Trafic de sous-réseaux ne venant pas à Firewall-GlobalProtect Gateway

Pour (tunnel complet), entrez 0.0.0.0/0 comme route d'accès.  L'avantage de cette configuration est que vous avez une visibilité dans tout le trafic client et vous pouvez vous assurer que les clients sont sécurisés en fonction de votre stratégie, même lorsqu'ils ne sont pas physiquement connectés au réseau local. 

Dans cette configuration, le trafic destiné au sous-réseau local passe par l'adaptateur physique, plutôt que d'être tunnelé vers la passerelle.

Même à travers vous avez mentionné Access route 0.0.0.0/0, il peut happen que certains sous-réseaux n'atteignent pas le pare-feu de Palo Alto Networks, parce que ces itinéraires ont une correspondance plus précise dans leur table de routage locale.

• Soit utiliser un itinéraire plus spécifique pour le Split-Tunneling 
• Ou utilisez une fonctionnalité introduite dans Pan OS 7.0. x et versions ultérieures

La fonctionnalité de Pan OS 7.0 x consiste à ne vérifier aucun accès direct au réseau local sous configurations de passerelle. Cela empêche les utilisateurs d'envoyer du trafic vers des proxies ou des ressources locales, telles qu'une imprimante à domicile.

Lorsque le tunnel est établi, tout le trafic est ensuite acheminé par le tunnel où il est soumis à l'application des règles par le pare-feu. Tout le trafic passe par le tunnel et la table de routage locale est ignorée.