Столкнулись со странной проблемой у удаленных пользователей, пытающихся подключиться через Global Protect к сетевым ресурсам за PA-220.
Проблема в том, что при подключении к VPN, клиент Global Protect не взаимодействует с ресурсами в сети, пока не обновишь соединение 4-5 раз, однако иногда он позволяет доступ сразу — это случайно, чаще всего нужно обновлять соединение несколько раз.
Иногда клиент Global Protect автоматически отключается и подключается заново в течение первой минуты, но это не всегда случается.
Проверил, что Global Protect получает правильные IP и DNS-серверы, которые присутствуют даже когда пинговать ничего за PA-220 не удается. Единственное заметное — в окне статуса клиента Global Protect ноль байт входящих и ноль пакетов входящих, хотя исходящий трафик и пакеты увеличиваются, что говорит о попытках клиента связаться с шлюзом.
Раньше у нас был другой релиз клиента Global Protect, и та же проблема наблюдалась.
Кто-нибудь сталкивался с похожей проблемой или знает, что может её вызывать, и как с ней бороться? Могу предоставить логи с клиента, если нужно.
Не уверен, связано ли это, но попробуйте отключить IPv6 на ваших удалённых машинах. Недавно была проблема (версия panos — не помню), которая оказалась багом из-за включенного IPv6 и SSL VPN.
Был похожий случай в версии 11.0.4-h1, где HIPChecks проходили несколько минут, а затем переставали, оставаясь только один HIPCheck на доменной машине. Это происходило, если использовать только Host-ID/Serial, без входа в домен. Решили обновлением до 11.1.2-h3, также помогло понизить версию до 11.0.3-h10. Похоже, в вашем случае есть более новая версия, которая, возможно, исправляет проблему. Стоит спросить инженера Palo Alto, известна ли эта проблема. Они знают о ней, но без ETA, когда будет исправление — так что советовали обновиться или понизить версию.
Не все известные проблемы внесены в их бюллетень. Удачи.