GlobalProtect Client stecken zu verbinden als Workstation im lokalen Netzwerk ist

Symptome

Wenn Nutzer, deren Computer mit globalprotect Client installiert sind, im internen Netzwerk sind, sind Sie nicht in der Lage, sich erfolgreich mit dem globalprotect Gateway oder Portal zu verbinden.  Während Nutzer, die versuchen, sich vom Internet zu verbinden, gut funktionieren.

Problem

Die häufigste Situation ist, wenn die globalprotect-Client-Nutzer im internen Netzwerk versuchen, sich mit dem Gateway oder Portal auf der externen Schnittstelle zu verbinden.  Die Kommunikation scheitert, weil die Firewall die Kommunikation als interne bis externe Zonen Kommunikation identifiziert und die Firewall die ausgehende NAT-Regel wählt, die die Quelladresse des Pakets an die externe Interface-IP-Adresse übersetzt. Da das Ziel im Paket bereits die IP-Adresse der externen Schnittstelle ist, scheint das Paket nun die gleiche Quell-und Ziel-IP-Adresse zu haben, die eine unbeabsichtigte LAN-Attacke erzeugen würde, so dass die Palo Alto Networks Firewalls diese Sitzungen.

Weitere Informationen finden Sie unter folgendem Link: nicht in der Lage, eine Firewall-Schnitt Stelle zu verbinden oder zu ping

Lösung

Wenn die globalprotect-Portal Lizenz auf der Firewall aktiviert ist, kann die beste Option sein, interne Gateways einzurichten und dem globalprotect-Client zu ermöglichen, das interne Gateway zu entdecken und sich mit ihm zu verbinden, so dass der Verkehr nicht getunnelt wird, wenn der Benutzer bereits auf der internes Netzwerk.

Um zu verstehen, wie interne Gateways funktionieren, siehe: globalprotect Configuration Tech Note

Das obige ermöglicht es dem internen Benutzer jedoch nicht, sich mit dem externen globalprotect-Portal zu verbinden. Wenn der Zugriff auf das Portal noch erforderlich ist, oder wenn es keine Lizenz gibt, dann kann eine NAT-Richtlinie konfiguriert werden, die als Ausnahme von der Standard-Outbound-NAT fungiert, wenn die Kommunikation nur an der Firewall-externen Schnittstelle erfolgt:

1. Machen Sie einen Klon der ausgehenden NAT-Regel.
2. Legen Sie es über die aktuelle Outbound-NAT-Regel.
3. Den Namen der Regel ändern.
4. Fügen Sie die IP-Adresse der externen Schnittstelle in das ursprüngliche Paket Ziel Adressfeld ein.
5. Ändern Sie das Feld der Quell Übersetzung auf keines.

Dies ermöglicht es internen Benutzern, sich mit dem externen Gateway oder Portal zu verbinden, ohne eine Quell Übersetzung zu durchlaufen und zu fallen.  Wenn sich die Nutzer an ein externes Gateway anschließen, wird Ihr Tunnel Verkehr noch verschlüsselt und über das interne Netzwerk in Richtung der externen Schnittstelle gesendet.

Besitzer: Astanton