Problemas de desconexión/reconexión de GlobalProtect después de la conmutación por error del clúster de alta disponibilidad activo/pasivo
18852
Created On 04/05/24 03:42 AM - Last Modified 06/24/25 23:28 PM
Symptom
El cliente de GlobalProtect se desconecta cada vez que hay una conmutación por error de clúster de alta disponibilidad activa/pasiva.
De acuerdo con los artículos de KB a continuación, cuando se usa IPSec, la conmutación por error debe ser perfecta desde la perspectiva de GlobalProtect VPN, ya que los pares pueden retener la sesión de VPN.
Conmutación por error del túnel de puerta de enlace GlobalProtect con firewall en configuración de alta disponibilidad activa-pasiva
¿Qué sucede con IPSec GlobalProtect VPN durante un evento de conmutación por error?
Environment
PANOS-10.2.7, PA-3220, GP-6.2.0
Cause
Al configurar los ajustes del agente del portal globalprotect, podemos dejar la mayoría de los ajustes del temporizador por defecto para obtener resultados óptimos.
Sin embargo, puede haber casos en los que los usuarios editen esta configuración sin conocer las repercusiones. Una de estas configuraciones es:
"Restauración automática del tiempo de espera de la conexión VPN"
Portales de red > GlobalProtect > > "PortalName" > Agent > "AgentConfig" > Configuraciones de aplicaciones > aplicaciones > "Restauración automática del tiempo de espera de la conexión VPN"
CLI:
gp-app-config config valor de retry-tunnel 0
Establecer esto en "0" significa que GlobalProtect no intenta restaurar automáticamente el túnel después de que se desconecte el túnel.
Resolution
Para una conexión GlobalProtect sin problemas después de una conmutación por error de alta disponibilidad, asegúrese de que el valor "Restauración automática del tiempo de espera de la conexión VPN" esté establecido en el valor predeterminado (30 minutos).