HIP-Prüffehler führen dazu, dass der GlobalProtect-Tunnel nach 3 Stunden getrennt wird
34342
Created On 09/01/20 19:57 PM - Last Modified 04/23/24 00:11 AM
Symptom
GlobalProtect-Benutzer werden nach 3 Stunden getrennt, obwohl sie aktiv von ihren Arbeitsstationen arbeiten.
Environment
- Palo Alto Networks Firewall konfiguriert mit den folgenden: Sicherheitsrichtlinie, URL-Filterprofil
- GlobalProtect-App
Cause
- Das Timeout-Timeout für die Inaktivitätsanmeldung ist standardmäßig auf 3 Stunden festgelegt, wie unten gezeigt:
- Wenn sich Benutzer erfolgreich bei GlobalProtect anmelden, wird ihre Benutzerzuordnung mit dem Timeoutwert "Anmeldelebensdauer" angezeigt. Nach einigen Sekunden ändert er sich in den Monitor->-Benutzer-ID-Protokollen wie unten gezeigt auf 3 Stunden (die hartcodiert sind):
- HIP-Prüfungen werden stündlich durchgeführt, die von der GP-App initiiert werden. In vielen Fällen wird eine explizite Sicherheitsrichtlinie für die GlobalProtect-Gatewayverbindung konfiguriert, und dieser Richtlinie wird ein URL-Filterprofil hinzugefügt, wie unten gezeigt:
- Wenn Benutzer eine Verbindung zu GlobalProtect hergestellt haben, treten nach drei Stunden getrennte Trennungen auf.Gemäß den URL-Filterprotokollen in der Firewall wurde die Gateway-URL "/ssl-vpn/hipreportcheck.esp" wie unten gezeigt blockiert:</GP-GATEWAY-IP>
- Dies liegt daran, dass die URL-Kategorie "unbekannt" blockiert wurde und die Gateway-URL mit dieser Kategorie übereinstimmt. Dies kann auch auf PanGPS überprüft werden.log wie unten gezeigt:
P 866-T12663 Jan 28 12:38:19:653061 Debug(5028): Mit https hip report check to gateway x.x.x.x
P 866-T12663 Jan 28 12:38:19:653067 Debug(5070): Network find SN 92 bleibt gleich.
P 866-T12663 Jan 28 12:38:19:653153 Debug( 779): SSL-Verbindung mit x.x.x.x
P 866-T12663 Jan 28 12:38:19:746013 Debug(4407): SSL-Überprüfung erfolgreich
P 866-T1 2663 Jan 28 12:38:19:834616 Error(4698): HTTP 200 OK nicht empfangen: HTTP/1.1 503 Service Unavailable
Content-Type: text/html; charset=UTF-8
Content-Length: 978
Verbindung: schließen
P3P: CP="CAO PSA OUR"
Abläuft: Thu, 01 Jan 1970 00:00:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
<html>
<head>
<title>Webseite blockiert</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE">
<meta name="viewport" content="initial-scale=1.0">
<style>
#content {
border:3px solid#aaa;
background-color:#fff;
margin:1.5em;
padding:1.5em;
font-family:Tahoma,Helvetica,Arial,sans-serif;
font-size:1em;
}
h1 {
font-size:1.3em;
font-weight:bold;
color:#196390;
}
b {
font-weight:normal;
color:#196390;
}
</style>
</head>
<body bgcolor="#e7e8e9">
<div id="content">
<h1>Webseite blockiert</h1> <<<<<<<<
<p>Der Zugriff auf die Webseite, die Sie besuchen wollten, wurde in Übereinstimmung mit den Unternehmensrichtlinien blockiert.</div></body></html> Wenden Sie sich an Ihren Systemadministrator, wenn Sie der Meinung sind, dass dies ein Fehler ist.</p>
<p><b>Benutzer:</b> x.x.x.x </p>
<p><b>URL:</b> http.x.x.x/ssl-vpn/hipreportcheck.esp </p> <<<<<<<<<<
<p><b>Kategorie:</b> unbekannt </p> <<<<<<<
P 866-T12663 Jan 28 12:38:19:834710 Debug(1322): OpenSSL-Warnung schreiben:warnung:close notify
P 866-T12663 Jan 28 12:38:19:834948 Info (5073): SendNReceive() fehlgeschlagen.
P 866-T12663 Jan 28 12:38:19:834964 Debug(4875): Hüftberichtsprüfung fehlgeschlagen<<<<<<<<
P 866-T12663 Jan 28 12:38:19:653067 Debug(5070): Network find SN 92 bleibt gleich.
P 866-T12663 Jan 28 12:38:19:653153 Debug( 779): SSL-Verbindung mit x.x.x.x
P 866-T12663 Jan 28 12:38:19:746013 Debug(4407): SSL-Überprüfung erfolgreich
P 866-T1 2663 Jan 28 12:38:19:834616 Error(4698): HTTP 200 OK nicht empfangen: HTTP/1.1 503 Service Unavailable
Content-Type: text/html; charset=UTF-8
Content-Length: 978
Verbindung: schließen
P3P: CP="CAO PSA OUR"
Abläuft: Thu, 01 Jan 1970 00:00:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
<html>
<head>
<title>Webseite blockiert</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE">
<meta name="viewport" content="initial-scale=1.0">
<style>
#content {
border:3px solid#aaa;
background-color:#fff;
margin:1.5em;
padding:1.5em;
font-family:Tahoma,Helvetica,Arial,sans-serif;
font-size:1em;
}
h1 {
font-size:1.3em;
font-weight:bold;
color:#196390;
}
b {
font-weight:normal;
color:#196390;
}
</style>
</head>
<body bgcolor="#e7e8e9">
<div id="content">
<h1>Webseite blockiert</h1> <<<<<<<<
<p>Der Zugriff auf die Webseite, die Sie besuchen wollten, wurde in Übereinstimmung mit den Unternehmensrichtlinien blockiert.</div></body></html> Wenden Sie sich an Ihren Systemadministrator, wenn Sie der Meinung sind, dass dies ein Fehler ist.</p>
<p><b>Benutzer:</b> x.x.x.x </p>
<p><b>URL:</b> http.x.x.x/ssl-vpn/hipreportcheck.esp </p> <<<<<<<<<<
<p><b>Kategorie:</b> unbekannt </p> <<<<<<<
P 866-T12663 Jan 28 12:38:19:834710 Debug(1322): OpenSSL-Warnung schreiben:warnung:close notify
P 866-T12663 Jan 28 12:38:19:834948 Info (5073): SendNReceive() fehlgeschlagen.
P 866-T12663 Jan 28 12:38:19:834964 Debug(4875): Hüftberichtsprüfung fehlgeschlagen<<<<<<<<
- Wenn also drei aufeinander folgende HIP-Prüfungen fehlschlagen (nach 3 Stunden), trennt das Gateway den Tunnel.
Resolution
- Sie können die Gateway-URL im URL-Filterprofil auf die Whitelist setzen, indem Sie eine benutzerdefinierte URL-Kategorie erstellen und die URL hinzufügen. Diese Kategorie sollte so eingestellt werden, dass sie entweder Aktionen für die URL-Filterung zulässt oder wie unten gezeigt:
- Dadurch wird sichergestellt, dass HIP-Prüfungen stündlich durchgeführt werden. setzt die GlobalProtect-Zuordnung auf 3 Stunden zurück, sobald das Gateway sie empfängt, und die Firewall erhält auch den aktualisierten HIP-Bericht (falls Änderungen gegenüber dem alten HIP-Bericht vorhanden sind).