VPNCLinux ディストリビューション上のクライアントのアクセス ルート ベースのスプリット トンネリング
Environment
- GlobalProtect ゲートウェイ。
- PAN-OS 8.1以上。
- VPNC Linux クライアント。
Resolution
概要
VPNC は、拡張認証 (Auth) をサポートするオープンソースのサードパーティ IPSec VPN クライアント X- であり、 VPN GlobalProtect 内部企業ネットワークにアクセスするためのゲートウェイへのトンネルを確立します。
サポートされている Auth IPSec クライアントの一覧については、次のリンクを参照 X- してください。
このドキュメントでは、クライアントがゲートウェイに接続されている場合のスプリット トンネリングのしくみについて説明 VPNC GlobalProtect します。
詳細
- VPNC接続を介して送信されるトラフィックのクライアント (または) からアクセス可能なネットワークを定義するには VPN 、アクセス ルート (スプリット トンネリングとも呼ばれます) を GlobalProtect ゲートウェイのクライアント設定に追加する必要があります。 GlobalProtect設定のテクニカル ノートを参照する
- ゲートウェイでアクセス ルートが設定されると GlobalProtect 、すべてのアクセス ルートの集約ルートがクライアントに送信されます VPNC 。 DNSサーバー アドレスが含まれている場合は、ルートを集約する際にもサーバー アドレスが考慮されます。
たとえば、次のようになります。
アクセス ルートにネットワーク 10.66.22.0/23 および 192.168.87.0/24 が含まれている場合、サードパーティ クライアントに送信される集約 VPNC ルートは、次に示すようにデフォルト ルート 0.0.0.0/0 になります。
> グローバル保護ゲートウェイゲートウェイ名の表示 test_vpnc
GlobalProtect ゲートウェイ: test_vpnc (0 ユーザー)
トンネルの種類: リモート ユーザー トンネル
トンネル名 : test_vpnc-N
トンネル ID : 7
トンネルインターフェイス: トンネル.1
エンキャップインターフェイス : ethernet1/3
継承からの継承 :
ローカルアドレス: 10.66.24.87
SSL サーバーポート: 443
IPSec エンキャップ : はい
トンネルネゴシエーション : ssl,ike
HTTP リダイレクト : いいえ
UDP ポート: 4501
最大ユーザー数 : 0
IP プール範囲 : 172.16.7.1 - 172.16.7.7;
IP プール インデックス: 0
次 IP へ : 0.0.0.0
DNS サーバー : 4.2.2.2
: 0.0.0.0
WINS サーバー : 0.0.0.0
: 0.0.0.0
アクセスルート: 10.66.22.0/23;192.168.87.0/24;
サードパーティ クライアントのアクセス ルート: 0.0.0.0/0
VSYSvsys1 (id 1)
SSL サーバー証明書 : SERVER_CERT
認証プロファイル : vpnc_auth
クライアント証明書プロファイル :
寿命: 2592000 秒
アイドルタイムアウト: 10800 秒
アクセス ルートにネットワーク 10.66.22.0/23 および 10.66.12.0/23 が含まれている場合、次に示すように、サードパーティ クライアントに送信される集約ルート VPNC は 10.66.0.0/19 です。
> グローバル保護ゲートウェイゲートウェイ名の表示 test_vpnc
GlobalProtect ゲートウェイ: test_vpnc (0 ユーザー)
トンネルの種類: リモート ユーザー トンネル
トンネル名 : test_vpnc-N
トンネル ID : 7
トンネルインターフェイス: トンネル.1
エンキャップインターフェイス : ethernet1/3
継承からの継承 :
ローカルアドレス: 10.66.24.87
SSL サーバーポート: 443
IPSec エンキャップ : はい
トンネルネゴシエーション : ssl,ike
HTTP リダイレクト : いいえ
UDP ポート: 4501
最大ユーザー数 : 0
IP プール範囲 : 172.16.7.1 - 172.16.7.7;
IP プール インデックス: 0
次 IP へ : 0.0.0.0
DNS サーバー : 10.66.22.77
: 0.0.0.0
WINS サーバー : 0.0.0.0
: 0.0.0.0
アクセスルート: 10.66.22.0/23;10.66.12.0/23;
サードパーティ クライアントのアクセス ルート: 10.66.0.0/19
VSYSvsys1 (id 1)
SSL サーバー証明書 : SERVER_CERT
認証プロファイル : vpnc_auth
クライアント証明書プロファイル :
寿命: 2592000 秒
アイドルタイムアウト: 10800 秒
注: クライアントに送信される集約ルート VPNC がデフォルト ルート(0.0.0.0/0)の場合、 VPNC 次に示すように、クライアントをスプリット トンネリング用に設定する必要があります。
クライアントに移動 VPNC し、[IPv4 設定] >ルートに移動します。
必要なアクセスルートを追加し、[ネットワーク上のリソースにのみこの接続を使用する] オプションがオンになっていることを確認します。
送信される集約ルートは GlobalProtect 0.0.0.0/0 ですが、次に示すようにネットワーク 10.66.22.0/23 へのアクセスのみが許可されます。
Linux ホストの端末出力:
tun0 リンクエンキャップ: UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:172.16.7.1 P-t- P :172.16.7.1 質問:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1412 メトリック:1
RX パケット:0エラー:0ドロップ:0オーバーラン:0フレーム:0
TX パケット:0エラー:0ドロップ:0オーバーラン:0キャリア:0
衝突:0txqueue1en:500
RXバイト:0(0.0) B TX バイト:0(0.0) B
クライアントに送信された集約ルートは VPNC 0.0.0.0/0 であったが、アクセス ルートは 192.168.87.0/24 に追加されなかった
トビー @ VirtualBox の: 〜 $ ping を192.168.87.1
PING 192.168.87.1 (192.168.87.1) 56 (84) バイトのデータ。
---192.168.87.1 ping の統計情報---
送信された 3 つのパケット、0 受信 、100% パケット損失、時間 2014ms
クライアントで 10.66.22.0/23 に追加されたアクセス ルート VPNC
トビー @ VirtualBox の: 〜 $ ping を10.66.22.87
PING 16.66.22.87 (16.66.22.87) 56 (84) バイトのデータ。
10.66.22.87 から64バイト: icmp_req = 1 ttl = 61 時間 = 6.87 ミリ秒
10.66.22.87 から64バイト: icmp_req = 2 ttl = 61 時間 = 2.02 ミリ秒
---16.66.22.87 ping の統計情報---
2 パケットが送信され、2 受信 、0% パケット損失、時間 1001 ミリ秒
rtt ミン/avg/max/mdev = 2.021/4.450/6.879/2.429 ms