アクティブ/パッシブHAクラスタフェイルオーバー後のGlobalProtectの切断/再接続の問題
18852
Created On 04/05/24 03:42 AM - Last Modified 06/24/25 23:28 PM
Symptom
GlobalProtectクライアントは、アクティブ/パッシブHAクラスタのフェイルオーバーが発生するたびに切断します。
以下のKB記事によると、IPSecを使用する場合、ピアはVPNセッションを保持できるため、GlobalProtect VPNの観点からフェイルオーバーはシームレスである必要があります。
アクティブ/パッシブ高可用性構成のファイアウォールを使用したGlobalProtectゲートウェイトンネルフェイルオーバー
フェイルオーバーイベント中にIPSec GlobalProtect VPNはどうなりますか?
Environment
PANOS-10.2.7、PA-3220、GP-6.2.0
Cause
globalprotectポータルエージェント設定を構成する場合、最適な結果を得るために、ほとんどのタイマー設定をデフォルトのままにしておくことができます。
ただし、ユーザーが影響を知らずにこれらの設定を編集する場合があります。 これらの設定の 1 つは、「
VPN 接続タイムアウトの自動復元」ネットワーク
> GlobalProtect > ポータル > "PortalName" > エージェント > "AgentConfig" > アプリ>アプリ構成 > "VPN 接続タイムアウトの自動復元"
CLI:
gp-app-config config retry-tunnel value 0
これを「0」に設定すると、GlobalProtectはトンネルが切断された後、トンネルを自動的に復元しようとしません。
Resolution
HAフェイルオーバー後のシームレスなGlobalProtect接続のために、「VPN接続タイムアウトの自動復元」値がデフォルト(30分)に設定されていることを確認します。