Fehlermeldung: Verbindung fehlgeschlagen. Es konnte keine Verbindung zum Gateway hergestellt GlobalProtect werden. Wenden Sie sich an Ihren IT Administrator

Fehlermeldung: Verbindung fehlgeschlagen. Es konnte keine Verbindung zum Gateway hergestellt GlobalProtect werden. Wenden Sie sich an Ihren IT Administrator

37674
Created On 12/10/20 05:51 AM - Last Modified 08/13/21 21:45 PM


Symptom


Symptom/Szenario:
  • Global Protect Portal/Gateway Authentication Profile verwendet RADIUS .
  • RADIUS Der Server verwendet MFA Duo-Push.
  • RADIUS Das Servertimeout ist auf 60 Sekunden mit 1 Wiederholungslaufanzahl festgelegt.
  • GP Benutzer haben versucht, eine Verbindung herzustellen GP (bei Bedarf), sie haben Duo Push sofort erhalten, aber sie werden den Duo-Push nicht schnell genehmigen, um den Authentifizierungsprozess abzuschließen.
  • Das Authentifizierungstimeout tritt nach 25 Sekunden auf und GP wird aufgrund der Fehlermeldung "Verbindung fehlgeschlagen" getrennt. Es konnte keine Verbindung zum Gateway hergestellt GlobalProtect werden. Bitte wenden Sie sich an Ihren IT Administrator".
  • Das Problem GP ist, dass der Client nicht auf dieses Radius-Timeout wartet.
  • Im GP Authentifizierungsszenario, in dem der Benutzer den Duo-Push nicht rechtzeitig (innerhalb von 25 Sekunden) genehmigt, GP wird nach dem konfigurierten Radius-Servertimeout das Timeout ausgeführt.

Environment


  • Global Protect
  • RADIUS Server
  • Multi-Faktor-Authentifizierung mit DUO

Cause


  • Das standardmäßige GloablProtect-Timeout beträgt 30 Sekunden, wodurch das Standardauthentifizierungstimeout wiederum 25 Sekunden beträgt.
  • Das Authentifizierungstimeout wird berechnet als (GloablProtect-Timeout - 5).
  • Wenn das Zeitout für den globalen Schutz niedriger ist als RADIUS das Timeout/Die Wiederholungen des Serverprofils, wird der niedrigere Wert für das Authentifizierungstimeout verwendet.
  • Der Global-Protect-Timeoutwert ist das Timeout zwischen dem Global Protect Client und dem firewall Global Protect Portal/Gateway von .

    NOTE: Das GlobalProtect Timeout sollte größer sein als die Gesamtzeit, die ein Serverprofil für Verbindungsversuche zulässt. Die Gesamtzeit in einem Serverprofil ist der Timeoutwert multipliziert mit der Anzahl der Wiederholungen und der Anzahl der Server.
     

Resolution


  1. Erhöhen Sie den Wert global-protect-timeout auf größer als das gewünschte RADIUS Authentifizierungstimeout. Hinweis: Dies kann von der FW CLI einzigen, keinen WebUI aus erfolgen:
>configure
# set deviceconfig setting global-protect timeout 90
#commit

# show deviceconfig setting global-protect
global-protect {
  timeout 90;
}
# exit

 
       2. Erhöhen Sie das TCP "Empfangene Timeout" auf 90 Sekunden, um dem GP Timeoutwert ( : Network > >GUI GlobalProtect Portals > (Name) > App Agent > (Agentname) > ) zu entsprechen.
App TCP Portal-Einstellung

3. Jetzt kann das GlobalProtect Authentifizierungstimeout 55-60 Sekunden (wie konfiguriertes Radius-Server-Timeout) erreichen, bevor Benutzer den Duo-Push

NOTEgenehmigen. : Wenn GlobalProtect das Timeout geändert wird, ohne TCP das "Received Timeout" zu ändern, wird das GP App Timeout nach etwa 30 Sekunden aufgrund des TCP Wertes "received timeout", der standardmäßig 30 Sekunden beträgt, getrennt.

 

Additional Information


Das GlobalProtect Standardtimeout kann mit dem folgenden Befehl nur angezeigt werden, wenn es geändert oder erneut auf den Standardwert zurückgesetzt wird:
> configure
# show deviceconfig setting global-protect
# exit

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBufCAG&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language