GlobalProtect クライアントが複数の Isp を問題します。

問題

GlobalProtect クライアントは1つの isp 経由で接続しますが、インターネットに戻るトラフィックは他の isp 経由でルーティングされます。

解決方法

トポロジ

ファイアウォールには2つの isp (プライマリおよびセカンダリ) があります。ISP A はイーサネット1/1 に接続されているのに対し、アイジア B はイーサネット1/2 に接続されます。GlobalProtect クライアントは、プライマリインターフェイス、イーサネット1/1 に接続するように構成されています。

詳細

VPN クライアントの IP アドレスは、プライマリ ISP からのものです。この質問への答えは、パケットがトンネルに到着すると、ソース nat は、プライマリ ISP 用に構成された nat ポリシーに基づいて行われますが、管理面は、VR の静的ルート (これはイーサネット1/2 でトラフィックをルーティングすることです、その ip アドレスを使用して)、そしてそれは、ソース ip としてイーサネット1/1 パブリック ip を使用します。インターネット上のサーバーがパケットを受信すると、それはイーサネット1/1 の IP アドレスから供給されたパケットを受信し、それに応じてパケットをルーティングします, すなわち、イーサネットに宛てた 1/1.

解決方法

次のように2つの仮想ルーターを構成します。

• VR1: イーサネット 1/1 (プライマリ ISP)、トンネル x (SSLVPN ゾーン)

• VR2: イーサネット 1/2 (セカンダリ ISP)、イーサネット 1/3 (トラストゾーン)

• インターフェイスは次のようになります。

• VR2 のポリシーベースの転送 (PBF) ルートを作成して、VR1 を通過するように信頼ゾーンのトラフィックをルーティングし、次に示すようにイーサネット1/2 を通過するデフォルト/バックアップルートを設定します。

• VR1 は、イーサネット1/1 を介してインターネットに移動するデフォルトのルートを持つことになります。GlobalProtect/SSL クライアントが VR1 に接続すると、VR1 に設定されているデフォルトルートに従ってトラフィックがルーティングされます。

注意: VR2 のトラストゾーンと混在しないように、トンネルインタフェースには別のゾーンがあることを確認してください。

• セキュリティと NAT ポリシーをそれに応じて追加します。SSLVPN クライアントトラフィックは、プライマリ ISP を使用してインターネットに移動します。

所有者: kalavi