Probleme beim Trennen/erneuten Verbinden von GlobalProtect nach dem Failover von Aktiv/Passiv-HA-Clustern
18852
Created On 04/05/24 03:42 AM - Last Modified 06/24/25 23:28 PM
Symptom
Der GlobalProtect-Client trennt die Verbindung, wenn es ein Aktiv/Passiv-HA-Cluster-Failover gibt.
Wie in den folgenden KB-Artikeln beschrieben, sollte das Failover bei der Verwendung von IPSec aus Sicht von GlobalProtect VPN nahtlos sein, da Peers in der Lage sind, die VPN-Sitzung beizubehalten.
GlobalProtect Gateway Tunnel-Failover mit Firewall in Aktiv-Passiv-Hochverfügbarkeitskonfiguration
Was passiert mit IPSec GlobalProtect VPN während eines Failover-Ereignisses?
Environment
PANOS-10.2.7, PA-3220, GP-6.2.0
Cause
Bei der Konfiguration der globalprotect Portal-Agent-Einstellungen können wir die meisten Timer-Einstellungen auf den Standardeinstellungen belassen, um optimale Ergebnisse zu erzielen.
Es kann jedoch Fälle geben, in denen Benutzer diese Einstellungen bearbeiten, ohne die Auswirkungen zu kennen. Eine dieser Einstellungen ist:
"Automatische Wiederherstellung des VPN-Verbindungs-Timeouts"
Network > GlobalProtect > Portals > "PortalName" > Agent > "AgentConfig" > App > App-Konfigurationen > "Automatische Wiederherstellung des VPN-Verbindungstimeouts"
CLI:
gp-app-config config retry-tunnel value 0
Wenn Sie diesen Wert auf "0" setzen, versucht GlobalProtect nicht, den Tunnel automatisch wiederherzustellen, nachdem der Tunnel getrennt wurde.
Resolution
Stellen Sie für eine nahtlose GlobalProtect-Verbindung nach einem HA-Failover sicher, dass der Wert "Automatic Restoration of VPN Connection Timeout" auf den Standardwert (30 Minuten) eingestellt ist.