Der Verkehr aus Subnetzen kommt nicht zur Firewall-GlobalProtect Gateway

Für (Full-Tunneling), geben Sie 0.0.0.0/0 als Zugriffs Route ein.  Der Vorteil dieser Konfiguration ist, dass Sie die Sichtbarkeit in den gesamten Kundenverkehr haben und Sie sicherstellen können, dass die Kunden nach Ihren Richtlinien gesichert sind, auch wenn Sie nicht physisch mit dem LAN verbunden sind. 

In dieser Konfiguration geht der Verkehr, der für das lokale Subnetz bestimmt ist, durch den physischen Adapter, anstatt zum Gateway getunnelt zu werden.

Auch wenn Sie die Zugriffs Route 0.0.0.0/0 erwähnt haben, kann es passieren,dass bestimmte Subnetze nicht die Palo Alto Networks Firewall erreichen, da diese Routen in Ihrer lokalen Routing-Tabelle genauer aufeinander abgestimmt sind.

• Entweder eine spezifischere Route für Split-Tunneling verwenden 
• Oder verwenden Sie eine Funktion, die in PAN OS 7.0. x eingeführt wurde und später

Das Feature in PAN OS 7.0 x ist es, keinen direkten Zugriff auf das lokale Netzwerk unter Gateway-Konfigurationen zu überprüfen. Dies verhindert, dass Nutzer den Verkehr an Proxies oder lokale Ressourcen senden, wie zum Beispiel einen Heimdrucker.

Wenn der Tunnel eingerichtet ist, wird der gesamte Verkehr durch den Tunnel geleitet, wo er der politischen Durchsetzung durch die Firewall unterliegt. Der gesamte Verkehr kommt durch den Tunnel und die örtliche Routing-Tabelle wird ignoriert.