GlobalProtect Gatewaytunnel-Failover mit Firewall in Active-Passive High Availability Configuration
3381
Created On 02/09/21 01:27 AM - Last Modified 06/24/25 23:23 PM
Symptom
Wenn GlobalProtect Gateway für eine Mit firewall Active-Passive High Availability-Konfiguration konfiguriert ist, kann ein firewall Administrator ein Failover von active über einen firewall Neustart oder das Anhalten des Geräts auslösen, sodass der Passive firewall als aktiv übernommen werden kann. In diesem Szenario kann es zu Verkehrsunterbrechungen kommen, je nachdem, wie der GlobalProtect Tunnel auf dem Gateway eingerichtet wird.
Environment
- PanOS 8.1.x oder höher
- GlobalProtect 5.0.x oder höher
- Palo Alto Networks Firewall
Cause
- Wenn der Endbenutzer über Tunnel anstelle von IPSec verbunden GlobalProtect ist und das SSL firewall Failover von Aktiv nach Passiv erfolgt, wird der SSL Tunnel auf dem Client GlobalProtect beendet, wodurch alle über den Tunnel geleiteten Verbindungen abgebrochen werden.
- GlobalProtect Der Client erstellt automatisch einen neuen Tunnel, und der Benutzer muss die Verbindungen erneut initiieren, um erneut auf die Ressourcen zuzugreifen.
Resolution
- Vermeiden Sie es, die Portal-App-Konfiguration für "Nur SSL verbinden" auf "Nur verbinden" festzulegen, wenn möglich, da dies SSL nur tunneln wird.
- Versuchen Sie, die meisten sicherzustellen, wenn nicht alle Benutzer in der Lage sind, den Tunnel über IPSec über UDP Port 4501 zu verbinden
- IPSec behält den Tunnel für den Endbenutzer bei, sodass das Failover nahtloser ist.
- Informieren Sie Benutzer vor dem firewall Failover, da Benutzer, die über den Tunnel verbunden SSL sind, vorübergehend mit einer Dienstunterbrechung konfrontiert werden.