GlobalProtect Verzögerung der Benutzerauthentifizierung nach der Voranmeldung
29170
Created On 12/20/20 17:37 PM - Last Modified 04/19/21 17:15 PM
Symptom
Wenn ein GlobalProtect Gateway auf einer anderen Schnittstelle als der, auf der das Portal konfiguriert ist, konfiguriert ist, kann es während der Benutzeranmeldung nach der Voranmeldungsverbindung zu verzögerungen.Dieses Problem tritt nicht auf, wenn Gateway und Portal dieselbe Schnittstelle und IP Adresse verwenden.
Environment
- GlobalProtect
Cause
GlobalProtect Client muss sicherstellen, dass seine Verbindung zum Gateway über den Hauptendpunktadapter gesendet und nicht über den virtuellen Adapter selbst getunnelt GlobalProtect wird.
Der Mechanismus, den es verwendet, um dies zu erreichen, ist eine /32 maskierte Route in Richtung der Gateway-Adresse über den Hauptadapter zu IP installieren. Dadurch soll sichergestellt werden, dass es nicht von einem breiteren Netzwerk erfasst wird, das durch den Tunnel geleitet werden könnte, z. B. 0.0.0.0/0.
Im folgenden Beispiel wird gateway IP 80.80.80.80 der Routingtabelle mit einer Subnetzmaske 255.255.255.255 zum Standardgateway des WLAN-Adapters hinzugefügt.
Wenn bei der Voranmeldung "Pre-Logon Tunnel Rename Timeout (sec)" auf -1 oder einen Wert ungleich Null festgelegt ist, bleibt der Voranmeldungstunnel bestehen, nachdem sich der Benutzer angemeldet hat, und wartet darauf, umbenannt zu werden, wenn die Benutzerauthentifizierung stattfindet.
Bevor dies geschieht, initiiert die Benutzeranmeldung eine Verbindung zum Portal, um nach einer verknüpften Konfiguration zu suchen. Wenn das Portal auch dieselbe IP Adresse wie das Gateway verwendet, stellt die /32-maskierte Route zu diesem Portal IP sicher, dass die Verbindung über die physische Schnittstelle gesendet wird.
Wenn das Gateway eine andere IP als IP die des Portals verwendet, wird die Portaladresse nicht von der /32 maskierten Gateway-Route abgedeckt, und die Benutzerverbindung tritt erst auf, wenn die Portalverbindung ausläuft - die auf der TCP Einstellung "Verbindungstimeout (Sek.) basiert. Standardmäßig ist dies auf 5 Sekunden festgelegt und wird von Endbenutzern wahrscheinlich nicht bemerkt, aber wenn diese Einstellung auf einen höheren Wert erhöht wird, können Endbenutzer die Verzögerung beim Wechsel zum Benutzertunnel erkennen.
Im folgenden Beispiel wird das 2. Gateway IP 40.40.40.40 zur Routingtabelle mit einer Subnetzmaske 255.255.255.255 zum Standardgateway des WiFi-Adapters hinzugefügt, aber das Portal IP 80.80.80.80 entspricht der Standardroute zum GP Tunnel. In diesem Fall kann die Portalverbindung aufgrund von -deny abgebrochen werden policy und benötigt eine zusätzliche Sicherheitsregel konfiguriert.
Resolution
Es gibt zwei Möglichkeiten, die Verzögerung zu überwinden:
Option 1 - Hinzufügen einer Sicherheitsregel
Portal-Verbindung wird durch getunnelt , so dass GlobalProtect eine Sicherheitsregel mit den folgenden Parametern die Verbindung zulässt:
Von: Zone Globalprotect (Die Zone, die der Tunnelschnittstelle zugewiesen ist, die auf dem Gateway konfiguriert GlobalProtect ist)
Zu: Die Zone, die der Schnittstelle mit der Portaladresse zugewiesen ist IP (in der Regel nicht vertrauenswürdig)
Anwendung: beachten Sie: Sie können feststellen, dass diese Interzone policy nicht benötigt wird, wenn gateway und Portal auf der gleichen IP Adresse sind, das liegt daran, dass die Portalverbindung nicht getunnelt wird und entweder die standardmäßige Intra-Zone-Zulassungsregel oder eine bestimmte Regel trifft, die bereits konfiguriert wurde.
Option 2 - Fügen Sie eine "Zugriffsroute ausschließen" für das Portal IP
hinzu. Durch Hinzufügen einer Route "Ausschließen" für das Portal IP wird eine /32-maskierte Route über den physischen Adapter installiert. Dadurch wird sichergestellt, dass die Portalverbindung nicht getunnelt wird und die Sicherheitsregel verwendet wird, die den Zugriff bereits zugelassen hat.
Im folgenden Beispiel sehen Sie sowohl die Portal- als auch die Gateway-Routen über einen WiFi-Adapter.