Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
HIP チェックの失敗により、3 時間後に GlobalProtect トンネルが切断される - Knowledge Base - Palo Alto Networks

HIP チェックの失敗により、3 時間後に GlobalProtect トンネルが切断される

47714
Created On 09/01/20 19:57 PM - Last Modified 04/23/24 00:11 AM


Symptom


GlobalProtectユーザーは、ワークステーションからアクティブに作業を行っているにもかかわらず、3時間後に切断されます。

Environment


  • 次の構成で構成されたパロアルトネットワークスファイアウォール: セキュリティポリシー、URLフィルタリングプロファイル
  • グローバルプロテクトアプリ

Cause


  • 次に示すように、非アクティブログアウトタイムアウトはデフォルトで3時間に設定されています。
[グローバルプロテクト ゲートウェイ接続設定] ダイアログ ボックスのスナップショット
 
  • ユーザーが GlobalProtect に正常にログインすると、ユーザー マッピングがログインライフタイムタイムアウト値で表示されます。 数秒後、次に示すように、モニター > User-ID ログで 3 時間 (ハードコーディング) に変更されます。
ユーザー ID ログのスナップショット
 
  • HIPチェックはGPアプリによって開始される毎時間行われます。 多くの場合、明示的なセキュリティ ポリシーが GlobalProtect ゲートウェイ接続用に構成され、URL フィルタリング プロファイルがこのポリシーに追加されます。
セキュリティ ポリシー GUI のスナップショット
 
URL フィルタリング GUI のスナップショット
 
  • ユーザーが GlobalProtect に接続すると、3 時間後に切断が開始されました。ファイアウォール上の URL フィルタリング ログに従って、ゲートウェイ URL "/ssl-vpn/hipreportcheck.esp" は次のようにブロックされていました。</GP-GATEWAY-IP>
ユーザー追加イメージ
 
[詳細ログ表示]ダイアログ ボックスのスナップショット
 
  • これは、URL カテゴリ "unknown" がブロックするように設定されており、ゲートウェイ URL がこのカテゴリに一致しているためです。 これは、次のように PanGPS.log でも確認できます。
P 866-T12663 Jan 28 12:38:19:653061 Debug(5028): https を使用してヒップ レポート チェックをゲートウェイ x.x.x.x
P 866-T12663 Jan 28 12:38:19:653067 デバッグ(5070): SN 92 を検出します。
P 866-T12663 Jan 28 12:38:19:653153 デバッグ(779): x.x.x.x
P 866-T12663 Jan 28 1月 22:38:19:746013 デバッグ(4407): SSL が成功確認
P 866-T 12663 Jan 28 12:38:19:834616 Error(4698): HTTP 200 OKは受信できません: HTTP/1.1 503 サービス利用不可
コンテンツタイプ: text/html; charset=UTF-8
コンテンツ長: 978
接続:
P3P を閉じる: CP="CAO PSA OUR"
1970年1月01日 00:00:00 GMT
キャッシュコントロール: ノーストア, キャッシュなし、 必ず再検証、ポストチェック=0、プリチェック=0
プラグマ:キャッシュなし

<html>
<head>
<title>Web ページがブロックされました</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE">
<meta name="viewport" content="initial-scale=1.0">
<style>
  #content {
    border:3px solid#aaa;
    background-color:#fff;
    margin:1.5em;
    padding:1.5em;
    font-family:Tahoma,Helvetica,Arial,sans-serif;
    font-size:1em;
  }
  h1 {
    font-size:1.3em;
    font-weight:bold;
    color:#196390;
  }
  b {
    font-weight:normal;
    color:#196390;
  }
</style>
</head>
<body bgcolor="#e7e8e9">
<div id="content">
<h1>Web ページがブロックされました</h1>   <<<<<<<<
<p>アクセスしようとした Web ページへのアクセスは、会社のポリシーに従ってブロックされています。</div></body></html> エラーが発生していると思われる場合は、システム管理者に問い合わせてください。</p>
<p><b>ユーザー:</b> x.x.x.x </p>
<p><b>URL:</b> x.x.x/ssl-vpn/ヒップレポートチェック.esp </p>      <<<<<<<<<<
<p><b>カテゴリ:</b> 不明 </p>   <<<<<<<



P 866-T12663 Jan 28 12:38:19:834710 デバッグ(1322): OpenSSL アラート書き込み:警告:終了通知
P 866-T12663 Jan 28 1 月 22:38:19:834948 info (5073): SendN() が失敗しました。
P 866-T12663 1月28日 12:38:19:834964 デバッグ(4875): 送信ヒップ レポート チェックに失敗しました<<<<<<<<
  • したがって、3 回連続する HIP チェックが失敗すると(3 時間後)、ゲートウェイはトンネルを切断します。

Resolution


  • カスタム URL カテゴリを作成し、その URL を追加することで、URL フィルタリング プロファイルのゲートウェイ URL をホワイトリストに登録できます。 このカテゴリは、URL フィルタリング プロファイルで許可または警告のアクションを許可または警告に設定する必要があります。
[カスタム URL カテゴリのスナップショット] ダイアログ ボックス
[URL フィルタリング プロファイル] ダイアログ ボックスのスナップショット
 
  • これにより、1 時間ごとに発生する HIP チェックが確実に行われます。ゲートウェイが受信した後、GlobalProtect マッピングを 3 時間にリセットし、ファイアウォールが更新された HIP レポートを取得します (変更が古い HIP レポートに対して存在する場合)。
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 239,992
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HAaUCAW&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language