帕洛阿尔托网络防火墙无法到达 GlobalProtect 客户端的路由

帕洛阿尔托网络防火墙无法到达 GlobalProtect 客户端的路由

20392
Created On 09/26/18 13:51 PM - Last Modified 06/02/23 19:26 PM


Resolution


详细

用户无法在 GlobalProtect 客户端上为其设备分配首选 ip, 因此在帕洛阿尔托网络防火墙上配置 ip 池是必需的。在用户身份验证之后, 防火墙将从其配置的池中为提供的和可用的 IPs 分配 IP。防火墙应通过配置的隧道接口自动创建路由。此自动生成的路由用作答复连接的 GlobalProtect 客户端的反向路由。

只有在虚拟路由器上分配隧道接口时, 防火墙才会为提供的/可用的 IPs 生成路由。应根据通信流选择虚拟路由器。

将 VR 绑定到隧道接口 (此隧道应与 GlobalProtect 网关上的配置相同):

转到网络 >> GlobalProtect > 网关 > 客户端配置, 下面是网关上的隧道接口:

网关隧道。Png隧道绑定。Png

下面显示的是用户身份验证和 IP 分配:

ipoffered。Png            ippool。Png

如下所示, 请参阅通过隧道提供的 ip 55.55.55.55/32 的路由. 55 和另一条路线为 55.55.55.56/32 为可利用的 ip 在水池。

默认情况下自动生成路由-VR:

隧道路线 55. PNG

注意:即使它是自动生成的路由, 防火墙也会将其标记为活动静态的.

所有者: skumarasam
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CluKCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language