错误消息:连接失败。 无法连接到 GlobalProtect 网关。 请联系您的 IT 管理员
59647
Created On 12/10/20 05:51 AM - Last Modified 08/13/21 21:43 PM
Symptom
症状/情景:
- 正在使用全球保护门户/网关身份验证配置文件 RADIUS 。
- RADIUS 服务器正在使用 MFA 双推。
- RADIUS 服务器超时设置为 60 秒,并重试 1 次计数。
- GP 用户试图连接到 GP (按需),他们立即收到 Duo Push,但他们不会批准 Duo 推快速完成身份验证过程。
- 身份验证超时发生在 25 秒, GP 由于错误消息"连接失败而断开连接。 无法连接到 GlobalProtect 网关。 请联系您的 IT 管理员"。
- 问题是 GP 客户端没有等待 Radius 超时。
- 在 GP 用户无法准时批准 Duo 推送(在 25 秒内)的身份验证方案中,如何在 GP 配置的 Radius 服务器超时后进行计时。
Environment
- 全球保护
- RADIUS 服务器
- 使用多因素身份验证 DUO
Cause
- 默认的 Gloabl 保护超时为 30 秒,这反过来又使默认身份验证超时为 25 秒。
- 身份验证超时计算为(全球保护超时 - 5)。
- 如果全球保护超时低于 RADIUS 服务器配置文件超时/重试,则用于身份验证超时的值较低。
- 全球保护超时值是全球保护客户端和 firewall "全球保护门户/网关"之间的超时值。
NOTE: GlobalProtect 超时应大于任何服务器配置文件允许连接尝试的总时间。 服务器配置文件中的总时间是超时值乘以重试次数和服务器数。
Resolution
- 提高全球保护超时值,以大于所需的 RADIUS 身份验证超时。 注意:这可以从 FW CLI 唯一的,没有WebUI:
>configure
# set deviceconfig setting global-protect timeout 90
#commit
# show deviceconfig setting global-protect
global-protect {
timeout 90;
}
# exit
3. 现在,在 GlobalProtect 用户批准 Duo 推送之前,身份验证超时可以达到 55-60 秒(如配置的 Radius 服务器超时)。
NOTE 如果 GlobalProtect 超时更改而不更改" TCP 接收超时", GP App 则由于默认为 30 秒 TCP 的"接收超时"值,将在大约 30 秒后断开连接。
Additional Information
GlobalProtect除非再次修改或重置为默认值,否则无法使用以下命令看到默认超时:
> configure
# show deviceconfig setting global-protect
# exit