GlobalProtect mise à niveau transparente ne mettant pas à jour automatiquement les clients lorsque le portail et la passerelle sont hébergés sur des adresses différentes IP mais sur les mêmes réseaux Palo Alto Firewall
3095
Created On 10/11/21 15:03 PM - Last Modified 05/23/25 20:47 PM
Symptom
- GlobalProtect la mise à niveau transparente ne parvient pas à mettre à niveau pour certains utilisateurs lorsque les adresses du portail et de la passerelle IP utilisent des adresses différentes IP mais hébergées sur le même Palo Alto Networks Firewall.
- Les messages d’erreur sont visibles sur les journaux PanGPA comme ci-dessous.
(T10372) 08/26/20 08:04:37:111 Error( 298): CPanHTTPSession::SendRequest: WinHttpReceiveResponse failed with error 12152.
(T10372) 08/26/20 08:04:38:127 Error( 121): CPanURLDownload::DownloadURLToFile - ERROR_WINHTTP_INVALID_SERVER_RESPONSE received, retry = 1, sleep time =1000
(T10372) 08/26/20 08:04:51:" "8:14:18:917 Error( 362): CPanHTTPSession::DownloadData: WinHttpQueryHeaders failed with error 12019.
(T7924) 08/26/20 08:14:18:917 Error( 168): DownloadURLToFile: cancel download
(T7924) 08/26/20 08:14:18:917 Info (1062): DownloadProc: download file failed.Environment
- Palo Alto série 5020 firewall.
- PANOS-8.1.15 ou supérieur
- GlobalProtect
Cause
Étant donné que le portail et la passerelle sont hébergés à des adresses différentes IP , la passerelle communique avec le portail via un tunnel. A Aucune règle NAT n’est requise pour autoriser la connexion.
Resolution
Créez une règle d’absence pour GlobalProtect le sous-réseau en tant que source IP et, sous destination, sélectionnez l’adresse NAT du GlobalProtect portailIP.
Additional Information
Comment créer une règle sans NAT règle