GlobalProtect クライアントがローカル ネットワーク上にワークステーションとの接続で立ち往生

兆候

GlobalProtect クライアントと共にインストールされたコンピュータが内部ネットワーク上にある場合、GlobalProtect ゲートウェイまたはポータルに正常に接続できません。  一方、インターネットからの接続を試みるユーザーは正常に動作します。

問題

最も一般的な状況は、内部ネットワーク上の GlobalProtect クライアントユーザーが外部インターフェイス上のゲートウェイまたはポータルに接続しようとした場合です。  ファイアウォールが外部ゾーン通信の内部として通信を識別し、ファイアウォールがパケットの発信元アドレスを外部インターフェイス IP アドレスに変換する送信 NAT 規則を選択するため、通信が失敗します。パケット内の宛先は、すでに外部インターフェイスの ip アドレスであるため、パケットは現在、意図しない LAN 攻撃を作成すると同じソースと宛先の ip アドレスを持っているように見えるので、パロアルトネットワークのファイアウォールは、これらのドロップセッション。

詳細については、次のリンクを参照してください。ファイアウォールインターフェイスに接続または Ping を行うことができない

解決方法

ファイアウォールで GlobalProtect Portal ライセンスが有効になっている場合は、内部ゲートウェイをセットアップし、GlobalProtect クライアントが内部ゲートウェイを検出して接続して、ユーザーが既にアクセスしているときにトラフィックがトンネリングされないようにすることが最善の方法です。内部ネットワーク。

内部ゲートウェイのしくみを理解するには、次のトピックを参照してください。GlobalProtect 構成技術ノート

ただし、上記では、内部ユーザーが外部 GlobalProtect ポータルに接続することはできません。ポータルへのアクセスが依然として必要な場合、またはライセンスがない場合、nat ポリシーは、ファイアウォールの外部インターフェイスにのみ通信する場合に、既定の送信 nat の例外として機能するように構成できます。

1. 送信 NAT ルールの複製を作成します。
2. 現在の送信 NAT ルールの上に配置します。
3. ルールの名前を変更します。
4. 外部インターフェイスの IP アドレスを、元のパケット送信先アドレスフィールドに追加します。
5. [ソース変換] フィールドを [なし] に変更します。

これにより、内部ユーザーは、ソースの翻訳を経由せずに外部ゲートウェイまたはポータルに接続し、削除することができます。  ユーザーが外部ゲートウェイに接続している場合、トンネルトラフィックは依然として暗号化され、外部インターフェイスに向かって内部ネットワークを経由して送信されます。

所有者: astanton