Welche Informationen und Protokolle bei der Behandlung von Split-Tunnel-Domänen- und Anwendungsproblemen erfasst werden müssen
20176
Created On 07/05/21 14:44 PM - Last Modified 08/13/21 21:45 PM
Question
Welche Informationen und Protokolle müssen bei der Behandlung von Split-Tunnel-Domänen- und Anwendungsproblemen erfasst werden?
Environment
- GlobalProtect App 4.1+ und mit Pan-OS 8.1 und höher
- Windows 7 Service Pack 2 und höher und MacOS 10.10 und höhere Versionen.
- GlobalProtect Gateway, das mit Split-Tunneling konfiguriert ist: z. B. Domäne und Anwendung
Answer
Auf Dem Window-Gerät:
- Der erste Schritt besteht darin, zu überprüfen, ob die Konfiguration auf dem Gateway für "Split Tunnel Domain" oder "Split Application" korrekt auf die Übertragen wurde GlobalProtect app oder nicht.
- Überprüfen Sie die Verbindungstabelle auf dem Clientcomputer und vergewissern Sie sich, dass bestimmte Anwendungen über eine physische Schnittstelle und nicht über die Tunnelschnittstelle laufen, der Befehl netstat -anob kann verwendet werden. Wir können auch PCAP überprüfen, ob firewall der Verkehr undicht ist.
- Ändern Sie die Protokollierungsstufe in "Dump", um sicherzustellen, dass PanGPS.log die Detailprotokolle zur Split-Tunnel-Funktionalität enthält( Unter GlobalProtect app >Setting>Troubleshooting>Logging Level >Dump). Stellen Sie sicher, dass Sie den Zeitpunkt des Tests (wenn das Problem reproduziert wurde) zusammen mit der Domäne, auf die zugegriffen wird, markieren.
- Aktivieren Sie Wireshark-Paketerfassungen auf dem Clientcomputer, auf der physischen und tunnelfähigen Schnittstelle, um den Datenverkehr für eine bestimmte Domäne zu verfolgen. Bei der Behebung des Split-Tunnel-Problems müssen die Paketerfassungen sowohl für physische als auch für Tunnelschnittstellen verwendet werden.
- Für detaillierte Window Kernel-Seitenprotokolle, die es uns ermöglichen, die Interaktion zwischen dem Filtertreiber und dem Kernel zu GlobalProtect sehen, verwenden Sie DebugView.
- führen Sie dbgview.exe als Administrator aus
- "Enable Verbose Kernel Output" und Start "Capture Kernel" (Strg + K )
- Hinweis: Dies kann eine große Anzahl von Protokollen generieren und sich auch auf die Endpunktleistung auswirken. Bitte aktivieren Sie dies nur, wenn es von TAC oder Engineering-Teams angefordert wird.
Auf macOS-Gerät:
- Der erste Schritt besteht darin, zu überprüfen, ob die Konfiguration auf dem Gateway für "Split Tunnel Domain" oder "Split Application" korrekt auf die Übertragen wurde GlobalProtect app oder nicht.
- Überprüfen Sie die Verbindungstabelle auf dem Clientcomputer und vergewissern Sie sich, dass eine bestimmte Anwendung über eine physische Schnittstelle und nicht über die Tunnelschnittstelle verwendet wird, es können die Befehle 'netstat -arn' oder 'lsof -n -i | grep <application>'</application> verwendet werden.Wir können auch PCAP überprüfen, ob firewall der Verkehr undichtist.
- Überprüfen Sie, ob GlobalProtect die Systemerweiterung aktiv ist, indem Sie
$ systemextensionsctl list
--- com.apple.system_extension.network_extension
enabled active teamID bundleID (version) name [state]
* * PXPZ95SK77 com.paloaltonetworks. GlobalProtect . client.extension (5.2.5-66/1) GlobalProtectExtension [aktiviert aktiviert]
Führen Sie sudo launchctl list | Befehl grep palo aus, um das Vorhandensein von
NetworkExtension.com.paloaltonetworks zu bestätigen. GlobalProtect . client.extension
--- com.apple.system_extension.network_extension
enabled active teamID bundleID (version) name [state]
* * PXPZ95SK77 com.paloaltonetworks. GlobalProtect . client.extension (5.2.5-66/1) GlobalProtectExtension [aktiviert aktiviert]
Führen Sie sudo launchctl list | Befehl grep palo aus, um das Vorhandensein von
NetworkExtension.com.paloaltonetworks zu bestätigen. GlobalProtect . client.extension
- Schritte zum Sammeln von Informationen:
- Führen Sie in Terminal "sudo tcpdump -i all -k INP -w gptest.pcapng" aus, um Pakete zu erfassen.
- Ändern Sie die Protokollierungsstufe in "Dump", um sicherzustellen, dass PanGPS.log die Detailprotokolle zur Split-Tunnel-Funktionalität enthält( Unter GlobalProtect app >Setting>Troubleshooting>Logging Level >Dump).
- Beginnen Sie mit der Reproduktion des Problems.
- Sobald das Problem reproduziert wurde, stoppen Sie die Paketerfassung und sammeln GP Sie Clientprotokolle. (Unter GlobalProtect app >Einstellungen>Fehlerbehebung>Protokolle sammeln)
- Sammeln von gptest.pcapng und GP Protokollen
- Stellen Sie sicher, dass Sie den Zeitpunkt des Tests (wenn das Problem reproduziert wurde) zusammen mit dem Domänennamen und dem Prozess, der auf die Domäne zugreift, markieren.
- Stellen Sie sicher, dass Sie den GlobalProtect Clientprotokolliergrad wieder in Debuggen ändern.
Additional Information
- Beachten Sie bitte, dass Sie MUST alle diese Anwendungen vor der Anmeldung installiert haben, um Anwendungen einzuschließen/auszuschließen. GP Andernfalls müssen Sie nach der Installation dieser Anwendungen erneut eine Verbindung GlobalProtect herstellen. Überprüfen Sie vor der Anmeldung, ob alle konfigurierten Anwendungspfade der Ein-/Ausschlussanwendungsliste auf dem Clientgerät vorhanden GlobalProtect sind.
- Split-Tunneling-Regeln gelten nur für TCP / UDP Verkehr, so ICMP /ping unterliegt nicht Split-Tunneling-Regeln. Verwenden Sie ping nicht, um zu testen, ob Split-Tunnel-Regeln angewendet werden.
- Überprüfen Sie, ob es ein 3rd-Party-Produkt gibt, das verhindern kann, dass GlobalProtect Filter/Erweiterungen ordnungsgemäß verwendet werden, um Split-Tunnel-Operationen durchzuführen. Meistens werden Konflikte mit DLP (Data Loss Prevention), AV / AM (Anti-Virus/Anti-Malware) und anderen VPN Arten von Software gefunden. In diesem Fall müssen wir untersuchen, ob das Problem auf der Seite oder auf dem GlobalProtect 3rd-Party-Anbieter liegt.
- Weitere Tipps und Tricks zur Fehlerbehebung im Zusammenhang mit Split Tunnel Domain & Application finden Sie im Dokument.
- Das Konfigurationshandbuch für dieses Feature finden Sie unter Optimiertes Split-Tunneling für GlobalProtect GlobalProtectund: Implementieren von Split-Tunnel-Domänen und -Anwendungen