GlobalProtect SSL VPN 连接因 keepalive 失败而断开连接

• GlobalProtect SSL VPN 连接因超时而断开连接。
• globalprotect 的pan_gp_event.log显示以下内容

[Info ]: Auto Gateway login finished with address 192.168.11.1 and user gp.
[Info ]: SSL tunnel creation finished with Gateway 192.168.11.1.
[Info ]: Completed HIP Report check with Gateway 192.168.11.1.
[Info ]: HIP Report submitted to the Gateway 192.168.11.1.
[Info ]: Tunnel is down due to keep-alive timeout. 
[Info ]: Gateway 192.168.11.1: Checking network availability and restoring VPN connection when network is available.

• PanGPS.log 还会报告保持活动失败。

Info (1335): --Too many outstanding keepalive and no response from GP gateway, disconnect tunnel
Debug(1338): Tunnel downtime after keep-alive timeout is 51375 ms
Info ( 631): VPN timeout due to keepalive, get out of ProcMonitor
Debug( 646): In timeout handling, tunnel downtime is 51375 miliseconds

• Palo Alto 防火墙或 Prisma 访问防火墙
• 泛操作系统 9.1.17
• 泛操作系统 10.1.11-h4、10.1.11-h5、10.1.12
• 泛操作系统 10.2.7-h3
• 泛操作系统 11.0.3、11.0.3-h1、11.0.3-h3
• 泛操作系统 11.1.0 11.1.1
• GlobalProtect （GP） 网关
• GlobalProtect （GP） 应用程序

• 泛操作系统 9.1.18
• 泛操作系统 10.1.13
• 泛操作系统 10.2.8
• 泛操作系统 11.0.3-h5、11.0.4
• 泛操作系统 11.1.2
   

1. 升级到已修复的代码将解决此问题。
2. 解决方法是使用 IPSec 连接而不是 SSL。