多个 Isp 的 GlobalProtect 客户端问题

问题

GlobalProtect 客户端通过一个 isp 连接, 但返回到 internet 的流量通过其他 isp 进行路由。

解决办法

拓扑结构

防火墙有两个 isp (主和辅)。ISP A 连接在以太网1/1 上, 而 ISB B 连接在以太网1/2 上。GlobalProtect 客户端配置为在主接口上连接, 以太网1/1。

详细

VPN 客户端的 IP 地址来自主 ISP。这个问题的答案是, 当数据包到达隧道时, 源 nat 是基于为主 ISP 配置的 nat 策略完成的, 但管理层将通过 VR 静态路由 (以太网 1/2) 路由通信量, 使用其 IP 地址), 它将使用以太网1/1 公共 ip 作为源 ip。当 internet 上的服务器接收到数据包时, 它将接收来自以太网 1/1 IP 地址的数据包, 并相应地路由数据包, 即目的地为以太网1/1。

解决办法

配置如下两个虚拟路由器:

• VR1: 以太网 1/1 (主 ISP), 隧道 x (SSLVPN 区)

• VR2: 以太网 1/2 (辅助 ISP), 以太网 1/3 (信任区域)

• 下面是接口应如何查找的内容:

• 为 VR2 创建基于策略的转发 (PBF) 路由, 以将信任区域通信路由到 VR1, 并有一个通过以太网1/2 的默认/备份路由, 如下所示:

• VR1 将有一个默认路由通过以太网1/1 进入互联网。GlobalProtect/SSL 客户端连接到隧道上的 VR1. x, 然后根据 VR1 上配置的默认路由路由通信。

注意:请确保隧道接口具有不同的区域, 以便它们不会与 VR2 上的信任区域混合使用.

• 相应地添加安全和 NAT 策略。SSLVPN 客户端通讯使用主 ISP 访问 internet。

所有者： kalavi