Túnel dividido y lleno de GlobalProtect hace que los usuarios conectarse a través de SSL en bucle

Incidencia

Bajo red > GlobalProtect > portales allí son dos puertas de enlace GlobalProtect; Gateway1 (GW1) terminó en la interfaz física ethernt1/1, IP 88.88.88.88 y Gateway2 (GW2) terminado en loopback IP 1.1.1.1.  En la ficha Configuración de cliente, GW1 se está utilizando para túnel de Split y GW2 para túnel completo, como se muestra a continuación:

Dentro de información del usuario para GW2, observe los usuarios conectando en la entrada de GlobalProtect terminada en la interfaz de loopback se conectan siempre a través de SSL, (aunque los usuarios usando GW1 pueden conectarse a través de IPSec).

Causa

Es un comportamiento esperado. El cliente de GlobalProtect hará una conexión SSL VPN a dirección IP 88.88.88.88 en el puerto 443 para el túnel de división o dirección IP 88.88.88.88 en puerto 444 (coordinó a 1.1.1.1 puerto 443) para el túnel completo, dependiendo de que GlobalProtect cliente Configuración usuario en partidos. Con las conexiones respectivas teniendo éxito, GlobalProtect hará una conexión IPSec en Puerto 4501 internamente. La conexión de dirección y puerto IP interna seguirá siendo el mismo, por ejemplo 88.88.88.88 en Puerto 4501 túnel dividida y completa.

Esta solicitud puede ser recibida por el túnel de Split en la física del interfaz ethernet 1/1, o por completo del túnel en la interfaz de loopback por originarios 88.88.88.88:4501 a 1.1.1.1:4501. Split y túnel completo no pueden recibir la solicitud de IPSec.

Para obtener más información sobre GlobalProtect con una puerta de enlace, Split y túnel completo, haga referencia al siguiente documento: uso de global Protect con una puerta de enlace y ambos túnel de Split-Full

Propietario: csharma