Global Protect 6.2.3-270 настроен с использованием SSL VPN
Несколько клиентов Windows 10 и 11
Всем привет,
Мы сталкиваемся с странной проблемой: удалённые пользователи пытаются подключиться через Global Protect для доступа к сетевым ресурсам за PA-220.
Проблема в том, что при соединении с VPN клиент Global Protect не взаимодействует с ресурсами сети, пока не обновите соединение 4-5 раз, хотя иногда доступ к ресурсам происходит с первого раза — ситуация бывает спорадической, но чаще всего приходится обновлять соединение несколько раз.
Иногда клиент Global Protect автоматически отключается и вновь подключается в течение первой минуты, но это не всегда происходит.
Я проверил, что Global Protect получает правильные IP и DNS-серверы, которые присутствуют даже при невозможности пинга чего-либо за PA-220. Единственное заметное — в окне статуса клиента Global Protect отображаются нулевые байты и нулевые пакеты, входящие, однако исходящие байты и пакеты увеличиваются, что указывает на попытки клиента связаться с шлюзом.
Ранее мы использовали другую версию клиента Global Protect, которая тоже сталкивалась с той же проблемой.
Кто-то сталкивался с подобной проблемой или знает, в чем может быть причина, или как можно провести диагностику? Могу предоставить логи с клиента, если это поможет.
Не уверен, связано ли это, но попробуйте отключить IPv6 на ваших удалённых машинах. Недавно была проблема (версия PanOS меня не интересует), связанная с багом при включённом IPv6 и использовании SSL VPN.
Проверьте ваши исходящие URL-адреса на *.chime.aws трафик… скорее всего, ничего, но мне интересно, если вы его заметите, когда начнёт появляться ваш трафик.
Была похожая проблема на версии 11.0.4-h1, когда HIP-проверки проходили несколько минут, а затем начинали проваливаться, и база данных удерживала только одну HIP-проверку на любой доменной актив. Таинственно, если использовать только Host-ID/Serial устройства без входа в домен, всё работало без проблем.
Мы решили проблему обновлением до 11.1.2-h3, альтернативным решением было понижение до 11.0.3-h10.
Похоже, что в вашей ситуации есть более новая версия, интересно, исправили ли эту проблему. Возможно, стоит обратиться к инженеру Palo Alto, чтобы узнать, сообщали ли о такой проблеме. Кажется, они в курсе, но без ETA, когда это исправят в 11.0.x, потому и проводили исследования и советовали обновление или понижение.
Некоторые известные проблемы могут не быть отражены в бюллетене.
Не нужно устанавливать 10.2.0, достаточно его скачать перед установкой любой другой версии 10.2.x. Могу подтвердить, что баг всё ещё существует в 10.1.12.
Раньше я всегда скачивал и устанавливал базовую версию x.x.0, а затем— последнюю версию этого релиза перед переходом к следующему базовому релизу. Не знал, что нужно просто скачать, а не устанавливать — это могло бы сэкономить мне кучу времени. Думаю, это связано с файлами внутри скачанного базового релиза?
Спасибо за подтверждение, что проблема всё ещё есть в 10.1.12. Тогда я пропущу эту версию, чтобы сэкономить время — это PA-220, и установка и коммиты там занимают очень много времени.
