Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
GlobalProtect cliente emite con varios ISPs - Knowledge Base - Palo Alto Networks

GlobalProtect cliente emite con varios ISPs

41846
Created On 09/25/18 20:34 PM - Last Modified 08/05/19 20:36 PM


Resolution


Incidencia

Los clientes de GlobalProtect se conectan a través de un ISP, pero el tráfico que va de regreso a Internet se enruta a través del otro ISP.

 

Resolución

Topología

Firewall tiene dos ISPs (primario y secundario). El ISP A está conectado en Ethernet 1/1 mientras que el de la B es Ethernet 1/2. El cliente GlobalProtect está configurado para conectarse en la interfaz principal, Ethernet 1/1.

7-12-2012 9-44-01 AM. png

 

Detalles

La dirección IP del cliente VPN es del ISP principal. La respuesta a esta pregunta es que cuando el paquete llega al túnel, el NAT de origen se hace basándose en la Directiva NAT configurada para el ISP principal, pero el plano de administración ruteará el tráfico a través de la ruta estática VR (que es Ethernet 1/2 , usando su dirección IP), y usará la IP pública Ethernet 1/1 como una IP de origen. Cuando el servidor en Internet recibe el paquete recibirá el paquete de origen de una dirección IP de Ethernet 1/1 y enrutará los paquetes en consecuencia, es decir, destinados a Ethernet 1/1.

 

Resolución

 

Configure dos enrutadores virtuales como este:

  • VR1: Ethernet 1/1 (ISP primario), Tunnel. x (SSLVPN Zone)

7-12-2012 10-02-00 AM. png

  • VR2: Ethernet 1/2 (ISP secundario), Ethernet 1/3 (zona de confianza)

7-12-2012 10-02-37 AM. png

  • Aquí es cómo las interfaces deben mirar:

7-12-2012 10-03-25 AM. png

7-12-2012 10-04-36 AM. png

  • Cree una ruta basada en la Directiva de reenvío (PBF) para VR2 para enrutar el tráfico de la zona Trust para pasar a través de VR1 y tener una ruta predeterminada/copia de seguridad para pasar a través de Ethernet 1/2, como se muestra a continuación:

7-12-2012 10-05-26 AM. png

7-12-2012 10-06-37 AM. png

  • VR1 tendrá una ruta por defecto para ir a Internet a través de Ethernet 1/1. Los clientes de GlobalProtect/SSL se conectan al VR1 en Tunnel. x, luego el tráfico se enruta de acuerdo con la ruta predeterminada configurada en el VR1.

Nota: Asegúrese de tener una zona diferente para las interfaces de túnel para que no se mezclen con la zona de confianza en VR2.

  • Agregue las directivas de seguridad y NAT en consecuencia. El tráfico de cliente SSLVPN va a Internet utilizando el ISP principal.

 

Propietario: kalavi
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 240,023
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cli1CAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language