GlobalProtectのトラブルシューティング

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

Troubleshooting GlobalProtect

https://live.paloaltonetworks.com/t5/Management-Articles/Troubleshooting-GlobalProtect/ta-p/75770

 

GlobalProtectに関連した問題は、大きく以下のカテゴリに分類ができます:

 

  • GlobalProtectでポータルまたはゲートウェイに接続できない
  • GlobalProtect エージェントは接続したが、リソースにアクセスできない
  • その他

本文書は、GlobalProtectの幾つかのよくある問題と、トラブルシューティング方法のリストを提供します。読者がGlobalProtectの基本と設定について理解があることを前提としています。GlobalProtect resource guideをご参照ください。

 

訳注:  本文書における"GlobalProtectクライアント"は、一部を除いてWindows PCを前提としています。Windowsの操作手順についてはバージョンや設定によっては記述と異なる場合がありえます。

 

 

トラブルシューティングのツール

 

クライアント機器上でトラブルシューティングに使用するツール、ユーティリティ:

 

Ping/Traceroute

ポータル/ゲートウェイへの到達性の確認

Nslookup

ポータル/ゲートウェイのFQDN解決ができていることの確認

Ipconfig/ Ifconfig/ Netstat -nr / Route print

GlobalProtect クライアントによってインストールされたルートと GlobalProtectアダプター設定の確認

MMC (Windows)/Keychain Access (OSX)

CA証明書のインストールや、インストールされたCA証明書の確認

Wireshark

GlobalProtectクライアントとポータル/ゲートウェイ間のトランザクションのキャプチャ

Webブラウザー

GlobalProtectクライアントのダウンロードと、ポータル/ゲートウェイとクライアントとのSSL接続成功の確認

GlobalProtectエージェント

ホストの状態/詳細 タブ

接続状態の確認
GlobalProtectクライアント ログ GlobalProtectクライアントの詳細なデバッグログの確認

 

ファイアウォールでのトラブルシューティングに使用するツール:

 

  1. パケット キャプチャ:

    • データプレーン キャプチャ: パケット キャプチャの取得方法 
      クライアントとポータル/ゲートウェイ間のトランザクションの確認のためです。ファイアウォールがデータプレーン上でパケットを破棄しているかの確認に役立ちます。しかしSSLはオフロードされるため、キャプチャ上でパケットが欠落し、あまり有用でない場合があります。

    • マネジメント ポート キャプチャ: マネジメントインターフェイスでのパケットキャプチャの取得方法 
      ファイアウォールとLDAPサーバーとのトランザクション(認証用途)の確認のためです。

       

  2. デバッグ ログ: より詳細な情報を得るためには、デバッグを有効化する必要のある場合があります。

     

    appweb3-sslvpn.log

     

    すべてのSSL VPN関連の活動が記録されるメインのログです。

    他のデーモンとのコミュニケーションの追跡に使用できます。

     

    pan_packet_diag.log

     

    データ プレーン上での最初のクライアントからのSSL要求のハンドリングの確認のため、該当の通信はマネジメント プレーン(MP)上のsslvpnデーモンに送られます。

     

    authd.log

     

    GlobalProtectログイン時の認証の問題の確認。

    rasmgr.log

     

    クライアントのログイン/ログアウトやその他のバックエンドのログ。

    useridd.log 

     

    User-IPマッピングとHIPの確認。

  3. CLIコマンド:  Useful GlobalProtect CLI Commands.
  4. トラフィック ログ: クライアントからくるポータル/ゲートウェイのコネクションの確認、及び確立したGlobalProtectクライアントからリソースへのセッション詳細の確認。 

 

一般的なトラブルシューティングのアプローチ:

 

  1. 使用するシナリオに沿った、ドキュメントのとおりの正しい設定かを確認する。
  2. GlobalProtectへの接続が他から行えているのであれば、該当のクライアントにGlobalProtectクライアントが確実にインストールされているか。
  3. クライアントがポータル/ゲートウェイのFQDN名を解決できるか、クライアント上でnslookupを使用して確認。
  4. ウェブ ブラウザーを開き、次の URLを入力します: https://<Portal-IP/FQDN> かつ/または https://<Gateway-IP/FQDN>  これはポータル/ゲートウェイとの間でSSL通信が問題なく行えていることの確認となります。ウェブ ブラウザーはポータル/ゲートウエイからの証明書を容易にに確認できます。証明書に問題があれば、ブラウザーのエラーが切り分けの助けとなります。たとえば、
    • 署名した認証局が信頼されていない
    • 証明書のコモンネームがクライアントによって要求されたSNIと異なる、またはSANが適切なDNS名を含んでいない。
    • 証明書の有効期限切れ
    • 証明書チェーンに関する何らかの問題
  5. 上記のブラウザー ページが適切にロードされない場合、TCPハンドシェイクが完了しているかをWiresharkで確認します。フィルターip.addr==<Portal IP> or ip.addr==<gatewayIP>を使うのが適当でしょう。
  6. SYNパケットが送出されていてACKを受信していない場合、ファイアウォール上でセッションが生成されるか、パケットが破棄されていないか確認します。データプレーンのデバッグないしはグローバル カウンターとパケット キャプチャの比較をします。トラフィックが破棄されないよう、セキュリティー ポリシー、NATなどの確認をします。
  7. 上記の場合、データプレーンのリソースを確認することが有効な場合もあります。以下のコマンドでリソースの過剰な使用がないか確認します。

