So beheben Sie falsche Mac-Adressen, die für ausgeschlossenen GlobalProtect Datenverkehr verwendet werden

So beheben Sie falsche Mac-Adressen, die für ausgeschlossenen GlobalProtect Datenverkehr verwendet werden

5077
Created On 04/29/22 21:56 PM - Last Modified 05/29/25 03:23 AM


Environment


  •  GlobalProtect (GP) App 5.1+ mit domainbasiertem Ausschluss
  • Windows-Hosts, die mit dem Routing- und RAS-Dienst konfiguriert sind (RRAS)
  • Drahthai

Procedure


Um zu überprüfen, ob das Problem auftritt, können Sie die folgenden Schritte ausführen:
  1. Installieren Sie den Wireshark app
  2. Stellen Sie eine Verbindung her und GP aktivieren Sie die Protokollierung auf Speicherabbildebene, indem Sie zum AppMenü von navigieren > Einstellungen > Fehlerbehebung > Protokollierungsgrad: Dump und beenden Sie die app 
  3. Starten Sie Wireshark und aktivieren Sie die Erfassung sowohl auf dem als auch auf dem GP physischen Adapter (Sie können deren Namenskonvention mithilfe der Eingabeaufforderung überprüfen, wie unten gezeigt):
Snapshot, der die Ausgabe ipconfig /all in einem Windows-Eingabeaufforderungsfenster anzeigt
 
  1. Navigieren Sie zu der URL, die nicht erreichbar ist, während Sie mit dem GP VPN verbunden sind, und notieren Sie den Zeitstempel
  2. Stoppen Sie nach der Replikation des Problems die Wireshark-Erfassung und generieren Sie dann die Protokolle, indem Sie GP zu Menü > Einstellungen > Fehlerbehebung navigieren > Protokolle sammeln
  3. Überprüfen Sie, ob der Domänendatenverkehr ordnungsgemäß ausgeschlossen wurde, App indem Sie die Protokolldatei auf ähnliche Protokolle wie die GPS folgenden überprüfen:
(T15964)Dump (  91): 04/26/22 17:09:04:899 Received DNS request for <DOMAIN NAME>  with type 1
(T15964)Dump (1259): 04/26/22 17:09:04:899 Domain name <DOMAIN NAME> matches exclude single domain in hash table
(T15964)Dump ( 504): 04/26/22 17:09:04:899 SP added an exclude ip <DOMAIN IP>, port 0, ttl 60 for domain <DOMAIN NAME>, original ttl=60, infinite ttl=no
(T15964)Dump ( 504): 04/26/22 17:09:04:899 SP added an exclude ip <DOMAIN IP>, port 0, ttl 60 for domain <DOMAIN NAME>, original ttl=60, infinite ttl=no
(T15964)Dump ( 536): 04/26/22 17:09:04:899 call SPSetParameters to set 2 exclude IPs
(T15964)Dump ( 264): 04/26/22 17:09:04:899 original iTimeOut=60, new iTimeOut=120
(T15964)Dump ( 268): 04/26/22 17:09:04:899 iTimeOut=120
(T15964)Dump ( 873): 04/26/22 17:09:04:899 ST,argc=6
(T15964)Dump (2088): 04/26/22 17:09:04:899 ST,shouldCacheCommand return false
(T15964)Dump (1351): 04/26/22 17:09:04:899 ST,remote ip address is <DOMAIN IP>, port=0, bind local address is <PHY ADAPTER IP>
(T15964)Dump ( 248): 04/26/22 17:09:04:899 ST,create file to \\.\symgpproxy success, file handle is 0000000000000B14
(T15964)Dump (1383): 04/26/22 17:09:04:899 ST,new domain port is 0, 5 ip set
(T15964)Dump ( 262): 04/26/22 17:09:04:899 ST,WriteFile return 0
(T15964)Dump ( 265): 04/26/22 17:09:04:899 ST,lasterror is 997
(T15964)Dump ( 267): 04/26/22 17:09:04:899 ST,lasterror is ERROR_IO_PENDING
(T15964)Dump ( 269): 04/26/22 17:09:04:899 ST,write success
(T15964)Dump (1402): 04/26/22 17:09:04:899 ST,create time task 6, delay 120 seconds
(T15964)Dump (1411): 04/26/22 17:09:04:899 ST,task for <DOMAIN IP> already exist, increase counter
(T15964)Dump ( 283): 04/26/22 17:09:04:899 ST,close file handle 0000000000000B14
(T15964)Dump ( 264): 04/26/22 17:09:04:899 original iTimeOut=60, new iTimeOut=120
(T15964)Dump ( 268): 04/26/22 17:09:04:899 iTimeOut=120
(T15964)Dump ( 873): 04/26/22 17:09:04:899 ST,argc=6
(T15964)Dump (2088): 04/26/22 17:09:04:899 ST,shouldCacheCommand return false
(T15964)Dump (1351): 04/26/22 17:09:04:899 ST,remote ip address is <DOMAIN IP>, port=0, bind local address is <PHY ADAPTER IP>
(T15964)Dump ( 248): 04/26/22 17:09:04:899 ST,create file to \\.\symgpproxy success, file handle is 0000000000000BC0
(T15964)Dump (1383): 04/26/22 17:09:04:899 ST,new domain port is 0, 6 ip set
(T15964)Dump ( 262): 04/26/22 17:09:04:900 ST,WriteFile return 0
(T15964)Dump ( 265): 04/26/22 17:09:04:900 ST,lasterror is 997
(T15964)Dump ( 267): 04/26/22 17:09:04:900 ST,lasterror is ERROR_IO_PENDING
(T15964)Dump ( 269): 04/26/22 17:09:04:900 ST,write success
(T15964)Dump (1402): 04/26/22 17:09:04:900 ST,create time task 7, delay 120 seconds
(T15964)Dump (1411): 04/26/22 17:09:04:900 ST,task for <DOMAIN IP> already exist, increase counter
(T15964)Dump ( 283): 04/26/22 17:09:04:900 ST,close file handle 0000000000000BC0 
 
