Access Route-basiertes Split Tunneling für VPNC Client auf Linux-Distributionen
Environment
- GlobalProtect Gateway.
- PAN-OS 8.1 und höher.
- VPNC Linux-Client.
Resolution
Übersicht
VPNC ist ein Open-Source-IPSec-Client eines VPN Drittanbieters, der Extended Authentication ( X- Auth) unterstützt und einen Tunnel zu VPN GlobalProtect Gateways für den Zugriff auf interne Unternehmensnetzwerke erstellt.
Unter dem untenstehenden Link finden Sie eine Liste der unterstützten X- Auth IPSec-Clients:
Welche X- Auth IPSec-Clients werden unterstützt?
In diesem Dokument wird erläutert, wie Das Split-Tunneling funktioniert, wenn ein VPNC Client mit einem Gateway verbunden GlobalProtect ist.
Details
- Um Netzwerke zu definieren, auf die vom Client (oder) aus zugegriffen VPNC werden kann, damit Datenverkehr über die Verbindung gesendet werden VPN kann, müssen In der Clientkonfiguration des Gateways Zugriffsrouten (auch split tunneling genannt) hinzugefügt GlobalProtect werden. Siehe GlobalProtect Configuration Tech Note
- Wenn Zugriffsrouten auf dem Gateway konfiguriert GlobalProtect sind, wird eine aggregierte Route aller Zugriffsrouten an den VPNC Client gesendet. Wenn DNS Serveradressen enthalten sind, werden sie auch beim Aggregieren der Routen berücksichtigt.
Zum Beispiel:
Wenn die Zugriffsrouten die Netzwerke 10.66.22.0/23 und 192.168.87.0/24 enthalten, ist die aggregierte Route, die an den Drittanbieterclient gesendet wird, VPNC eine Standardroute 0.0.0.0/0, wie unten gezeigt.
> Global-Protect-Gateway Gateway Name test_vpnc
GlobalProtect Gateway: test_vpnc (0 Benutzer)
Tunneltyp: Remotebenutzer tunnel
Tunnelname : test_vpnc-N
Tunnel ID : 7
Tunnelschnittstelle : Tunnel.1
Encap-Schnittstelle : ethernet1/3
Vererbung von :
Lokale Adresse : 10.66.24.87
SSL Server-Anschluss : 443
IPSec Encap : ja
Tunnel-Verhandlung : ssl,ike
HTTP Umleiten : nein
UDP Anschluss : 4501
Max Benutzer : 0
IP Poolbereiche : 172.16.7.1 - 172.16.7.7;
IP Poolindex : 0
Nächster Artikel IP : 0.0.0.0
DNS Server : 4.2.2.2
: 0.0.0.0
WINS Server : 0.0.0.0
: 0.0.0.0
Zufahrtswege : 10.66.22.0/23; 192.168.87.0/24;
Zugriffsroute für Drittanbieter-Client: 0.0.0.0/0
VSYS: vsys1 (id 1)
SSL Server Cert : SERVER_CERT
Auth-Profil : vpnc_auth
Client-Zertifikat-Profil :
Lebensdauer : 2592000 Sekunden
Leerlaufzeit: 10800 Sekunden
Wenn die Zugriffsrouten die Netzwerke 10.66.22.0/23 und 10.66.12.0/23 enthalten, ist die aggregierte Route, die an den Drittanbieterclient gesendet VPNC wird, 10.66.0.0/19, wie unten gezeigt.
> Global-Protect-Gateway Gateway Name test_vpnc
GlobalProtect Gateway: test_vpnc (0 Benutzer)
Tunneltyp: Remotebenutzer tunnel
Tunnelname : test_vpnc-N
Tunnel ID : 7
Tunnelschnittstelle : Tunnel.1
Encap-Schnittstelle : ethernet1/3
Vererbung von :
Lokale Adresse : 10.66.24.87
SSL Server-Anschluss : 443
IPSec Encap : ja
Tunnel-Verhandlung : ssl,ike
HTTP Umleiten : nein
UDP Anschluss : 4501
Max Benutzer : 0
IP Poolbereiche : 172.16.7.1 - 172.16.7.7;
IP Poolindex : 0
Nächster Artikel IP : 0.0.0.0
DNS Server : 10.66.22.77
: 0.0.0.0
WINS Server : 0.0.0.0
: 0.0.0.0
Zufahrtswege : 10.66.22.0/23; 10.66.12.0/23;
Zugangsroute für Drittanbieter-Client: 10.66.0.0/19
VSYS: vsys1 (id 1)
SSL Server Cert : SERVER_CERT
Auth-Profil : vpnc_auth
Client-Zertifikat-Profil :
Lebensdauer : 2592000 Sekunden
Leerlaufzeit: 10800 Sekunden
Hinweis: Wenn die an den Client gesendete Aggregatroute VPNC eine Standardroute (0.0.0.0/0) ist, muss der VPNC Client für split-tunneling konfiguriert werden, wie unten gezeigt.
Navigieren Sie zum VPNC Client, und wechseln Sie zu IPv4-Einstellungen > Routen
Fügen Sie die erforderliche Zugangs Route hinzu und stellen Sie sicher, dass die Option "diese Verbindung nur für Ressourcen in Ihrem Netzwerk nutzen" überprüft wird.
Obwohl die aggregierte Route GlobalProtect 0.0.0.0/0 ist, ist der Zugriff nur auf das Netzwerk 10.66.22.0/23 erlaubt, wie unten gezeigt.
Die Terminal Ausgabe von Linux Host:
tun0 Link-Kapsel: UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:172.16.7.1 P- t- P :172.16.7.1 fragen:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1412 Metrisch:1
RX Pakete:0 Fehler:0 gelöscht:0 Überschreitungen:0 Rahmen:0
TX Pakete:0 Fehler:0 gelöscht:0 Überschreitungen:0 Träger:0
Kollisionen:0 txqueue1en:500
RX Bytes:0 (0,0 B ) TX Bytes:0 (0,0 B )
Die Zugriffsroute wurde für 192.168.87.0/24 nicht hinzugefügt, obwohl die an den Client gesendete Gesamtroute VPNC 0.0.0.0/0 war.
Tobby @ VirtualBox: ~ $ Ping 192.168.87.1
PING 192.168.87.1 (192.168.87.1) 56(84) Bytes an Daten.
---192.168.87.1 Ping Statistik---
3 übertragene Pakete, 0 empfangen, 100% Paketverlust,Zeit 2014ms
Zufahrtsroute für 10.66.22.0/23 im Client hinzugefügt VPNC
Tobby @ VirtualBox: ~ $ ping 10.66.22.87
PING 16.66.22.87 (16.66.22.87) 56(84) Bytes an Daten.
64 Bytes von 10.66.22.87: icmp_req = 1 TTL = 61 Time = 6.87 MS
64 Bytes von 10.66.22.87: icmp_req = 2 TTL = 61 Time = 2,02 MS
---16.66.22.87 Ping Statistik---
2 übertragene Pakete, 2 empfangen, 0% Paketverlust,Zeit 1001ms
RTT min/avg/max/mdev = 2.021/4.450/6.879/2.429 MS