iT邦幫忙

0

PALO ALTO SSL-VPN問題

paloalto globalprotect ssl vpn palo alto
sbear07 2022-09-27 09:22:431647 瀏覽

  • 分享至 

  • xImage

防火牆上有WAN1和WAN2兩條對外線路(不同ISP),並都開啟PA的GP SSL-VPN
1.WAN1的GP正常、ping和tracert都正常
2.WAN2的GP目前測試起來只要是中華電信的網路(手機熱點分享網路給筆電or光世代和ADSL)都會無法連線到WAN2的GP也ping和tracert不到,但只要透過非中華的網路則GP可以正常使用、ping和tracert都可以正常

設備廠商說為ISP業者的問題,但報修WAN2,已請查修人員查修
1.將筆電設定WAN2的IP並且直接接到MODEM後面,再透過中華的網路做ping和tracert為正常
2.使用一台Fortigate並設定ssl-vpn,再透過中華的網路做ssl-vpn連線和ping與tracert為正常

測試透過中華電信手機熱點分享給筆電,使用GP連線wan2並從PA上撈log給原廠分析(無法連線),回覆如下方,連線WAN2但卻跑到WAN1,這部分WAN2的ISP回覆是PA設定的問題非線路問題

並同時也請原廠support協助,回復如下:(e1/1 WAN1,e1/2 WAN2)
Please refer the logs below, we found it has the SYN ACK packet using this ISP, which is working as expected, and immediately following receive SYN packet again (then get in fastpath). The 'Route lookup in virtual-router 1, IP (手機熱點給筆電的IP)/Route found, interface ethernet1/1, zone 3, nexthop 6(WAN1的router IP)' and 'Transmit packet size 52 on port 16'(port id 16 is e1/1) indicates the packet has sent out from ethernet1/1 then, hence we suggest you to confirm with the other ISP on e1/1 - WAN to probe into where the packet drops, thank you.

Packet received at forwarding stage, tag 108374, type ATOMIC
Packet info: len 66 port 0 interface 17 vsys 1
wqe index 228011 packet 0x0x80000003161eb8c0, HA: 0, IC: 0
Packet decoded dump:
L2: 00:00:00:00:00:00->00:00:00:00:00:00, type 0x0800
IP: (WAN2 IP)->(手機熱點分享的IP), protocol 6
version 4, ihl 5, tos 0x00, len 52,
id 55899, frag_off 0x0000, ttl 64, checksum 13253(0x33c5)
TCP: sport 443, dport 50584, seq 2237298253, ack 3724531897,
reserved 0, offset 8, window 65535, checksum 34794,
flags 0x12 ( SYN ACK), urgent data 0, l4 data len 0
TCP option:
00000000: 02 04 05 78 03 03 02 01 01 01 04 02 ...x.... ....
Forwarding lookup, ingress interface 17
L3 mode, virtual-router 1
Route lookup in virtual-router 1, IP (手機熱點分享的IP)
Route found, interface ethernet1/1, zone 3, nexthop (WAN1的router IP)
Packet forwarded to different zone 3 than zone 7 in session 108374
Resolve ARP for IP (WAN1的router IP) on interface ethernet1/1
ARP entry found on interface 16
Transmit packet size 52 on port 16

目前設備廠商說為ISP問題,ISP業者反應已測試過筆電和Fortigate設備測試此線路和IP都沒有問題,請問從這個回覆能判斷是ISP問題或是PA的設定問題嗎?

謝謝

小處成就大事 iT邦研究生 1 級 ‧ 2022-09-27 10:43:34 檢舉
你可以到PALO ALTO的官方討論區找看看有沒有相關案例可循。
連結是我搜尋「palo alto ssl-vpn can not use mobile hotspot」找到的
https://live.paloaltonetworks.com/t5/globalprotect-discussions/vpn-connection-failure-for-mobile-hotspot/td-p/462054
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
bluegrass
iT邦高手 1 級 ‧ 2022-09-27 20:39:57

是你PA上的ECMP, 跟路由設定出問題

sbear07 iT邦新手 5 級 ‧ 2022-09-28 08:35:01 檢舉

請問我有查看PA上的設定,Network>Virtual Routers>只有一筆,且configuration的ECMP status: Disabled,是因為沒有開啟此功能和設定嗎?

bluegrass iT邦高手 1 級 ‧ 2022-09-28 20:00:19 檢舉

這是其中一問題

再來你WAN 1跟2 的METRIC 都要設成一樣

bluegrass iT邦高手 1 級 ‧ 2022-09-28 20:03:07 檢舉

https://ithelp.ithome.com.tw/upload/images/20220928/201020315nvu3TFh96.jpg

https://ithelp.ithome.com.tw/upload/images/20220928/201020316a1VduSwMu.jpg

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22217
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