PULSE Secure Gateway (ehml. Juniper): Abgelaufene Zertifikate auf dem Gateway

Im Logfile des PULSE Secure Gateways tauchen Meldungen auf, dass irgendwelche Zertifikate abgelaufen sind. ZERTIFIKAT is about to expire within 60 days.   Es handelt sich um die Zertifikate der Trusted Server CAs.   Wenn diese CA’s nicht verwendet werden, würde ich keine Aktualisierung machen und die abgelaufenen Zertifikate löschen. Das kann man herausfinden, in dem geprüft wird, ob der Client SSL Zertifikatswarnung erhält, wenn er sich entweder zu Juniper MAG verbindet oder die externen Ressourcen über die Juniper aufruft. Normalerweise werden nur einige bekannte RootCA’s in der Produktivumgebung (z.B. Verisign, Symantec, Thawte, GoDaddy etc.) verwendet. Wichtig ist vor allem von welcher CA das öffentliche Zertifikat von Juniper ausgestellt wurde. Diese muss natürlich vorhanden sein. Alles andere, wenn der Anwender …

weiterlesen ….

PULSE Gateway verschickt DHCP Requests für ein falsches Netz (Check IPv4 Address Pools / DHCP server state)

FEHLER auf der JSA: VPN Tunneling: IPv4 address cannot be allocated to user melantaki. Solution: Check IPv4 Address Pools / DHCP server state. Wenn das Pulse Gateway keine IP besorgen kann, dann schickt es einfach eine falsche Anfrage:   So sieht der falsche Request mit der DHCP Option 118 aus (49.48.46.49) Und so soll er ausehen: Auf dem Blucat IPAM sieht es dann so aus: Apr 24 13:23:04 b0a881466n dhcpd: DHCPDISCOVER from 55:4e:cf:fe:ff:ff via 185.9.110.71: unknown network segment Apr 24 13:23:06 b0a881466n dhcpd: DHCPDISCOVER from 55:4e:cf:fe:ff:ff via 185.9.110.71: unknown network segment Apr 24 13:23:12 b0a881466n dhcpd: DHCPDISCOVER from 55:4e:cf:fe:ff:ff via 185.9.110.71: unknown network segment Und so kann man sich diese Zeilen anschauen: Apr 25 11:57:56 b0a881466n dhcpd: DHCPDISCOVER from 55:4e:20:01:00:00 …

weiterlesen ….