Vi upplever följande problem med GlobalProtect 6.2/6.3 och PAN-OS 10.2 på ett PA-3220 aktiv/passiv-kluster just nu.
Helt oväntat, ibland efter PAN-OS-uppdateringar (hotfix/mindre), misslyckas flera användares klienter att ansluta till GlobalProtect-gatewayen. Klienten når portalen, men fastnar på “hittar bästa gateway”. Jag kan se i brandväggsloggar att klienten anslöt och tilldelades en IP från gatewayen. Men klienten fastnar bara i detta skede. Försöket att ansluta misslyckas aldrig eller timear ut, det pågår oavbrutet.
Trots att klientkonfigurationen använder split tunnel och är konfigurerad för att tillåta internetåtkomst om GP misslyckas att ansluta, är klienten helt offline när detta händer. GP-nätverksadaptern på klienten är inaktiverad i detta skede, och all trafik blockeras därför.
Nu har vi testat följande felsökningssteg utan framgång:
- avinstallera och installera om GlobalProtect
- helt rengöra och installera om GlobalProtect, inklusive registernycklar och temporära mappinnehåll
- helt rengöra och installera en nyare eller äldre version av GlobalProtect
- använda en annan anslutning (LAN, WiFi eller mobilt hotspot) för att ansluta klienten till internet
- återställa en användares inloggningsuppgifter
- något av ovanstående med att tvinga utloggning av GP-sessionen via PAN OS GUI
Inget fungerade. Det som alltid och utan undantag fungerar är att lägga till en ny klient-IP-pool till gatewayen, så när klienten begär en IP från GP-gatewayen, får den ett nytt, annat IP än det den tidigare hade. Ibland krävs det att vi raderar registernyckeln som sparar “föredraget IP” på klienten, men en omstart av klienten har också ibland fungerat.
Till exempel, när en GP-gateway har IP-poolen 10.10.0.0/24, kan klienten misslyckas att ansluta och det finns inget som kan ta den online igen.
Men, lägg till en andra IP-pool 10.10.1.0/24, och ge den högre prioritet, och klienten lyckas omedelbart ansluta.
Växla IP-poolprioriteringarna tillbaka så att 10.10.0.0/24 är överst igen, och klienten misslyckas att ansluta igen.
Vad kan orsaka detta? Detta är ohållbart. Jag kan inte fortsätta lägga till fler klient-IP-pooler (som sedan måste ingå i säkerhets- och NAT-regler) varje gång en klient misslyckas att ansluta. De drabbade klienterna har inga skäl att uppföra sig så här, eftersom IP-adressen som GP-gatewayen erbjuder inte konfliktar med andra IP:er i deras nätverk.