GlobalProtect cliente atascado en conexión al sitio de trabajo es en la red Local

Síntomas de

Cuando los usuarios cuyos equipos instalados con el cliente GlobalProtect están en la red interna, no pueden conectarse correctamente a la puerta de enlace o al portal de GlobalProtect.  Mientras que los usuarios que intentan conectarse desde Internet funcionan bien.

Incidencia

La situación más común es cuando los usuarios de GlobalProtect Client en la red interna intentan conectarse a la puerta de enlace o al portal de la interfaz externa.  La comunicación falla porque el cortafuegos identifica la comunicación como interna a la comunicación de zona externa y el cortafuegos elige la regla NAT saliente que traduce la dirección de origen del paquete a la dirección IP de la interfaz externa. Dado que, el destino en el paquete ya es la dirección IP de la interfaz externa, el paquete ahora parece tener la misma dirección IP de origen y destino que crearía un ataque LAN no intencional, por lo que los cortafuegos de Palo Alto Networks caen Sesiones.

Consulte el siguiente enlace para obtener más información: no se puede conectar a o ping a una interfaz de cortafuegos

Resolución

Si la licencia del portal GlobalProtect está activada en el cortafuegos, la mejor opción puede ser configurar pasarelas internas y habilitar GlobalProtect cliente para descubrir la puerta de enlace interna y conectarse a ella para que el tráfico no se tuneliza cuando el usuario ya está en el red interna.

Para entender cómo funcionan las pasarelas internas, ver: GlobalProtect configuración de la tecnología Nota

Sin embargo, lo anterior no permite al usuario interno conectarse al portal GlobalProtect externo. Si todavía se requiere el acceso al portal, o si no hay ninguna licencia, se puede configurar una directiva NAT que actúe como una excepción a la NAT saliente predeterminada cuando la comunicación es sólo para la interfaz externa del cortafuegos:

1. Haga un clon de la regla NAT saliente.
2. Colóquelo por encima de la regla NAT saliente actual.
3. Cambiar el nombre de la regla.
4. Agregue la dirección IP de la interfaz externa al campo de dirección de destino del paquete original.
5. Cambie el campo de traducción de origen a none.

Esto permite que los usuarios internos se conecten a la puerta de enlace externa o al portal sin pasar por una traducción de origen y ser eliminados.  Si los usuarios se conectan a una puerta de enlace externa, su tráfico de túnel seguirá siendo encriptado y enviado a través de la red interna hacia la interfaz externa.

Propietario: astanton