Jag undrar om det finns någon där ute som har satt upp och använder en DHCP-server för Global Protect-klienter? Jag inser att 11.2 är den blodigaste av den allra senaste koden men vi gör en POC och vill se om vi kan få detta att fungera!
Jag har följt olika konfigurationsdokument, hittat en irriterande AI-röstad video som var till hjälp på Infoblox-sidan, gjort alla möjliga paketspårningar och felsökningar, men kan bara inte få det att fungera. Faktum är att systemet inte ens genererar några DHCP-meddelanden alls. När jag startar klienten och ansluter mig går jag igenom processen och det står bara “Misslyckades att tilldela privat IP-adress” i Global Protect-loggarna.
Den betrodda gränssnittet är en L3-undernät och jag kan pinga åt båda hållen, säkerhetspolicyerna är tillåtande mellan zoner. Servicerutten för GP IP-hantering pekar ut mitt betrodda gränssnitt.
Som jag sa har jag gjort fångster och spårningar på alla gränssnitt och ser inte ett enda paket relaterat till DHCP, så de skickas antingen helt svartelistade till någonstans eller genereras inte alls.
Jag är helt förlorad nu.. Hjälper inte att jag inte rört Pan i cirka 6 år hehe 
Alla tips, råd, insikter tas tacksamt emot!
Åh! Det kan vara ett Layer 8-problem! Jag insåg precis att minsta klientversion är 6.2.1 som stödjer DHCP! Jag körde 6.2.0 med planer på att uppgradera. Jag har precis uppdaterat min klient och NU ser jag DHCP-förfrågningar gå ut på det betrodda gränssnittet! JA!
Jag har haft liknande problem. Våra primära DHCP-servrar är Linux-baserade med Kea och hade problem där den erkände DHCP-förfrågan (PCAP visar 8-10 DHCP-förfrågningar och den erkänner varje en). Men CDW-support sa oss att replikera med Windows eftersom det är dokumenterat innan de gör en buggrapport med Palo. Men i princip skulle den till slut få en leasing (kanske) efter 1-2 minuter men chansen var 90% att den misslyckades.
Tyvärr, när vi replikerade med Windows, fick vi liknande resultat, så det såg inte bra ut. I slutändan löste vi det på andra sätt (applikationer som behöver statiska IP:er ändrades).
Okej.. Det är galet.. Såg precis detta inlägg: https://www.reddit.com/r/paloaltonetworks/comments/1hdj8wo/til_panos_versions_have_limitations/
Skrolla ner lite och du ser:
Dataplane Interface som Servicerutt för gp-ip-mgmt
För 11.2 (och allting annat egentligen) står det: Inte Stöds (!)
Vad?? Det finns, jag ändrade det!
Är detta en situation där switchen egentligen inte är kopplad till något på baksidan?
Det skulle förklara varför jag inte ser något!"
Jag hittade ett annat tråd där någon nämner att du behöver skapa en dummy scope för nätverket för gränssnittet där DHCP-förfrågan kommer ifrån. Detta verkar vara korrekt eftersom jag såg loggposter i Infoblox som sa att den försökte begära något som inte existerade. Så jag skapade ett scope som mitt betrodda gränssnitt är på, och som magi fungerade det!
Tyvärr tar fan inte IP från det dummy-scopet!! Om jag inaktiverar det får jag inte något IP och Infoblox säger – Inga fria leasingar.. Duh! Min GP-gateway har rätt scope där, så det är inte problemet.
Det positiva är att DHCP faktiskt fungerar med lite pillande. Jag behöver bara lista ut om det finns ett sätt att åtgärda detta beteende eller om detta är en bugg! Min gissning är en bugg! hehe