Mensaje de error: Error de conexión. No se pudo conectar a la GlobalProtect puerta de enlace. Póngase en contacto con el IT administrador

Mensaje de error: Error de conexión. No se pudo conectar a la GlobalProtect puerta de enlace. Póngase en contacto con el IT administrador

37696
Created On 12/10/20 05:51 AM - Last Modified 08/13/21 21:44 PM


Symptom


Síntoma/Escenario:
  • Global Protect Portal/Gateway Authentication Profile está utilizando RADIUS .
  • RADIUS El servidor está utilizando MFA la inserción Duo.
  • RADIUS El tiempo de espera del servidor se establece en 60 segundos con un recuento de reintentos de 1.
  • GP los usuarios intentaron conectarse GP a (bajo demanda), recibieron Duo Push inmediatamente, pero no aprobarán duo push rápidamente para completar el proceso de autenticación.
  • El tiempo de espera de autenticación se produce a los 25 segundos y GP se desconecta debido al mensaje de error"Error de conexión. No se pudo conectar a la GlobalProtect puerta de enlace. Póngase en contacto con el IT administrador".
  • El asunto es el GP cliente no está colgando en esperar aquel Tiempo de espera de Radio.
  • En el escenario de GP autenticación donde el usuario no aprobará el empuje duo a tiempo (dentro de 25 segundos), cómo hacer que el GP tiempo de espera se produce después del tiempo de espera del servidor radius configurado.

Environment


  • Global Protect
  • RADIUS Servidores
  • Autenticación multifactor mediante DUO

Cause


  • El tiempo de espera predeterminado de GloablProtect es de 30 segundos, lo que a su vez hace que el tiempo de espera de autenticación predeterminado sea de 25 segundos.
  • El tiempo de espera de autenticación se calcula como (tiempo de espera de GloablProtect - 5).
  • Si el tiempo de espera de protección global es menor que el RADIUS tiempo de espera/reintentos de perfil de servidor, el valor inferior se utilizará para el tiempo de espera de autenticación.
  • El valor de tiempo de espera de protección global es el tiempo de espera entre el global Protect Client y el firewall global Protect Portal/Gateway.

    NOTE: el GlobalProtect tiempo de espera debe ser mayor que el tiempo total que cualquier perfil de servidor permite para los intentos de conexión. El tiempo total en un perfil de servidor es el valor de tiempo de espera multiplicado por el número de reintentos y el número de servidores.
     

Resolution


  1. Aumente el valor global-protect-timeout para que sea mayor que el tiempo de espera de RADIUS autenticación deseado. Nota: Esto se puede hacer del FW CLI único, ningún WebUI:
>configure
# set deviceconfig setting global-protect timeout 90
#commit

# show deviceconfig setting global-protect
global-protect {
  timeout 90;
}
# exit

 
       2. Aumente el TCP "tiempo de espera recibido" a 90 segundos para que coincida con el valor de GP tiempo de espera ( : Network > >GUI GlobalProtect Portals > (nombre) > Agent > (nombre del agente) > App )
Configuración del App TCP portal

3. Ahora el descanso de la GlobalProtect autenticación puede alcanzar 55-60 segundos (según lo configurado tiempo de espera del servidor de RADIUS) antes de que los usuarios aprueben el empuje del dúo.

NOTE: Si GlobalProtect se cambia el tiempo de espera sin cambiar el TCP "tiempo de espera recibido", GP App el se desconecta después de unos 30 segundos debido al valor de TCP "tiempo de espera recibido" que por defecto es de 30 segundos.

 

Additional Information


El tiempo de espera predeterminado GlobalProtect no se puede ver usando el comando abajo a menos que se modifique o se reajuste al valor predeterminado otra vez:
> configure
# show deviceconfig setting global-protect
# exit

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBufCAG&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language