HIP los informes no se envían a la puerta de GlobalProtect enlace

• Existen HIP reglas de seguridad basadas en coincidencias para controlar el tráfico para proteger globalmente a los usuarios.
• Las reglas no coinciden y se identifica que no hay ningún HIP informe disponible en la puerta de enlace para los clientes.
• El problema afecta a todos los usuarios de la puerta de enlace específica y a aquellos que coinciden con una configuración de agente específica.

• Lo mismo PC cuando se conecta a otra GP puerta de enlace o inquilino de Prisma funciona bien con HIP informes, los registros se pueden ver para ese usuario. Esto aísla que el problema no está en la máquina del usuario.
• No hay registros de bloqueo desde GP el público del cliente hasta el público IP IPde la puerta de enlace.
• El problema persiste incluso después de eliminar todos los software de seguridad y proxy de 3rd party del cliente.
• Incluso si el cliente intenta enviar el HIP informe manualmente, no funciona. Los registros de PanGPS a continuación indican que el cliente no está enviando el informe ni siquiera para el envío manual. (Habilitar el inicio de sesión de nivel de volcado en GP el cliente)

Dump 02/01/21 10:15:50:038 Received following message from UI
<request><type>hip</type></request>

Debug 02/01/21 10:15:50:045 CheckHipMissingPatchInOtherProcess(): Starting process PanGpHipMp.exe
Debug02/01/21 10:16:24:978 Got hip report in other process ready event.
<hip-report>
	<generate-time>02/01/2021 10:16:24</generate-time>

Debug 02/01/21 10:16:24:978 HipReportThread: got HIP report ready event.
Debug 02/01/21 10:16:24:979 HipReportThread: wait for network discover ready event.
Debug 02/01/21 10:16:25:127 HipReportThread: network type is unknown network.

• Palo Alto Firewall o Prisma Access Firewall.
• Soportado PAN-OS.
• GlobalProtect Configurado
• HIP Marca habilitada.

• Verifique el PanGPS para ver los siguientes registros.

Debug: 01/31/21 18:44:42:963 NetworkDiscoverThread: Discover external network.
Debug: 01/31/21 18:44:42:963 gateway 0 of us-east-g-customer.gw.gpcloudservice.com is manual select only, will not be in rediscover list
Debug: 01/31/21 18:44:42:963 gateway 1 of us-southeast-customer.gw.gpcloudservice.com is manual select only, will not be in rediscover list
Debug: 01/31/21 18:44:42:963 There is no gateway suitable to discovery
Debug: 02/01/21 10:09:58:418 --Set state to Connected
Debug: 02/01/21 10:09:58:540 Tunnel is created with the gateway us-southeast-customer.gw.gpcloudservice.com

Debug: 02/01/21 10:09:59:445 HipReportThread: network type is unknown network.
Debug: 02/01/21 10:09:59:447 HipReportThread: wait for HIP report ready event.

• Los registros anteriores indican que se está produciendo un error en la detección de redes externas y puertas de enlace. El "no gateway suitable" indica un problema con la configuración.
• Además, los registros muestran que el tipo de red es desconocido, HIP lo que indica que el HIP informe no se enviará. Compruebe el método de conexión desde la configuración del portal o desde los registros de PanGPS si está configurado en user-logon.

Info: 01/29/21 13:43:26:411 Connect method is user-logon

1. El método de conexión user-logon no se puede utilizar cuando todas las puertas de enlace externas enumeradas en la configuración están en modo solo manual (Paso 7 -7).
2. Esta es una configuración incorrecta: cualquiera de las 2 opciones a continuación ayudará a solucionar el problema.

• Configure el método de conexión bajo demanda.
• Establezca las puertas de enlace con cierta prioridad y elimine el modo solo manual. (Todavía pueden estar disponibles para la conexión manual para que el usuario pueda seleccionar la puerta de enlace)