在排除拆分隧道域和应用程序相关问题时需要收集哪些信息和日志

在排除拆分隧道域和应用程序相关问题时需要收集哪些信息和日志

20174
Created On 07/05/21 14:44 PM - Last Modified 08/13/21 21:45 PM


Question


在排除拆分隧道域和应用程序相关问题时需要收集哪些信息和日志?

Environment


  • GlobalProtect App 4.1+ 和 Pan-OS 8.1 及以后版本
  • 窗口 7 服务包 2 和以后发布和 MacOS 10.10 及以后发布。
  • GlobalProtect 配置为拆分隧道的网关:例如,域和应用程序

Answer


在窗口设备上:
  • 第一步是验证"拆分隧道域"或"拆分应用程序"网关上的配置是否在"拆分隧道域"上正确推上 GlobalProtect app 。
  • 验证客户端机器上的连接表,并确认特定应用程序正在通过物理接口而不是隧道接口进行,可以使用netstat-anob命令。 我们也可以检查 PCAP 或 firewall 查看是否有交通泄漏。
  • 将日志级别更改为"转储",以确保 PanGPS .log 包含与拆分隧道功能相关的详细信息日志( GlobalProtect app 在>分站>可行射击>登录级别>Dump)下)。 请务必标记测试的时间(当问题被转载时),以及正在访问的域。
  • 启用客户端机器、物理界面和隧道接口上的 Wireshark 数据包捕获,以跟踪特定域的流量。 在排除拆分隧道问题时,需要为物理界面和隧道接口采集数据包。
  • 有关详细的窗口内核侧日志,允许我们查看 GlobalProtect 滤芯驱动程序和内核之间的交互,请使用 调试视图
    • 运行dbg视图.exe作为管理员
    • "启用冗长内核输出"并开始"捕获内核"(Ctrl + K )
    • 注意:这可以生成大量日志,也可能影响端点性能。 仅在工程团队提出要求时,请启用此 TAC 技术。

在 macOS 设备上:
  • 第一步是验证"拆分隧道域"或"拆分应用程序"网关上的配置是否在"拆分隧道域"上正确推上 GlobalProtect app 。
  •  验证客户端机器上的连接表,并确认特定应用程序是通过物理接口而不是从隧道接口,"netstat-arn""lsof-n-i | <application>grep"</application>命令可以使用。我们也可以检查 PCAP 或 firewall 看看是否有交通泄漏
  • 检查 GlobalProtect 系统扩展是否处于活动状态
$ 系统扩展列表
--- com.apple.system_extension.network_扩展
启用了活动团队ID捆绑(版本)名称[状态]**
PXPZ95SK77 com.帕洛尔顿特作品。 GlobalProtect客户端扩展 (5.2.5-66/1) 全球保护扩展 [已启用]
运行sudo 启动单| grep palo命令,以确认
网络扩展.com. GlobalProtect客户端扩展
  • 收集信息的步骤:
    • 在终端中,运行"超级tcpdump-i所有 INP -k-w gptest.pcapng"来捕获数据包。
    • 将日志级别更改为"转储",以确保 PanGPS .log 包含与拆分隧道功能相关的详细信息日志( GlobalProtect app 在>分站>可行射击>登录级别>Dump)下)。
    • 开始重现问题。
    • 问题重现后,停止数据包捕获并收集 GP 客户端日志。 ( GlobalProtect app 根据>安装>可操作射击>收集日志)
    • 收集 gptest. pcapng 和 GP 日志
    • 请务必标记测试时间(当问题已转载时),以及域名和访问域的过程。
    • 请务必将 GlobalProtect 客户端记录级别更改回调试

Additional Information


  • 对于包含/排除应用程序,请注意,在 MUST 登录之前已安装所有这些应用程序 GP 。 否则,您必须在 GlobalProtect 安装这些应用程序后重新连接。 在登录之前,请仔细检查配置的所有应用程序路径是否包含/排除应用程序列表是否存在于客户端设备上 GlobalProtect 。
  • 拆分隧道规则仅适用于 TCP / UDP 流量,因此 ICMP /ping 不受拆分隧道规则的约束。 不要使用 ping 来测试是否应用了拆分隧道规则。
  • 检查是否有第三方产品可以 GlobalProtect 防止正确使用过滤器/扩展来执行拆分隧道操作。 大多数情况下,冲突都与 DLP (数据损失预防 AV AM )、/(防病毒/防恶意软件)和其他 VPN 类型的软件有关。 在这种情况下,我们需要调查问题是否站在一 GlobalProtect 边或第三方供应商。
  • 有关拆分隧道域和应用程序的更多故障排除提示和技巧,请参阅文档
  • 有关此功能的配置指南,请参阅优化拆分隧道,用于 GlobalProtectGlobalProtect:实现拆分隧道域和应用程序
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMHECA2&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language