エラー メッセージ : 接続に失敗しました。 ゲートウェイに接続できませんでした GlobalProtect 。 管理者に問い合わせてください IT
37702
Created On 12/10/20 05:51 AM - Last Modified 08/13/21 21:43 PM
Symptom
症状/シナリオ:
- グローバル保護ポータル/ゲートウェイ認証プロファイルは RADIUS を使用しています。
- RADIUS サーバーは MFA Duo プッシュを使用しています。
- RADIUS サーバータイムアウトは、再試行回数が 1 で 60 秒に設定されます。
- GP ユーザーは GP (オンデマンドで)接続しようとしましたが、すぐに Duo Push を受け取りましたが、認証プロセスを完了するために Duo プッシュを迅速に承認することはありません。
- 認証タイムアウトは 25 秒で発生し、 GP エラー メッセージが表示されたため切断されました" 接続に失敗しました。 ゲートウェイに接続できませんでした GlobalProtect 。 管理者に問い合わせてください IT 。
- 問題は、 GP クライアントがその Radius タイムアウトを待つ間ハングしていないです。
- GPユーザーが Duo プッシュを(25 秒以内)に承認しない認証シナリオでは、タイムアウトを設定 GP した Radius サーバーのタイムアウト後にタイムアウトする方法が発生します。
Environment
- グローバル・プロテクト
- RADIUS サーバー
- 多要素認証を使用 DUO
Cause
- デフォルトの GloablProtect タイムアウトは 30 秒で、デフォルトの認証タイムアウトは 25 秒になります。
- 認証タイムアウトは、(GloablProtect タイムアウト - 5) として計算されます。
- グローバル保護タイムアウトがサーバ プロファイルのタイムアウト/再試行よりも低い場合 RADIUS は、より小さい値が認証タイムアウトに使用されます。
- グローバル保護タイムアウト値は、グローバル保護クライアントと firewall 「グローバル保護ポータル/ゲートウェイ」の間のタイムアウトです。
NOTE: GlobalProtect タイムアウトは、サーバー プロファイルで接続試行が許可される合計時間よりも長くする必要があります。 サーバー・プロファイルの合計時間は、再試行回数とサーバー数を乗算したタイムアウト値です。
Resolution
- グローバル保護タイムアウト値を、目的の認証タイムアウトより大きくします RADIUS 。 注: これは WebUI 以外の唯一の方法から実行できます FW CLI 。
>configure
# set deviceconfig setting global-protect timeout 90
#commit
# show deviceconfig setting global-protect
global-protect {
timeout 90;
}
# exit
3. GlobalProtectこれで、ユーザーが Duo プッシュを承認する前に、認証タイムアウトが 55 ~ 60
NOTE秒 (Radius サーバのタイムアウト設定) に達するようになりました。 GlobalProtectタイムアウトが"受信タイムアウト"を変更せずに変更された場合、 TCP GP App デフォルトの30秒の「 TCP 受信タイムアウト」値により、約30秒後に切断されます。
Additional Information
GlobalProtectデフォルトのタイムアウトは、変更されるか、または再びデフォルト値にリセットされない限り、以下のコマンドを使用して表示することはできません。
> configure
# show deviceconfig setting global-protect
# exit