Plusieurs utilisateurs ne peuvent pas se connecter à Global Protect et obtenir l’erreur « L’accès au réseau à partir de cet appareil a été restreint par la sécurité de policyvotre organisation »
5921
Created On 01/31/22 15:50 PM - Last Modified 06/13/25 20:20 PM
Symptom
Les utilisateurs de Global Protect reçoivent l'erreur « L'accès au réseau à partir de cet appareil a été restreint en fonction de la sécurité policyde votre organisation. Veuillez contacter votre IT administrateur ».
Si « Bloquer la connexion pour le périphérique de quarantaine » est activé sur la passerelle
Network < Global protect < Gateway < <{your gateway}} < Authentication.
Vérifiez le journal de protection global de la passerelle pour le message « ajout de quarantaine ».
Le message suivant s’affiche lorsque l’appareil est ajouté à la liste de quarantaine.
Passez en revue la liste de quarantaine à partir du ou du CLI GUI.
Appareil < mise en quarantaine des appareils.
Depuis CLI
admin@PA-VM-II(actif)> demander device-quarantine-list afficher tout
hostid : db0cd87f-94f6-4b39-9164-cb78878e813c série : VMware-42 1b 67 e2 75 0c
3d 49-75 b9 60 e4 ef 7d ea 36 vsys-id : 1 raison : Mise
en quarantaine automatique
Source : Utilisateur : Test
de quarantaine : Oui
Q TS : Mer Jan 26 12:20:10 2022 : Mer Jan 26 12:20:10 2022 : Mer Jan 26 12:20:10 2022
Q LM
IP : IPv6
: Total : 1
Si l’appareil est en quarantaine et que la connexion de passerelle est déconnectée, une entrée de journal similaire peut être attendue.
Le cache informatique affichera l’appareil comme mis en quarantaine.
admin@PA-VM-II(actif)> afficher iot host-cache tout
hostid : db0cd87f-94f6-4b39-9164-cb78878e813c
serial : vsys-id : 1 raison : Admin Ajouter
la source : 10.129.137.117 utilisateur
: quarantaine : oui
Q TS : lun Jan 31 07:28:43 2022 : Mon Jan 31
07
:28:43 2022
Q LM
IP : IPv6 : Total :
1
Environment
Panos 10.0 et versions ultérieures
Protection globale.
Cause
L’appareil est mis en quarantaine manuellement ou automatiquement,
Vous devez supprimer les utilisateurs de la liste pour qu’ils se reconnectent à la passerelle.
A L’appareil peut être ajouté automatiquement à la liste de quarantaine via l’appareil < l’appareil Quarantine.
L’ajout d’un hôte ID de périphérique est obligatoire et le numéro de série est facultatif.
La quarantaine automatique peut provenir de sources comme.
1. Les paramètres du journal <appareil < correspondent < HIP Quarantaine
2. Objets < transfert de journaux < { nom de profil} < Profil de correspondance de profil de transfert de journal < Action intégrée < quarantaine
Le profil de transfert de journal doit être configuré sur la sécurité policy.
Journaux pertinents
:PanGps sample log
(P3064-T11020)Debug(13984): 01/26/22 18:29:16:595 L’appareil est mis en quarantaine (bloquer). Passerelle 172.16.0.1(P3064-T11020)Débogage(13898): 26/01/22 18:29:16:595 Définir la quarantaine sur oui
(P3064-T11020)Déboguer(6046): 26/01/22 18:29:29:782 NetworkDiscoverThread: PortalStatus est 1
, HasLoggedOnGateway est 0
(P3064-T11020)Debug(6142): 26/01/22 18:29:29:782 Réseau externe, mise en quarantaine des périphériques bloquée. Ne pas réessayer le réseau découvrir
Appweb3-sslvpn
[Mer Jan 26 10:01:38 2022] Script : '/var/appweb/sslvpndocs/ssl-vpn/prelogin.esp'
2022-01-26 10:01:38.409 -0800 Erreur : sslvpn_portalmap_lookup_by_sock(modsslvpn_portalmap.c:730) : Erreur lors de la recherche du numéro de série VMware-42 1b 67 e2 75 0c 3d 49-75 b9 60 e4 ef 7d ea 36 2022-01-26
10:01:38.413 -0800 Erreur : panSslVpnLogin(panPhpSslVpn.c:4623) : l’hôte db0cd87f-94f6-4b39-9164-cb78878e813c est dans la liste de quarantaine. Bloquer la connexion
iotd.log
2022-01-26 09:34:35.548 -0800 : Ajout de mise à jour pour ip 192.168.100.1 vsys:1 action:0
2022-01-26 09:34:35.548 -0800 : hdel hôte:db0cd87f-94f6-4b39-9164-cb78878e813c_1 devid 2022-01-26 09:34:35.548 -0800 : hdel host:VMware-42~1b~67~e2~75~0c~3d~49-75~b9~60~e4~ef~7d~ea~36_1 devid 2022-01-26 09:34:35.549 -0800 CMDCMDLOGAjout d’une notification de quarantaine pour hostid
: VMware-42~1b~67~e2~75~0c~3d~49-75~b9~60~e4~ef~7d~ea~36, force 1 2022-01-26 09:34:37.366 -0800 Serveur de quarantaine de requête db0cd87f-94f6-4b39-9164-cb78878e813c serial VMware-42~1b~67~e2~75~0c~3d~49-75~b9~60~e4~ef~7d~ea~36: 0
2022-01-26 09: 34:37.428 -0800 Dans pan_iot_update_host_device, hostid db0cd87f-94f6-4b39-9164-cb78878e813c, vsys_id 1 2022-01-26 09:34:37.429 -0800 192.168.100.1 2022-01-26 09:34:37.429 -0800 : hmget 192.168.100.1_1 périphérique 2022-01-26 09:34:37.429 -0800 : hmset 192.168.100.1CMDCMDIP_1
Périphérique de l’appareil: 21
rasmgr.log
2022-01-31 07:27:05.256 -0800 Notification de quarantaine reçue pour db0cd87f-94f6-4b39-9164-cb78878e813c 2022-01-31 07:27:05.256 -0800 Got quarantine notify hostid db0cd87f-94f6-4b39-9164-cb78878e813c
2022-01-31 07:27:05.257 -0800 rasmgr_sslvpn_client_terminate espace interne- domaine interne utilisateurN test ordinateur DESKTOP-U34SJ9Q raison pour laquelle le périphérique client est ajouté à la liste
de quarantaine 2022-01-31 07:27:05.257 -0800 Ajout d’informations dans usr info à haremoteusr info pour:test
Resolution
Supprimez l’appareil de la liste de quarantaine.
La raison de la quarantaine sera fournie dans le GUI ou CLI.
Ajout de la quarantaine automatique ou de l’administrateur
1. À partir de CLI
la admin@PA-VM-II(active)> demander la suppression de la liste des périphériques db0cd87f-94f6-4b39-9164-cb78878e813c
Le périphérique est supprimé
de la liste de quarantaine 2. à partir du Web-GUI
Périphérique < Périphérique < de quarantaine Ajouter
A une entrée de journal similaire peut être observé dans la passerelle firewall après la suppression.