GP no envía HIP el informe a la puerta de enlace; lo que afecta HIP a la GlobalProtect aplicación basada en policy
9399
Created On 10/20/22 10:49 AM - Last Modified 06/15/23 07:49 AM
Symptom
Después de que el cliente establece el túnel (IPsec o SSL) con GlobalProtect Gateway, el no envía el GPC mensaje HIPreportcheck ni conduce al envío de GlobalProtect HIPreport.
- finalmente, el estado del host no se envía a la puerta de GlobalProtect enlace
- HIP sin ningún informe sobre la puerta de enlace, el acceso del usuario a los recursos a través de la puerta de enlace se ve afectado, ya que las directivas de seguridad se configuran con el estado del host para que coincida con
En pan_gp_event.log, después de la creación del túnel, no hay eventos relacionados con HIP
[Info ]: Portal login completed with address portal.abc.com and conect method of user-logon. [Info ]: Network discovery started. [Info ]: Manual Gateway login finished with address gateway.abc.com and user username. [Info ]: IPSec tunnel creation finished with Gateway gateway.abc.com
En PanGPS.log, se pueden notar eventos de secuencia,
- El globalprotect túnel se establece
- HIP El informe se genera y se escribe en el archivo, muy bien
- HIPReportThread, descubre que el tipo de red es desconocido
- HIPreportcheck no se envía y, finalmente, HIPreport tampoco se envía
# the globalprotect tunnel is established and the status is connected (P5928-T17004)Debug( 278): HipCheckThread: check hip in other process. (P5928-T17004)Debug( 306): CheckHipInOtherProcess() (P5928-T17004)Debug( 310): Need to collect hip data (P5928-T14596)Dump (1030): status is Connected # the HIP report is read from PanGpHip & written to file -- so, the host state collection on the machine goes well (P5928-T17004)Debug( 140): Got hip report in other process ready event. (P5928-T17004)Debug( 159): Read output from PanGpHip.exe (P5928-T17004)Debug( 170): >>>CheckHip: hip report head size 11204 (P5928-T17004)Debug( 188): >>>CheckHip: total bytes read: 11204 (P5928-T17004)Debug( 198): write hip file now # HipReportThread performs discovers that the "network type" is unknown (P5928-T17004)Debug( 216): CheckHipInOtherProcess() sets hip report ready event. (P5928-T17004)Debug( 136): Wait for the ready event of hip report generated in other process. (P5928-T8540)Debug(6338): HipReportThread: got HIP report ready event. (P5928-T8540)Debug(6354): HipReportThread: wait for network discover ready event. (P5928-T8540)Debug(6359): HipReportThread: got network discover ready event. (P5928-T8540)Debug(6431): Sending hip report delay max registry setting is -1 seconds (P5928-T8540)Debug(6433): Set max sending hip report delay to default 1800 seconds (P5928-T8540)Debug(6449): v4 hip report is encoded (P5928-T8540)Debug(6472): HIP report v4 md5 digest is 9cabcc7b4d2d86a1666ddfe51fd25e4 * (P5928-T8540)Debug(6500): HipReportThread: network type is unknown network. (P5928-T8540)Dump (1030): status is Connected # the HIP report is not sent to the Gateway eventhough the Client is still connected; any access to resources via Gateway fails since it does not match the expected policy
- volver a enviar el perfil de host desde tampoco ayuda; el reenvío se ejecuta a través de la secuencia anterior y se detiene justo después de que HipReportThread identifique el tipo de GlobalProtect red como desconocido
Environment
GlobalProtect puertas de enlace en o en Prisma Access las instalaciones
- HIP Aplicación de seguridad policy basada
- nota: HIP la evaluación en puertas de enlace locales GP requiere licencia
Cause
El problema aquí se relaciona principalmente con "Detección interna de host (IHD)" desde la etapa de descubrimiento de red.
- De forma predeterminada, la puerta de enlace necesita saber si el informe es para que la GlobalProtect red interna o externa coincida con el HIP archivo .policy
- Como no existe el concepto de que un informe se envíe para un HIP tipo de red desconocido, HipReportThread no sigue adelante con hipreportcheck & hipreport.
(P5928-T20596)Debug(1943): Internal host detection is not defined (P5928-T20596)Debug(5881): NetworkDiscoverThread: network type is unknown. (P5928-T20596)Debug(5889): NetworkDiscoverThread: Discover internal network. (P5928-T20596)Info ( 376): Gateway count is 0 for internal network. * (P5928-T20596)Error(5922): NetworkDiscoverThread: UNKNOWN_NETWORK (internal host detection is not set) and internal gateway list is empty. (P5928-T20596)Debug(5967): NetworkDiscoverThread: Discover external network.
Resolution
1. GlobalProtect El cliente necesita saber cómo determinar el tipo de red (interna / externa). Por lo tanto, habilite la detección de host interno en la configuración del agente del portal.
- aunque la detección interna de host no es una configuración obligatoria, se considera una práctica recomendada y evita estos casos de esquina.
Additional Information
En un escenario ideal (cuando el tipo de red es "conocido"), HipReportThread continúa para desencadenar el mensaje hipreportcheck y, luego, según la respuesta de Gateway, desencadena el envío de hipreport.
- nota: con los usuarios que se conectan a la misma puerta de enlace y se conectan con la misma GlobalProtect configuración del agente de portal que no tienen habilitada la detección interna de hosts, a veces, el descubrimiento de red puede regresar correctamente a diferencia de lo anterior. (esto puede requerir discusión de ingeniería, sin embargo, con IHD habilitado, esta rareza no se verá)
- Al mismo tiempo, este problema puede ocurrir especialmente para una combinación seleccionada de método de conexión y tipo de puerta de enlace