GlobalProtect transparentes Upgrade, das Clients nicht automatisch aktualisiert, wenn Portal und Gateway auf unterschiedlichen IP Adressen, aber in denselben Palo Alto Networks gehostet werden Firewall
3095
Created On 10/11/21 15:03 PM - Last Modified 05/23/25 20:47 PM
Symptom
- GlobalProtect Das transparente Upgrade schlägt für bestimmte Benutzer fehl, wenn die Portal- und Gateway-Adressen IP unterschiedliche IP Adressen verwenden, aber im selben Palo Alto Networks Firewallgehostet werden.
- Fehlermeldungen werden in PanGPA-Protokollen wie folgt angezeigt.
(T10372) 08/26/20 08:04:37:111 Error( 298): CPanHTTPSession::SendRequest: WinHttpReceiveResponse failed with error 12152.
(T10372) 08/26/20 08:04:38:127 Error( 121): CPanURLDownload::DownloadURLToFile - ERROR_WINHTTP_INVALID_SERVER_RESPONSE received, retry = 1, sleep time =1000
(T10372) 08/26/20 08:04:51:" "8:14:18:917 Error( 362): CPanHTTPSession::DownloadData: WinHttpQueryHeaders failed with error 12019.
(T7924) 08/26/20 08:14:18:917 Error( 168): DownloadURLToFile: cancel download
(T7924) 08/26/20 08:14:18:917 Info (1062): DownloadProc: download file failed.Environment
- Palo Alto 5020 Serie firewall.
- PANOS-8.1.15 oder höher
- GlobalProtect
Cause
Da das Portal und das Gateway an unterschiedlichen IP Adressen gehostet werden, kommunizierte das Gateway über einen Tunnel mit dem Portal. A Es ist keine NAT-Regel erforderlich, um die Verbindung zuzulassen.
Resolution
Erstellen Sie eine No-Regel NAT für GlobalProtect das Subnetz als Quelle IP , und wählen Sie unter Ziel die GlobalProtect IP Portaladresse aus.
Additional Information
So erstellen Sie eine No-Regel NAT