Die GlobalProtect SSL-VPN-Verbindung wird aufgrund eines Keepalive-Fehlers unterbrochen

• Die GlobalProtect SSL VPN-Verbindung wird aufgrund einer Zeitüberschreitung getrennt.
• pan_gp_event.log von GlobalProtect zeigen Folgendes an

[Info ]: Auto Gateway login finished with address 192.168.11.1 and user gp.
[Info ]: SSL tunnel creation finished with Gateway 192.168.11.1.
[Info ]: Completed HIP Report check with Gateway 192.168.11.1.
[Info ]: HIP Report submitted to the Gateway 192.168.11.1.
[Info ]: Tunnel is down due to keep-alive timeout. 
[Info ]: Gateway 192.168.11.1: Checking network availability and restoring VPN connection when network is available.

• PanGPS.log meldet auch Keepalive-Fehler.

Info (1335): --Too many outstanding keepalive and no response from GP gateway, disconnect tunnel
Debug(1338): Tunnel downtime after keep-alive timeout is 51375 ms
Info ( 631): VPN timeout due to keepalive, get out of ProcMonitor
Debug( 646): In timeout handling, tunnel downtime is 51375 miliseconds

• Palo Alto Firewalls oder Prisma Access Firewalls
• PAN-OS 9.1.17
• PAN-OS 10.1.11-h4, 10.1.11-h5, 10.1.12
• PAN-OS 10.2.7-h3
• PAN-OS 11.0.3, 11.0.3-h1, 11.0.3-h3
• PAN-OS 11.1.0 11.1.1
• GlobalProtect (GP) Gateway
• GlobalProtect (GP) App

• PAN-OS 9.1.18
• PAN-OS 10.1.13
• PAN-OS 10.2.8
• PAN-OS 11.0.3-h5, 11.0.4
• PAN-OS 11.1.2
   

1. Durch ein Upgrade auf den korrigierten Code wird das Problem behoben.
2. Um dieses Problem zu umgehen, verwenden Sie die IPSec-Verbindung anstelle von SSL.