GP n’envoie HIP pas de rapport à la passerelle, ce qui a HIP une incidence sur l’application GlobalProtect basée policy
9393
Created On 10/20/22 10:49 AM - Last Modified 06/15/23 07:49 AM
Symptom
Une fois que GlobalProtect le client a établi le tunnel (IPsec ou SSL) avec GlobalProtect la passerelle, le n’envoie pas de GPC message HIPreportcheck et ne conduit pas à l’envoi de HIPreport.
- finalement, l’état hôte n’est pas envoyé à la GlobalProtect passerelle
- en l'absence de rapport sur la passerelle, l'accès de l'utilisateur aux ressources via la passerelle est affecté, car les stratégies de sécurité sont configurées avec l'état de l' HIP hôte pour correspondre à
Dans pan_gp_event.log, après la création du tunnel, il n’y a pas d’événements liés à HIP
[Info ]: Portal login completed with address portal.abc.com and conect method of user-logon. [Info ]: Network discovery started. [Info ]: Manual Gateway login finished with address gateway.abc.com and user username. [Info ]: IPSec tunnel creation finished with Gateway gateway.abc.com
Dans PanGPS.log, une séquence d’événements peut être remarquée,
- Le tunnel s’établit globalprotect
- HIP Le rapport est généré et est écrit dans un fichier, très bien
- HIPReportThread, découvre que le type de réseau est inconnu
- HIPreportcheck n’est pas envoyé et finalement, HIPreport n’est pas envoyé non plus
# the globalprotect tunnel is established and the status is connected (P5928-T17004)Debug( 278): HipCheckThread: check hip in other process. (P5928-T17004)Debug( 306): CheckHipInOtherProcess() (P5928-T17004)Debug( 310): Need to collect hip data (P5928-T14596)Dump (1030): status is Connected # the HIP report is read from PanGpHip & written to file -- so, the host state collection on the machine goes well (P5928-T17004)Debug( 140): Got hip report in other process ready event. (P5928-T17004)Debug( 159): Read output from PanGpHip.exe (P5928-T17004)Debug( 170): >>>CheckHip: hip report head size 11204 (P5928-T17004)Debug( 188): >>>CheckHip: total bytes read: 11204 (P5928-T17004)Debug( 198): write hip file now # HipReportThread performs discovers that the "network type" is unknown (P5928-T17004)Debug( 216): CheckHipInOtherProcess() sets hip report ready event. (P5928-T17004)Debug( 136): Wait for the ready event of hip report generated in other process. (P5928-T8540)Debug(6338): HipReportThread: got HIP report ready event. (P5928-T8540)Debug(6354): HipReportThread: wait for network discover ready event. (P5928-T8540)Debug(6359): HipReportThread: got network discover ready event. (P5928-T8540)Debug(6431): Sending hip report delay max registry setting is -1 seconds (P5928-T8540)Debug(6433): Set max sending hip report delay to default 1800 seconds (P5928-T8540)Debug(6449): v4 hip report is encoded (P5928-T8540)Debug(6472): HIP report v4 md5 digest is 9cabcc7b4d2d86a1666ddfe51fd25e4 * (P5928-T8540)Debug(6500): HipReportThread: network type is unknown network. (P5928-T8540)Dump (1030): status is Connected # the HIP report is not sent to the Gateway eventhough the Client is still connected; any access to resources via Gateway fails since it does not match the expected policy
- La nouvelle soumission du profil d’hôte à partir n’aide GlobalProtect pas non plus ; la nouvelle soumission traverse la séquence ci-dessus et s’arrête juste après HipReportThread identifiant le type de réseau comme inconnu
Environment
GlobalProtect passerelles sur ou sur Prisma Access site
- HIP Application de la sécurité policy basée sur
- Remarque : HIP l’évaluation des passerelles sur site GP nécessite une licence
Cause
Le problème ici est principalement lié à la « détection interne de l’hôte () » de l’étape deIHD découverte du réseau.
- Par défaut, la GlobalProtect passerelle doit savoir si le rapport est destiné à un HIP réseau interne ou externe correspondant au fichier policy.
- Comme il n’y a aucun concept qu’un rapport est envoyé pour un HIP type de réseau inconnu, HipReportThread ne poursuit pas avec hipreportcheck & hipreport.
(P5928-T20596)Debug(1943): Internal host detection is not defined (P5928-T20596)Debug(5881): NetworkDiscoverThread: network type is unknown. (P5928-T20596)Debug(5889): NetworkDiscoverThread: Discover internal network. (P5928-T20596)Info ( 376): Gateway count is 0 for internal network. * (P5928-T20596)Error(5922): NetworkDiscoverThread: UNKNOWN_NETWORK (internal host detection is not set) and internal gateway list is empty. (P5928-T20596)Debug(5967): NetworkDiscoverThread: Discover external network.
Resolution
1. GlobalProtect Le client doit savoir comment déterminer le type de réseau (interne/externe). Activez donc la détection interne de l’hôte sur la configuration de l’agent de portail.
- Bien que la détection interne de l’hôte ne soit pas une configuration obligatoire, elle est considérée comme une bonne pratique et évite ces cas de coin.
Additional Information
Dans un scénario idéal (lorsque le type de réseau est « connu »), le HipReportThread déclenche le message hipreportcheck , puis en fonction de la réponse de la passerelle, il déclenche l’envoi de hipreport.
- Remarque : lorsque les utilisateurs se connectent à la même passerelle et se connectent avec la même GlobalProtect configuration de l’agent de portail pour lesquels la détection interne de l’hôte n’est pas activée, la découverte du réseau peut parfois revenir correctement contrairement à ce qui précède. (cela peut nécessiter une discussion technique, cependant, avec IHD activé, cette rareté ne sera pas vue)
- Dans le même temps, ce problème peut se produire spécialement pour une combinaison sélectionnée de connect-method & gateway-type