Varios usuarios no pueden conectarse a la protección global y recibe el error "El acceso a la red desde este dispositivo ha sido restringido por la seguridad policyde su organización"

Symptom

Los usuarios de Global Protect reciben el error "El acceso a la red desde este dispositivo se ha restringido según la seguridad policyde su organización. Póngase en contacto con su IT administrador". 



Si "Bloquear inicio de sesión para dispositivo de cuarentena" está habilitado en la puerta de enlace, Network <

Global protect < Gateway < <{your gateway} < Authentication. 



Compruebe el registro de protección global de la puerta de enlace para el mensaje "agregar cuarentena". 

El siguiente mensaje se muestra cuando el dispositivo se agrega a la lista de cuarentena. 



Revise la lista de cuarentena desde el o desde el CLI GUI.

Cuarentena de dispositivo < dispositivo. 



Desde CLI
admin@PA-VM-II(active)> solicitud device-quarantine-list mostrar todos hostid

: db0cd87f-94f6-4b39-9164-cb78878e813c serie : VMware-42 1b 67 e2 75 0c
3d 49-75 b9 60 e4 ef 7d ea 36 vsys-id : 1
razón : Autocuarentena
fuente : usuario : prueba
cuarentena : sí
Q TS : Wed Jan 26 12:20:10 2022 : Wed Jan 26 12:20:10 2022
Q LM
IP :
IPv6
: Total:


1

Si el dispositivo está en cuarentena y la conexión de la puerta de enlace se desconecta, se puede esperar una entrada de registro similar. 


La caché de TI mostrará el dispositivo como en cuarentena.

admin@PA-VM-II(activo)> Mostrar caché de host de IoT Todos los

hostid: db0cd87f-94f6-4b39-9164-cb78878e813c
serie: vsys-id: 1 razón : admin Agregar
fuente : 10.129.137.117 usuario :
cuarentena : sí
Q TS : Mon Jan 31 07:28:43 2022 : Mon Jan 31 07
:28:43 2022
IP
Q LM : IPv6 : Total:

1

Cause

El dispositivo se pone en cuarentena de forma manual o automática,

es necesario eliminar a los usuarios de la lista para que se conecten de nuevo a la puerta de enlace. 

A El dispositivo se puede agregar automáticamente a la lista de cuarentena a través de Device < Device Quarantine. 
Si bien agregar un host ID de dispositivo es obligatorio y el número de serie es opcional. 


La cuarentena automática puede ser de fuentes como. 

1. La configuración del registro < dispositivo < coincidir < HIP la cuarentena




2. Objetos < reenvío de registros < { nombre de perfil} < perfil de reenvío de registros coinciden con el perfil < Integrado en acción < cuarentena



El perfil de reenvío de registros debe configurarse en la seguridad policy. 



Registros relevantes

:Registro

de muestra PanGps (P3064-T11020)Depurar(13984): 01/26/22 18:29:16:595 El dispositivo está en cuarentena (bloquear). Puerta de enlace 172.16.0.1(P3064-T11020)Depurar(13898): 01/26/22 18:29:16:595 Establecer cuarentena en yes


(P3064-T11020)Depurar(6046): 01/26/22 18:29:29:782 NetworkDiscoverThread: PortalStatus es 1
, HasLoggedOnGateway es 0
(P3064-T11020)Debug(6142): 01/26/22 18:29:29:782 Red externa, cuarentena de dispositivo bloqueada. No reintentar la red descubrir

Appweb3-sslvpn

[Wed Jan 26 10:01:38 2022] Guión: '/var/appweb/sslvpndocs/ssl-vpn/prelogin.esp'
2022-01-26 10:01:38.409 -0800 Error: sslvpn_portalmap_lookup_by_sock(modsslvpn_portalmap.c:730): Error al buscar el número de serie VMware-42 1b 67 e2 75 0c 3d 49-75 b9 60 e4 ef 7d ea 36 2022-01-26
10:01:38.413 -0800 Error:  panSslVpnLogin(panPhpSslVpn.c:4623): host db0cd87f-94f6-4b39-9164-cb78878e813c está en lista de cuarentena. Bloquear inicio de sesión

iotd.log

2022-01-26 09:34:35.548 -0800 : Agregando actualización para ip 192.168.100.1 vsys:1 acción:0
2022-01-26 09:34:35.548 -0800 : hdel host:db0cd87f-94f6-4b39-9164-cb78878e813c_1 devid 2022-01-26 09:34:35.548 -0800 : hdel host:VMware-42~1b~67~e2~75~0c~3d~49-75~b9~60~e4~ef~7d~ea~36_1 devid 2022-01-26 09:34:35.549 -0800 CMDCMDLOGAgregar notificación de cuarentena para hostid

: VMware-42~1b~67~e2~75~0c~3d~49-75~b9~60~e4~ef~7d~ea~36, fuerza 1 2022-01-26 09:34:37.366 -0800 Consulta cuarentena hostid db0cd87f-94f6-4b39-9164-cb78878e813c serial VMware-42~1b~67~e2~75~0c~3d~49-75~b9~60~e4~ef~7d~ea~36: 0
2022-01-26 09::34:37.428 -0800 En pan_iot_update_host_device, hostid db0cd87f-94f6-4b39-9164-cb78878e813c, vsys_id 1 2022-01-26 09:34:37.429 -0800 192.168.100.1 2022-01-26 09:34:37.429 -0800 : hmget 192.168.100.1_1 dispositivo 2022-01-26 09:34:37.429 -0800 : hmset 192.168.100.1CMDCMDIP_1



dispositivo dispositivo:21

rasmgr.log
2022-01-31 07:27:05.256 -0800 Notificación de cuarentena recibida para db0cd87f-94f6-4b39-9164-cb78878e813c 2022-01-31 07:27:05.256 -0800 Tengo cuarentena notificar hostid db0cd87f-94f6-4b39-9164-cb78878e813c

2022-01-31 07:27:05.257 -0800 Espacio rasmgr_sslvpn_client_terminate Equipo DESKTOP-de prueba de usuario de dominio internoN U34SJ9Q motivo por el que se agrega el dispositivo cliente a la lista
de cuarentena 2022-01-31 07:27:05.257 -0800 Agregar información en usr info a haremoteusr info for:test




 

Resolution

Elimine el dispositivo de la lista de cuarentena. 

El motivo de la cuarentena se proporcionará en el GUI o CLI. 

Cuarentena automática o administrador agregado

1. Desde CLI

la solicitud admin@PA-VM-II(activo)> device-quarantine-list eliminar host db0cd87f-94f6-4b39-9164-cb78878e813c
El


dispositivo se elimina de la lista de cuarentena 2. desde la cuarentena del dispositivo webGUI

< dispositivo < Agregar


A entrada de registro similar se puede observar en la puerta de enlace firewall después de la eliminación.