Quelles informations et quels journaux requis pour collecter lors de la résolution des problèmes liés au domaine et à l’application du tunnel partagé
20254
Created On 07/05/21 14:44 PM - Last Modified 08/13/21 21:45 PM
Question
Quelles informations et quels journaux doivent être collectés lors de la résolution des problèmes liés au domaine et à l’application du tunnel partagé ?
Environment
- GlobalProtect App 4.1+ et avec Pan-OS 8.1 et versions ultérieures
- Windows 7 Service Pack 2 et versions ultérieures et MacOS 10.10 et versions ultérieures.
- GlobalProtect passerelle configurée avec le split tunneling : par exemple, domaine et application
Answer
Sur le périphérique Windows :
- La première étape est de vérifier si la configuration sur la passerelle pour le « domaine de tunnel partagé » ou l'« application fractionnée » a été poussée correctement sur le GlobalProtect app ou non.
- Vérifiez la table de connexion sur l’ordinateur client et confirmez que des applications spécifiques vont par l’intermédiaire d’une interface physique et non de l’interface de tunnel, la commande netstat -anob peut être utilisée. Nous pouvons également vérifier le PCAP ou firewall pour voir s’il y a une fuite de trafic.
- Modifiez le niveau de journalisation sur « Dump » pour vous assurer que PanGPS.log contient les journaux de détails liés à la fonctionnalité de tunnel partagé ( Sous GlobalProtect app >Setting>Troubleshooting>Logging Level >Dump). Veillez à marquer l’heure du test (lorsque le problème a été reproduit), ainsi que le domaine auquel vous accédez.
- Activez les captures de paquets Wireshark sur l’ordinateur client, sur l’interface physique et de tunnel pour dépeter le trafic pour un domaine spécifique. Il est exigé de prendre les captures de paquet pour des interfaces physiques et de tunnel en dépannant la question de split-tunnel.
- Pour les journaux détaillés côté noyau de fenêtre, qui nous permettent de voir l’interaction entre le GlobalProtect pilote de filtre et le noyau, utilisez DebugView.
- Exécuter dbgview.exe en tant qu’administrateur
- « Activer la sortie détaillée du noyau » et démarrer « Capturer le noyau » (Ctrl + K )
- Remarque : Cela peut générer un grand nombre de journaux et peut également avoir un impact sur les performances du point de terminaison. Veuillez l’activer uniquement lorsqu’il est demandé par TAC des équipes ou des équipes d’ingénierie.
Sur un appareil macOS :
- La première étape est de vérifier si la configuration sur la passerelle pour le « domaine de tunnel partagé » ou l'« application fractionnée » a été poussée correctement sur le GlobalProtect app ou non.
- Vérifiez la table de connexion sur l’ordinateur client et confirmez que l’application spécifique passe par une interface physique et non par l’interface du tunnel, la commande 'netstat -arn' ou 'lsof -n -i | grep <application>'</application> peut être utilisée.Nous pouvons également vérifier le PCAP ou firewall pour voir s’il y a une fuite de trafic.
- Vérifiez si GlobalProtect l’extension système est active à l’aide de
$ systemextensionsctl list
--- com.apple.system_extension.network_extension
enabled active teamID bundleID (version) nom [état]
* * PXPZ95SK77 com.paloaltonetworks. GlobalProtect . client.extension (5.2.5-66/1) GlobalProtectExtension [activé]
Exécutez sudo launchctl list | commande grep palo pour confirmer la présence de
NetworkExtension.com.paloaltonetworks. GlobalProtect . extension client.
--- com.apple.system_extension.network_extension
enabled active teamID bundleID (version) nom [état]
* * PXPZ95SK77 com.paloaltonetworks. GlobalProtect . client.extension (5.2.5-66/1) GlobalProtectExtension [activé]
Exécutez sudo launchctl list | commande grep palo pour confirmer la présence de
NetworkExtension.com.paloaltonetworks. GlobalProtect . extension client.
- Étapes à suivre pour recueillir des renseignements :
- Dans Terminal, en exécutant « sudo tcpdump -i all -k INP -w gptest.pcapng » pour capturer des paquets.
- Modifiez le niveau de journalisation sur « Dump » pour vous assurer que PanGPS.log contient les journaux de détails liés à la fonctionnalité de tunnel partagé ( Sous GlobalProtect app >Setting>Troubleshooting>Logging Level >Dump).
- Commencez à reproduire le problème.
- Une fois le problème reproduit, arrêtez la capture de paquet et collectez les GP journaux du client. (Sous GlobalProtect app >Définition>Dépannage>Collecter les journaux)
- Collecter gptest.pcapng et GP les journaux
- Assurez-vous de marquer l’heure du test (lorsque le problème a été reproduit), ainsi que le nom de domaine et le processus d’accès au domaine.
- Assurez-vous de modifier le niveau de journalisation du GlobalProtect client pour déboguer
Additional Information
- Pour inclure/exclure des applications, veuillez noter que MUST toutes ces applications sont installées avant de vous GP connecter. Sinon, vous devez vous reconnecter après avoir GlobalProtect installé ces applications. Vérifiez que tous les chemins d’accès aux applications configurés incluent/excluent la liste des applications existent sur l’appareil client avant GlobalProtect la connexion.
- Les règles de fractionnement ne s’appliquent TCP UDP qu’à / trafic, ICMP de sorte que / ping n’est pas soumis à des règles de split-tunneling. N’utilisez pas ping pour tester si des règles de tunnel partagé sont appliquées.
- Vérifiez s’il existe un produit tiers 3rd qui peut empêcher GlobalProtect d’utiliser correctement des filtres/extensions pour effectuer des opérations de tunnel partagé. La plupart du temps, des conflits sont trouvés avec DLP (Data Loss Prevention), AV / AM (Anti-Virus / Anti-Malware), et d’autres VPN types de logiciels. Dans ce cas, nous devons déterminer si le problème est sur le côté ou le GlobalProtect fournisseur de la 3ème partie.
- Pour plus de conseils et d’astuces de dépannage liés au domaine et à l’application de tunnel partagé, référez-vous s’il vous plaît au document.
- Pour le guide de configuration de cette caractéristique référez-vous à la Segmentation de tunnel optimisée pour GlobalProtect et : GlobalProtectImplémentez le domaine et les applications de tunnel partagé