GlobalProtect Panne du tunnel gateway avec Firewall configuration haute disponibilité active-passive
3381
Created On 02/09/21 01:27 AM - Last Modified 06/24/25 23:23 PM
Symptom
Lorsque GlobalProtect Gateway est configuré sur une firewall configuration haute disponibilité active-passive, un administrateur peut déclencher firewall une panne d’activité via le redémarrage ou la suspension de l’appareil, de sorte que firewall le passif peut prendre le relais en tant firewall qu’actif. Dans ce scénario, les utilisateurs peuvent connaître une interruption de la circulation en fonction de la façon dont GlobalProtect le tunnel est établi sur la passerelle.
Environment
- PanOS 8.1.x ou plus
- GlobalProtect 5.0.x ou au-dessus
- Réseaux Palo Alto Firewall
Cause
- Si l’utilisateur final connecté via le tunnel au GlobalProtect SSL lieu de l’IPsec, lorsque la panne se firewall produit d’Active à Passive, SSL le tunnel sur le client sera terminé, provoquant toutes les GlobalProtect connexions établies acheminés sur le tunnel à tomber.
- GlobalProtect Le client créera automatiquement un nouveau tunnel, et l’utilisateur devra relancer les connexions pour accéder à nouveau aux ressources.
Resolution
- Évitez de configurer la configuration de l’application Portal pour « Connect with SSL Only » définie à oui si possible, car cela ne fera respecter SSL que le tunnel.
- Essayez de vous assurer que la plupart, sinon tous les utilisateurs sont en mesure de connecter le tunnel en utilisant IPsec sur UDP le port 4501
- IPsec conservera le tunnel pour l’utilisateur final afin failover est plus transparente.
- Informez les utilisateurs avant firewall d’effectuer une panne car les utilisateurs connectés par tunnel feront face SSL momentanément à une interruption de service.