    > show running resource-monitor

    > debug dataplane pool statistics

  8. データプレーンでパケットが破棄されていない場合、更に情報を得るためappweb3-sslvpn.log を確認します。
  9. ブラウザー上でGlobalProtectログイン ページが適切にロードされない場合、ポータルにてクライアント証明書の認証が有効化されており、クライアント証明書を要求している可能性があります。
  10. 適切なクライアント証明書がマシン証明書ストア、ブラウザ-の証明書ストアにロードされていることを確認します。
  11. 「有効なクライアント証明書が必要です」というエラーが発生した場合は、ブラウザーとクライアント機器にクライアント証明書をインポートします。
    'Valid client certificate is required' error accessing portal address on Firefox 
    Internet Explorer Browser Error: "Valid client certificate required"
  12. GlobalProtectポータルのウェブ ページへのログインを試みます。これにより認証が機能していることを確認します。
  13. ログインできない場合、ファイアウォールのauthdのログに何のエラーが出力されているかを確認します。LDAP認証を使用している場合は、次の文書が参考になります。How to Troubleshoot LDAP Authentication
  14. ポータルのウェブ ページにログインできる場合、まだインストールしていない場合は、GlobalProtectエージェントをダウンロードしてインストールします。
  15. GlobalProtectエージェントを開き、必要な設定(ユーザー名/ パスワード / ポータル)を入力し、「接続」をクリックします。
  16. ステータス タブのメッセージが通知されます(訳注:Global Protect のバージョンによってはホーム タブ下部に表示)。
  17. 前述の「トラブルシューティングのツール」セクションで述べているGlobalProtectクライアントのログを収集し、zipで圧縮されたフォルダーを開きます。

  18. エラーメッセージを中心にログを確認し、是正処置またはトラブルシュートを行います。
  19. 同時により情報を得るために、mp-log/appweb3-sslvpn.logの確認が必要となるかもしれません。

 

よくある問題:

 

 

  • GlobalProtectエージェントは接続するが、リソースにアクセスできない

    1. GlobalProtectクライアント 仮想アダプターがIPアドレス、DNSサフィックス、アクセス ルートを持つことを確認します。GlobalProtectエージェントのパネルの詳細タブや次のコマンドラインツールなどを使用できます: ipconfig/all, ifconfig, nslookup, netstat -nr, route print 
    2. Palo Alto Networksファイアウォール、またはクライアントPCのファイアウォール、あるいは途中経路の何処かでポート4501をブロックしていないか確認します。これはGlobalProtectクライアントとファイアウォールの間でデータ通信のためにIPSecで使用されます。クライアントの物理インターフェイスでのpcap、あるいはファイアウォールでのpcapとdebugにより、パケットがいずれにおいても破棄されていないかを確認できます。
    3. ファイアウォールにGlobalProtectクライアントの仮想アダプターに割り当てたIPプールからの通信を許可する適切なセキュリティ ポリシーが設定されているかを確認します。該当のポリシーはトンネル インターフェイスのゾーンから保護されたリソースのゾーンの方向に対して設定されるはずです。トラフィック ログ、パケット キャプチャー、グローバル カウンターを伴ったデータプレーンのデバッグといったツールがこのトラブルシュートにおいて使用できます。GlobalProtect アダプターで送信したパケットのキャプチャーとファイアウォールで受信したパケットと互いの比較も有益です。
    4. ネットワーク上のGlobalProtectが応答トラフィックのために使用するIPプールに、適切なルートがあるかどうかを確認します。ダイナミック ルーティングを使用しているのであれば、Palo Alto Networks ファイアウォールでこれらのルートを再配信する必要があります。ファイアウォールがパケットをリソースに対して送出して何らかの応答を得ているかについては、ファイアウォールでの暗号化されていないトラフィックのキャプチャがその確認の手助けとなります。
    5. ファイアウォールがGlobalProtectクライアントからIP-Userマッピングを得ているか確認します。ファイアウォールがユーザーのグループを見つけられているかは > show user ip-user-mapping ip <ip>コマンドで確認できます。グループ マッピングが適切に作成されない場合、User-ID問題のトラブルシュートをします。

      Troubleshooting User-ID: Group and User-to-IP Mapping
       (日本語版: User-ID のトラブルシューティング:グループとユーザ-IP とのマッピング

      User-ID resource list

    6. ファイアウォールがHIPデータをGlobalProtectクライアントから得ているか、HIPオブジェクトがセキュリティー ルールで適切に設定かつ許可されているかを確認します。 How to Troubleshoot HIP Data