GlobalProtect Client émet avec plusieurs fournisseurs de services Internet

GlobalProtect Client émet avec plusieurs fournisseurs de services Internet

36774
Created On 09/25/18 20:34 PM - Last Modified 08/05/19 20:36 PM


Resolution


Demande client

Les clients GlobalProtect se connectent via un FAI, mais le trafic qui retourne à Internet est acheminé via L'autre FAI.

 

Résolution

Topologie

Firewall a deux FAI (primaire et secondaire). L'ISP A est connecté sur Ethernet 1/1 alors que L'ISB B est connecté sur Ethernet 1/2. Le client GlobalProtect est configuré pour se connecter sur l'interface principale, Ethernet 1/1.

7-12-2012 9-44-01 AM. png

 

Détails

L'adresse IP du client VPN provient du FAI principal. La réponse à cette question est que lorsque le paquet arrive au tunnel, le NAT source se fait en fonction de la stratégie NAT configurée pour le FAI principal, mais le plan de gestion acheminera le trafic via la route statique VR (qui est Ethernet 1/2 , en utilisant son adresse IP), et il va utiliser l'Ethernet 1/1 IP publique comme une source IP. Lorsque le serveur sur Internet reçoit le paquet, il recevra des paquets provenant d'une adresse IP d'ethernet 1/1 et il acheminera les paquets en conséquence, c'est à dire destiné à Ethernet 1/1.

 

Résolution

 

Configurez deux routeurs virtuels comme ceci:

  • VR1: Ethernet 1/1 (fournisseur principal), tunnel. x (zone SSLVPN)

7-12-2012 10-02-00 AM. png

  • VR2: Ethernet 1/2 (ISP secondaire), Ethernet 1/3 (zone Trust)

7-12-2012 10-02-37 AM. png

  • Voici comment les interfaces devraient regarder:

7-12-2012 10-03-25 AM. png

7-12-2012 10-04-36 AM. png

  • Créez une route de transfert de stratégie (PBF) pour VR2 pour acheminer le trafic de la zone d'approbation vers VR1 et disposer d'un Itinéraire par défaut/sauvegarde pour passer par Ethernet 1/2, comme indiqué ci-dessous:

7-12-2012 10-05-26 AM. png

7-12-2012 10-06-37 AM. png

  • VR1 aura un itinéraire par défaut pour aller à Internet via Ethernet 1/1. Les clients GlobalProtect/SSL se connectent au VR1 sur tunnel. x, puis le trafic est routé en fonction de l'itinéraire par défaut configuré sur le VR1.

Remarque: Assurez-vous d'avoir une zone différente pour les interfaces de tunnel afin qu'elles ne se mélangent pas avec la zone de confiance sur VR2.

  • Ajoutez les stratégies de sécurité et de NAT en conséquence. Le trafic client SSLVPN va à Internet en utilisant le FAI principal.

 

propriétaire : kalavi
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cli1CAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language