GlobalProtect délai d’authentification de l’utilisateur après le pré-logon
29166
Created On 12/20/20 17:37 PM - Last Modified 04/19/21 17:15 PM
Symptom
GlobalProtectLorsqu’une passerelle est configurée sur une interface différente de celle sur laquelle le Portail est configuré, il peut y avoir un retard pendant le logon utilisateur suivant la connexion pré-logon.Ce problème ne se produit pas lorsque la passerelle et le portail partagent la même interface et la même IP adresse.
Environment
- GlobalProtect
Cause
GlobalProtect le client doit s’assurer que sa connexion à la passerelle est envoyée au-dessus de l’adaptateur principal de point de terminaison, et non tunnelled par GlobalProtect l’adaptateur virtuel lui-même.
Le mécanisme qu’il utilise pour y parvenir est d’installer un /32 itinéraire masqué vers l’adresse Gateway IP via l’adaptateur principal. Il s’agit de s’assurer qu’il ne se fait pas prendre par un réseau plus large qui pourrait être acheminé à travers le tunnel, comme 0.0.0.0/0.
Dans l’exemple ci-dessous, la passerelle IP 80.80.80.80 est ajoutée à la table de routage avec un masque sous-réseau 255.255.255.255 vers la passerelle par défaut de l’adaptateur WiFi.
Avec pré-logon, lorsque « Pre-Logon Tunnel Rename Timeout (sec) » est défini à -1 ou une valeur non nulle, le tunnel pré-logon persistera après que l’utilisateur se connecte, sera en attente d’être renommé lorsque l’authentification de l’utilisateur se produit.
Avant que cela ne se produise, l’utilisateur-logon lancera une connexion au Portail pour vérifier s’il y a un config connexe. Si le Portail utilise également la même adresse que la IP passerelle, l’itinéraire masqué /32 vers ce portail IP garantira que la connexion est envoyée sur l’interface physique.
Si la passerelle utilise un autre que le IP IP portail, l’adresse portail n’est pas couverte par l’itinéraire passerelle masquée /32 et la connexion utilisateur ne se produira pas tant que les temps de connexion portal ne seront pas sortis - ce qui est basé sur le paramètre ' TCP Connexion Timeout (sec)' Par défaut, cela est défini à 5 secondes et ne sera probablement pas remarqué par les utilisateurs finaux, mais si ce paramètre est augmenté à une valeur plus élevée, les utilisateurs finaux peuvent sentir le retard lors du passage au tunnel utilisateur.
Dans l’exemple ci-dessous, la 2ème Passerelle IP 40.40.40.40 est ajoutée à la table de routage avec un masque sous-réseau 255.255.255.255 vers la passerelle par défaut de l’adaptateur WiFi, mais le Portail IP 80.80.80.80 correspondra à la route par défaut vers le GP tunnel. Dans ce cas, la connexion Portal peut être supprimée en raison de policy -refuser, et aura besoin d’une règle de sécurité supplémentaire configurée.
Resolution
Il y a deux façons de surmonter le retard :
Option 1 - Ajouter une règle de sécurité Connexion portail est en cours de tunnel à travers , de sorte qu’une règle de sécurité ayant
les paramètres GlobalProtect ci-dessous permettra la connexion:
De: zone Globalprotect (La zone assignée à l’interface du tunnel qui est configuré GlobalProtect sur la passerelle)
À: La zone qui est affectée IP à l’interface avec l’adresse portail (Généralement faux)
Application: ssl Note: Vous remarquerez
peut-être que cette inter-zone n’est pas nécessaire lorsque la policy passerelle et portail sont sur la même IP adresse, c’est parce que la connexion Portal n’est pas tunneled et frappera soit la règle par défaut intra-zone permettre, ou une règle spécifique qui a déjà été configuré.
Option 2 - Ajouter une « route d’accès exclu » pour le portail IP
L’ajout d’un itinéraire « Exclure » pour le portail IP installera un itinéraire masqué /32 via l’adaptateur physique. Cela permettra de s’assurer que la connexion Portal n’est pas tunneled, et utilisera la règle de sécurité est en place qui a déjà permis l’accès.
Dans l’exemple ci-dessous, vous verrez les itinéraires Portal et Gateway via l’adaptateur WiFi.