キープアライブの失敗によりGlobalProtect SSL VPN接続が切断される

• GlobalProtect SSL VPN接続がタイムアウトにより切断されます。
• globalprotect のpan_gp_event.log、次の情報が表示されます

[Info ]: Auto Gateway login finished with address 192.168.11.1 and user gp.
[Info ]: SSL tunnel creation finished with Gateway 192.168.11.1.
[Info ]: Completed HIP Report check with Gateway 192.168.11.1.
[Info ]: HIP Report submitted to the Gateway 192.168.11.1.
[Info ]: Tunnel is down due to keep-alive timeout. 
[Info ]: Gateway 192.168.11.1: Checking network availability and restoring VPN connection when network is available.

• PanGPS.log は、キープアライブの失敗も報告します。

Info (1335): --Too many outstanding keepalive and no response from GP gateway, disconnect tunnel
Debug(1338): Tunnel downtime after keep-alive timeout is 51375 ms
Info ( 631): VPN timeout due to keepalive, get out of ProcMonitor
Debug( 646): In timeout handling, tunnel downtime is 51375 miliseconds

• Palo Alto FirewallsまたはPrisma Access Firewalls
• PAN-OS 9.1.17 (英語)
• PAN-OS 10.1.11-h4、10.1.11-h5、10.1.12
• PAN-OS 10.2.7-h3 (英語)
• PAN-OS 11.0.3、11.0.3-h1、11.0.3-h3
• PAN-OS 11.1.0 11.1.1
• GlobalProtect(GP)ゲートウェイ
• GlobalProtect(GP)アプリ

• PAN-OS 9.1.18 (英語)
• PAN-OS 10.1.13 (英語)
• PAN-OS 10.2.8 (英語)
• PAN-OS 11.0.3-h5、11.0.4
• PAN-OS 11.1.2 (英語)
   

1. 修正されたコードにアップグレードすると、問題が解決します。
2. 回避策として、SSL の代わりに IPSec 接続を使用します。