Der GlobalProtect- Benutzer stellt bei Verwendung der Voranmeldung fälschlicherweise eine Verbindung zu einem auf die Quellregion beschränkten Gateway her.

• Die Benutzer stellt möglicherweise eine Verbindung zu einem regional beschränkten Gateway her.
• Dies geschieht, wenn ein Pre-Logon- Tunnel verbunden ist.

• GlobalProtect Portal und Gateway
• Pre-Logon- Tunnel wird verwendet
• Auf Quelle beschränkte Gateways
• Unterstützte PAN-OS-Versionen

• Das GlobalProtect-Portal ist dafür verantwortlich, den Regionalcode des Clients basierend auf der Quell IP-Adresse festzulegen, die das Portal erreicht.
• Wenn der Benutzer per Pre-Logon verbunden ist, wird der Tunnel mithilfe der Zertifikat bereits hergestellt, bevor der Benutzer seinen Benutzername/sein Passwort eingibt.
• Aus diesem Grund erkennt das Portal die Quelladresse als GlobalProtect-IP-Pool und kann die Quellregion somit nicht korrekt identifizieren.
• In den folgenden PANGPS-Protokollen ist beispielsweise die Region des Clients auf IN eingestellt, die Einstellung wird jedoch aufgrund von „ Regionalcode nicht festlegen, während Tunnel aktiv ist “ ignoriert.

(P5432-T5508)Debug(7484): 09/27/23 16:16:48:953 REGION-PRIO, region code is IN
(P5432-T5508)Debug(13576): 09/27/23 16:16:48:953 REGION_PRIO, do not set region code while tunnel is on

1. Öffnen Sie die GlobalProtect Portal- Konfiguration ( Netzwerk > GlobalProtect > Portale > ).
2. Navigieren Sie zur App Konfiguration für den Pre-Logon Benutzer ( Agent > > App ).
3. Setzen Sie das „ Timeout für die Tunnelumbenennung vor der Anmeldung “ auf 0 .
4. Übernehmen Sie die Konfiguration.

• Diese Einstellung führt dazu, dass die Verbindung zum Pre-Logon Tunnel getrennt wird, wenn sich der Benutzer anmeldet.
• Der Regionalcode des Benutzers wird bei der Anmeldung nicht mehr ignoriert.