Aucun itinéraire sur le pare-feu de Palo Alto Networks pour atteindre les clients GlobalProtect
Resolution
Détails
Les utilisateurs ne peuvent pas affecter leur adresse IP préférée sur les clients GlobalProtect pour leurs périphériques, et il est donc obligatoire de configurer un pool IP sur le pare-feu de Palo Alto Networks. Après l'authentification de l'utilisateur, le pare-feu assignera une adresse IP à partir de son pool configuré pour les IPS offerts et disponibles. Le pare-feu doit créer automatiquement un itinéraire via l'interface de tunnel configurée. Cette route générée automatiquement est utilisée comme voie inverse pour répondre aux clients GlobalProtect connectés.
Le pare-feu va générer un itinéraire pour l'IPS offert/disponible, uniquement si l'interface tunnel est affectée sur un routeur virtuel. Le routeur virtuel doit être choisi selon le flux de trafic.
Liez VR à l'interface du tunnel (ce tunnel doit être le même configuré sur la passerelle GlobalProtect):
Accédez au réseau > GlobalProtect > Gateways > configuration du client, ci-dessous est l'interface tunnel sur la passerelle:
Ci-dessous est l'authentification de l'utilisateur et l'assignation IP:
Voir ci-dessous les itinéraires pour IP 55.55.55.55/32 via tunnel. 55 et un autre itinéraire pour 55.55.55.56/32 pour l'IP disponible sur le pool.
Route génération auto dans default-VR:
Remarque: même s'il s'agit d'une route générée automatiquement, le pare-feu l'indiquera comme active-static.
propriétaire: skumarasam