GlobalProtectユーザーが、ログオン前の使用時にソース リージョンが制限されたゲートウェイに誤って接続する

• ユーザーログオンは、地域制限のあるゲートウェイに接続する可能性があります。
• これは、ログオン前トンネルが接続されたときに発生します。

• GlobalProtect ポータルとゲートウェイ
• ログオン前トンネルが使用中です
• 送信元地域制限ゲートウェイ
• サポートされているPAN-OSバージョン

• GlobalProtect ポータルは、ポータルに到達するソースIPアドレスに基づいてクライアントのリージョン コードを設定する役割を担います。
• ユーザーがログオン前を使用して接続する場合、ユーザーがユーザーユーザー名/パスワードを入力する前に、証明書認証を使用してトンネルがすでに確立されています。
• このため、ポータルは送信元アドレスを GlobalProtect IP プールとして認識し、送信元リージョンを正しく識別できません。
• 以下のPANGPS ログの例では、クライアントのリージョンは IN に設定されていますが、「トンネルがオンの間はリージョン コードを設定しないでください」という理由で、設定は無視されます。

(P5432-T5508)Debug(7484): 09/27/23 16:16:48:953 REGION-PRIO, region code is IN
(P5432-T5508)Debug(13576): 09/27/23 16:16:48:953 REGION_PRIO, do not set region code while tunnel is on

1. GlobalProtectポータル設定を開きます（ネットワーク> GlobalProtect >ポータル> ）。
2. ログオン前ユーザーのアプリ設定に移動します（エージェント> >アプリ）。
3. 「ログオン前のトンネル名変更タイムアウト」を0に設定します。
4. 設定をコミットします。

• この設定により、ユーザーがログインしたときにログオン前トンネルが切断されます。
• ユーザーがログインときに、ユーザーの地域コードが無視されなくなります。