Symptômes
Lorsque les utilisateurs dont les ordinateurs sont installés avec le client GlobalProtect se trouvent sur le réseau interne, ils ne sont pas en mesure de se connecter correctement à la passerelle ou au portail GlobalProtect. Considérant que, les utilisateurs tentant de se connecter à partir de l'Internet fonctionnent bien.
Demande client
La situation la plus courante est lorsque les utilisateurs du client GlobalProtect sur le réseau interne tentent de se connecter à la passerelle ou au portail sur l'interface externe. La communication échoue parce que le pare-feu identifie la communication comme interne à la communication de zone externe et le pare-feu choisit la règle NAT sortant qui traduit l'adresse source du paquet à l'adresse IP de l'interface externe. Depuis, la destination dans le paquet est déjà l'adresse IP de l'interface externe le paquet semble maintenant avoir la même source et l'adresse IP de destination qui créerait une attaque LAN involontaire, donc les pare-feu de Palo Alto Networks gouttes ces Sessions.
Pour plus d'informations, consultez le lien suivant: Impossible de se connecter ou de Pinger une interface de pare-feu
Résolution
Si la licence de portail GlobalProtect est activée sur le pare-feu, la meilleure option est peut-être de configurer des passerelles internes et d'activer le client GlobalProtect pour découvrir la passerelle interne et se connecter à ce trafic afin de ne pas effectuer de tunnel lorsque l'utilisateur est déjà sur la réseau interne.
Pour comprendre comment fonctionnent les passerelles internes, voir: GlobalProtect configuration Tech note
Toutefois, ce qui précède ne permet pas à l'utilisateur interne de se connecter au portail GlobalProtect externe. Si l'accès au portail est toujours requis, ou s'il n'y a pas de licence, une stratégie nat peut être configurée qui agit comme une exception au NAT sortant par défaut lorsque la communication est uniquement à l'interface externe du pare-feu:
- Créer un clone de la règle NAT sortant.
- Placez-le au-dessus de la règle NAT sortant actuelle.
- Changez le nom de la règle.
- Ajoutez l'adresse IP de l'interface externe au champ d'adresse de destination de paquet d'origine.
- Remplacez le champ source translation par None.
Cela permet aux utilisateurs internes de se connecter à la passerelle ou au portail externe sans passer par une traduction source et se laisser tomber. Si les utilisateurs se connectent à une passerelle externe, leur trafic tunnel sera toujours crypté et envoyé via le réseau interne vers l'interface externe.
propriétaire : astanton