (0x7fcf9c40fa40) openWithLocalEndpoint success.
P2575-T287 Jul 23 08:13:57:45084 Dump ( 479): (0x7fcf9c40fa40) connected to remote.
P2575-T287 Jul 23 08:13:57:45109 Dump ( 623): (0x7fcf9c40fa40) create sock wr source.
P2575-T287 Jul 23 08:13:57:45116 Dump ( 883): (0x7fcf9c40fa40) call receive_from_flow
P2575-T13103 Jul 23 08:13:57:45151 Dump ( 887): (0x7fcf9c40fa40) tcp flow read 517 bytes
P2575-T287 Jul 23 08:13:57:45158 Dump ( 571): (0x7fcf9c40fa40) local address 192.168.20.222:51935 <<<<==== Physical interface

Hinweis:Die Konfiguration in diesem Szenario hatte einige konfigurierte Subnetze unter dem Split-Tunnel-Include-Routen, weshalb '216.58.212.238' basierend auf dem Standardrouteneintrag, der auf den physischen Adapter verweisen, an die physische Schnittstelle gebunden war. 

 

Environment


  • GlobalProtect der
  • MacOS- und OS Windows-System

Resolution


GlobalProtect 5.1.5+ unterstützt jetzt die Konfiguration von Infinite DNS TTL für Split-Tunneling. Dies kann durch Hinzufügen von Port '1' zu einem beliebigen FQDN In der Liste des Domänen-Split-Tunnelings unter Netzwerk> > GlobalProtect Gateways> Agent> Clienteinstellungen> Split-Tunnel> Domäne und Anwendung erfolgen. Die Ergebnisse einer solchen Konfiguration können im folgenden Protokoll eingesehen werden:
 
SP added an exclude ip 216.58.212.238, port 0, ttl 0 for domain www.youtube.com, original ttl=60, infinite ttl=yes

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VzLCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language