  1. Wenn Sie die Protokolle weiter verfolgen, sollten Sie sofort auf Einträge stoßen, die besagen, dass der Datenverkehr verworfen wurde, wie unten gezeigt:
(T15548)Dump (1330): 04/26/22 17:09:04:903 Received an IP packet with a non-tunnel source IP <PHY ADAPTER IP>
(T15548)Dump (1553): 04/26/22 17:09:04:903 the packet received from virtual interface is discarded
(T15548)Dump (1330): 04/26/22 17:09:04:905 Received an IP packet with a non-tunnel source IP <PHY ADAPTER IP>
(T15548)Dump (1553): 04/26/22 17:09:04:905 the packet received from virtual interface is discarded
 
  1. Öffnen Sie die Wireshark-Erfassung und isolieren Sie den Testdatenverkehr mit dem Filter Ihrer Wahl auf die notierte Domain
Hinweis: In unserem Beispiel haben wir die von den GP Protokollen bereitgestellten IPs verwendet, um nach dem Zieldatenverkehr zu filtern (ip.addr==<Quell-/Ziel-IP>)

Snapshot mit den in Wireshark hervorgehobenen Paketen
 
  1. Notieren Sie sich die im vorherigen Schritt verwendeten Mac-Adressen. Sie sollten mit denen der Schnittstelle und firewall der GP Tunnelschnittstelle übereinstimmen. Sie können dies überprüfen, indem Sie die Datei " ipconfig.txt" im Protokollordner überprüfen, der GP in Schritt 5 gesammelt wurde.
Ethernet adapter Ethernet 3:

   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : PANGP Virtual Ethernet Adapter
   Physical Address. . . . . . . . . : 02-50-41-00-00-01
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : <GP IP>(Preferred)
 
  1. Suchen Sie im selben GP Protokollordner die Protokolldatei nicdetails.txt" und überprüfen Sie, ob im Abschnitt "Weiterleitung" unter dem oder den GP lokalen Adaptern "enabled" angezeigt wird, wie unten gezeigt:
Hinweis: Die Namenskonvention sollte mit der in Schritt 3 aufgeführten Eingabeaufforderungsausgabe identisch sein.
Interface Ethernet 3 Parameters
----------------------------------------------
IfLuid                             : ethernet_32773
IfIndex                            : 2
State                              : connected
Metric                             : 1
Link MTU                           : 1400 bytes
Reachable Time                     : 42500 ms
Base Reachable Time                : 30000 ms
Retransmission Interval            : 1000 ms
DAD Transmits                      : 3
Site Prefix Length                 : 0
Site Id                            : 1
Forwarding                         : enabled
​​​​​​
  1. Wenn dies der Fall ist, müssen Sie den Microsoft-Routing- und RAS-Dienst deaktivieren, damit das Split-Tunneling-Verhalten ordnungsgemäß funktioniert. Weitere Informationen zu diesem Feature finden Sie im folgenden Microsoft-Dokument


 

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004ORyCAM&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language