GlobalProtect Clients können nach einem HA Failover zeitweise nicht auf Ressourcen zugreifen

GlobalProtect Clients können nach einem HA Failover zeitweise nicht auf Ressourcen zugreifen

9390
Created On 11/18/21 04:00 AM - Last Modified 03/02/23 02:34 AM


Symptom


  • Bei Hochverfügbarkeit verliert der verbundene GlobalProtect Client nach einem Failover den Zugriff auf Ressourcen.
  • Manchmal können Benutzer nicht über GPauf Ressourcen zugreifen.
  • Global Counters auf den CLI Shows:
flow_tunnel_encap_err                      1        0 drop      flow      tunnel    Packet dropped: tunnel encapsulation error
flow_tunnel_encap_resolve                  1        0 info      flow      tunnel    tunnel structure lookup resolve
  • In packet diag (flow basic, tunnel flow) sehen wir:
    • Das Paket wird an eine falsche Tunnelschnittstelle weitergeleitet. Es sollte tunnel.10 statt tunnel sein.11
Benutzeriertes Bild
  • Paket verworfen, Fehler bei der Tunnelauflösung
== 2021-11-17 20:28:10.191 -0600 ==
Packet received at fastpath stage, tag 213075, type ATOMIC
Packet info: len 74 port 72 interface 72 vsys 1
  wqe index 551795 packet 0x0x800000037dcd00e6, HA: 0, IC: 0
Packet decoded dump:
L2:     d4:78:9b:50:49:7f->b4:0c:25:e0:40:48, type 0x0800
IP:     8.8.8.8->172.16.16.16, protocol 1
        version 4, ihl 5, tos 0x00, len 60,
        id 20797, frag_off 0x0000, ttl 63, checksum 28257(0x6e61)
ICMP:   type 0, code 0, checksum 21586, id 1, seq 265
Flow fastpath, session 213075 s2c (set work 0x800000037740d900 exclude_video 0 from sp 0x8000000193b65700 exclude_video 0)
Forwarding lookup, ingress interface 72
L3 mode, router 1
Route lookup in router 1, IP 172.16.16.16
Route found, interface tunnel.11, zone 18, nexthop 172.16.16.0
Packet enters tunnel encap stage, tunnel interface null


== 2021-11-17 20:28:10.192 -0600 ==
Packet received at forwarding stage, tag 213075, type ATOMIC
Packet info: len 74 port 72 interface 132 vsys 1
  wqe index 551795 packet 0x0x800000037dcd00e6, HA: 0, IC: 0
Packet decoded dump:
L2:     d4:78:9b:50:49:7f->b4:0c:25:e0:40:48, type 0x0800
IP:     8.8.8.8->172.16.16.16, protocol 1
        version 4, ihl 5, tos 0x00, len 60,
        id 20797, frag_off 0x0000, ttl 62, checksum 28513(0x6f61)
ICMP:   type 0, code 0, checksum 21586, id 1, seq 265
Packet enters tunnel encap stage, tunnel interface null
Resolving tunnel 6
Packet dropped, tunnel resolution failure
  • Wenn wir uns die Routing-Tabelle ansehen, sehen wir zwei Routen für den GP Clientpool IP . In der FIB Tabelle wird die unerwartete Route durch tunnel.11 installiert.
admin@Lab(active)> show routing fib | match 172.16.16
422     172.16.16.0/24         172.16.16.0         ug     tunnel.11          1500

admin@Lab(active)> show routing route | match 172.16.16
172.16.16.0/24                              172.16.16.0                              10     A S E            tunnel.11                     
172.16.16.0/24                              172.16.16.0                              10       S E            tunnel.10
 

Environment


  • Firewall Konfiguration mit mehreren Global Protect Gateway-Konfigurationen

Cause


  • Der Grund, warum zwei Routen in der Routingtabelle angezeigt werden, liegt darin, dass dasselbe Clientpoolsubnetz IP in mehreren GP Gateways verwendet wird.
  • In diesem Beispiel verwenden beide GWs: GP_External_Gateway und GP_External_Gateway_CL den Clientpool IP 172.16.16.0/24:
Benutzeriertes Bild

Resolution


  • Verwenden Sie kein überlappendes Clientpoolsubnetz IP in mehreren GP Gateways.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004MNVCA2&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language