GlobalProtect retraso de autenticación de usuario después del inicio de sesión previo
29170
Created On 12/20/20 17:37 PM - Last Modified 04/19/21 17:15 PM
Symptom
Cuando se configura una GlobalProtect puerta de enlace en una interfaz diferente de la que configura el portal, puede haber un retraso durante el inicio de sesión del usuario después de la conexión previa al inicio de sesión.Este problema no se produce cuando gateway y portal comparten la misma interfaz y IP dirección.
Environment
- GlobalProtect
Cause
GlobalProtect cliente debe asegurarse de que su conexión a la puerta de enlace se envía a través del adaptador de punto de conexión principal y no se tunelizan a través del GlobalProtect propio adaptador virtual.
El mecanismo que utiliza para lograr esto es instalar una ruta enmascarada /32 hacia la dirección de puerta de enlace IP a través del adaptador principal. Esto es para asegurarse de que no sea atrapado por una red más amplia que podría ser ruteada a través del túnel, tal como 0.0.0.0/0.
En el ejemplo siguiente, el gateway IP 80.80.80.80.80 se agrega a la tabla de ruteo con una máscara de subred 255.255.255.255 hacia la puerta de enlace predeterminada del adaptador WiFi.
Con el inicio de sesión previo, cuando "Pre-Logon Tunnel Rename Timeout (sec)" se establece en -1 o un valor distinto de cero, el túnel de inicio de sesión previo persistirá después de que el usuario inicie sesión, estará esperando a ser renombrado cuando se produzca la autenticación de usuario.
Antes de que esto suceda, el inicio de sesión de usuario iniciará una conexión con el portal para comprobar si hay configuraciones relacionadas. Si el Portal también utiliza la misma IP dirección que la puerta de enlace, la ruta enmascarada /32 a esto IP garantizará que la conexión se envíe a través de la interfaz física.
Si la puerta de enlace utiliza una diferencia IP de la IP del Portal, la dirección del portal no está cubierta por la ruta de puerta de enlace enmascarada /32 y la conexión de usuario no se producirá hasta que se agote el tiempo de espera de la conexión del portal, que se basa en la TCP configuración 'Tiempo de espera de conexión (seg)'. De forma predeterminada, esto se establece en 5 segundos y probablemente no será notado por los usuarios finales, pero si esta configuración se aumenta a un valor más alto, los usuarios finales pueden sentir el retraso mientras cambian al túnel del usuario.
En el ejemplo siguiente, el 2nd Gateway IP 40.40.40.40 se agrega a la tabla de ruteo con una máscara de subred 255.255.255.255 hacia la puerta de enlace predeterminada del adaptador WiFi, pero el Portal IP 80.80.80.80 hará juego la ruta predeterminada hacia el GP túnel. En este caso, la conexión del portal se puede quitar debido a policy -deny y necesitará una regla de seguridad adicional configurada.
Resolution
Hay dos maneras de superar el retraso:
opción 1 - Agregar una regla de seguridad
La conexión del portal se está tunelizando GlobalProtect a través, por lo que una regla de seguridad que tiene los parámetros a continuación permitirá la conexión:
De: zona Globalprotect (la zona asignada a la interfaz del túnel que está configurada en el GlobalProtect gateway)
Para: La zona que se asigna a la interfaz con la aplicación de la dirección del portal IP (normalmente no
confiable): nota
ssl: Usted puede notar que esta interzona policy no es necesaria cuando el gateway y el portal están en la misma IP dirección, esto se debe a que la conexión del portal no se está tunelizado y golpeará la regla predeterminada de la permiten la intrazona, o una regla específica que ya estaba configurada.
Opción 2 - Agregar una "Excluir ruta de acceso" para el portal IP
Agregar una ruta "Excluir" para el Portal IP instalará una ruta enmascarada /32 a través del adaptador físico. Esto garantizará que la conexión del portal no esté tunelizado, y utilizará la regla de seguridad que ya ha permitido el acceso.
En el ejemplo siguiente, verá las rutas Portal y Gateway a través con el adaptador WiFi.