Qué información y registros se requieren recopilar al solucionar problemas relacionados con el dominio y la aplicación de túnel dividido
20196
Created On 07/05/21 14:44 PM - Last Modified 08/13/21 21:45 PM
Question
¿Qué información y registros se requieren recopilar al solucionar problemas relacionados con el dominio y la aplicación de túnel dividido?
Environment
- GlobalProtect App 4.1+ y con Pan-OS 8.1 y versiones posteriores
- Windows 7 Service Pack 2 y versiones posteriores y MacOS 10.10 y versiones posteriores.
- GlobalProtect puerta de enlace configurada con túnel dividido: por ejemplo, dominio y aplicación
Answer
En el dispositivo Windows:
- El primer paso es verificar si la configuración en el gateway para el "dominio del túnel dividido" o la "aplicación dividida" se ha empujado correctamente en GlobalProtect app o no.
- Verifique la tabla de conexiones en el equipo cliente y confirme que las aplicaciones específicas van a través de una interfaz física y no desde la interfaz de túnel, se puede utilizar el comando netstat -anob. También podemos comprobar el PCAP o para ver si hay firewall fugas de tráfico.
- Cambie el nivel de registro a "Dump" para asegurarse de que PanGPS.log contiene los registros de detalles relacionados con la funcionalidad de túnel dividido( En GlobalProtect app >Setting>Troubleshooting>Logging Level >Dump). Asegúrese de marcar la hora de la prueba (cuando se haya reproducido el problema), junto con el dominio al que se accede.
- Habilite a las capturas de paquetes wireshark en la máquina del cliente, en la interfaz física y del túnel para seguir el tráfico para un dominio específico. Se requiere tomar las capturas de paquetes para las interfaces físicas y del túnel al resolver problemas el problema del túnel dividido.
- Para obtener registros laterales detallados del kernel de Windows, que nos permiten ver la interacción entre el GlobalProtect controlador de filtro y el kernel, utilice DebugView.
- Ejecute dbgview.exe como administrador
- "Habilitar salida detallada del kernel" e iniciar "Capturar kernel" (Ctrl + K )
- Nota: Esto puede generar un gran número de registros y también puede afectar al rendimiento del punto final. Por favor, habilite esto solo cuando lo soliciten TAC los equipos de ingeniería.
En el dispositivo macOS:
- El primer paso es verificar si la configuración en el gateway para el "dominio del túnel dividido" o la "aplicación dividida" se ha empujado correctamente en GlobalProtect app o no.
- Verifique la tabla de conexiones en el equipo cliente y confirme que la aplicación específica va a través de una interfaz física y no desde la interfaz de túnel, se puede utilizar el comando 'netstat -arn' o 'lsof -n -i | <application>grep'.</application> También podemos comprobar el PCAP o para ver si hay firewall fugas detráfico.
- Comprobar si la GlobalProtect extensión del sistema está activa mediante
$ systemextensionsctl list
--- com.apple.system_extension.network_extension
enabled active teamID bundleID (version) name [state]
* * PXPZ95SK77 com.paloaltonetworks. GlobalProtect . client.extension (5.2.5-66/1) GlobalProtectExtension [activado habilitado]
Ejecute sudo launchctl list | comando grep palo para confirmar la presencia de
NetworkExtension.com.paloaltonetworks. GlobalProtect . cliente.extensión
--- com.apple.system_extension.network_extension
enabled active teamID bundleID (version) name [state]
* * PXPZ95SK77 com.paloaltonetworks. GlobalProtect . client.extension (5.2.5-66/1) GlobalProtectExtension [activado habilitado]
Ejecute sudo launchctl list | comando grep palo para confirmar la presencia de
NetworkExtension.com.paloaltonetworks. GlobalProtect . cliente.extensión
- Pasos para recopilar información:
- En Terminal, ejecutando "sudo tcpdump -i all -k INP -w gptest.pcapng" para capturar paquetes.
- Cambie el nivel de registro a "Dump" para asegurarse de que PanGPS.log contiene los registros de detalles relacionados con la funcionalidad de túnel dividido( En GlobalProtect app >Setting>Troubleshooting>Logging Level >Dump).
- Comience a reproducir el problema.
- Una vez que el problema se reproduce, detenga la captura de paquetes y recopile GP los registros del cliente. (En GlobalProtect app >Setting>Troubleshooting>Recoger registros)
- Recopilar gptest.pcapng y GP registros
- Asegúrese de marcar la hora de la prueba (cuando se haya reproducido el problema), junto con el nombre de dominio y el proceso de acceso al dominio.
- Asegúrese de volver a cambiar el nivel de registro del GlobalProtect cliente para depurar
Additional Information
- Para incluir/excluir aplicaciones, tenga en cuenta que MUST tiene todas esas aplicaciones instaladas antes de iniciar GP sesión. De lo contrario, tendrá que volver a conectarse GlobalProtect después de instalar esas aplicaciones. Compruebe que todas las rutas de acceso de la aplicación configuradas incluyen/excluyen la lista de aplicaciones existen en el dispositivo cliente antes GlobalProtect de iniciar sesión.
- Las reglas de la tunelización dividida se aplican solamente al TCP UDP tráfico/ al tráfico, así que ICMP /ping no está sujeto a las reglas de la tunelización dividida. No utilice ping para probar si se aplican las reglas de túnel dividido.
- Marque si hay un producto de la 3ra parte que pueda prevenir GlobalProtect de utilizar correctamente los filtros/las extensiones para realizar las operaciones del túnel dividido. La mayoría de las veces, se encuentran conflictos con DLP (Prevención de pérdida de datos), AV / AM (Antivirus / Anti-Malware) y otros VPN tipos de software. En este caso, tenemos que investigar si el problema está en el GlobalProtect lado o 3 ª parte proveedor.
- Para más consejos y trucos de Troubleshooting relacionados con el dominio del túnel dividido y la aplicación, refiera por favor al documento.
- Para la guía de configuración de esta característica refiera al Túnel dividido optimizado para y: GlobalProtect Dominio y aplicaciones del túnel dividido del GlobalProtectimplemente