El usuario de GlobalProtect se conecta incorrectamente a una puerta de enlace restringida de la región de origen cuando se utiliza el inicio de sesión previo

• El inicio de sesión del usuario puede conectarse a un Gateway restringido a una región.
• Esto sucede cuando se conecta un túnel previo al inicio de sesión.

• Portal y puerta de enlace de GlobalProtect
• El túnel previo al inicio de sesión está en uso
• Puertas de enlace restringidas a la región de Origen
• Versiones de PAN-OS compatibles

• El Portal GlobalProtect es responsable de configurar el código de región del cliente en función de la Dirección IP de origen que llega al Portal.
• Cuando el usuario se conecta mediante inicio de sesión previo, el túnel ya está establecido mediante autenticación de certificado antes de que el usuario ingrese su nombre de usuario y contraseña.
• Debido a esto, el Portal verá la dirección de origen como el grupo de IP de GlobalProtect y, por lo tanto, no podrá identificar correctamente la región de origen.
• A modo de ejemplo, en los registros PANGPS a continuación, la región del cliente está configurada en IN, pero la configuración se ignora debido a " no configurar el código de región mientras el túnel esté activado ".

(P5432-T5508)Debug(7484): 09/27/23 16:16:48:953 REGION-PRIO, region code is IN
(P5432-T5508)Debug(13576): 09/27/23 16:16:48:953 REGION_PRIO, do not set region code while tunnel is on

1. Abra la configuración del portal GlobalProtect ( Red > GlobalProtect > Portales > ).
2. Vaya a la configuración de la aplicación para el usuario previo al inicio de sesión ( Agente > > Aplicación ).
3. Establezca el ' Tiempo de espera para cambiar el nombre del túnel previo al inicio de sesión ' en 0 .
4. Confirmar la configuración.

• Esta configuración hará que el túnel previo al inicio de sesión se desconecte cuando el usuario inicie sesión.
• El código de región del usuario ya no será ignorado cuando inicio de sesión.