utilisateur de GlobalProtect se connecte de manière incorrecte à une passerelle restreinte de région source lorsque la pré-connexion est utilisée

• La connexion de utilisateur peut se connecter à une passerelle restreinte à une région.
• Cela se produit lorsqu'un tunnel de pré-connexion est connecté.

• Portail et passerelle GlobalProtect
• Le tunnel de pré-connexion est en cours d'utilisation
• Passerelles restreintes à la région Source
• Versions PAN-OS prises en charge

• Le portail GlobalProtect est chargé de définir le code régional du client en fonction de l' adresse IP source qui atteint le portail.
• Lorsque utilisateur est connecté à l'aide de la pré-connexion, le tunnel est déjà établi à l'aide de l'authentification par certificat avant que l' utilisateur ne saisisse son nom d'utilisateur/mot de passe.
• De ce fait, le portail verra l'adresse source comme le pool IP GlobalProtect et ne pourra donc pas identifier correctement la région source.
• À titre d'exemple, dans les journaux PANGPS ci-dessous, la région du client est définie sur IN, mais le paramètre est ignoré en raison de « ne pas définir le code de région lorsque le tunnel est activé ».

(P5432-T5508)Debug(7484): 09/27/23 16:16:48:953 REGION-PRIO, region code is IN
(P5432-T5508)Debug(13576): 09/27/23 16:16:48:953 REGION_PRIO, do not set region code while tunnel is on

1. Ouvrez la configuration du portail GlobalProtect ( Réseau > GlobalProtect > Portails > ).
2. Accédez à la configuration de l'application pour l' utilisateur pré-connexion ( Agent > > Application ).
3. Définissez le « Délai d'expiration du renommage du tunnel avant connexion » sur 0 .
4. Valider la configuration.

• Ce paramètre entraînera la déconnexion du tunnel de pré-connexion lorsque l' utilisateur se connecte.
• Le code régional de l'utilisateur ne sera plus ignoré lors de sa connexion.