症状
当安装了 GlobalProtect 客户端的计算机的用户在内部网络上时, 他们无法成功连接到 GlobalProtect 网关或门户。 但是, 试图从 Internet 连接的用户工作正常。
问题
最常见的情况是, 当内部网络上的 GlobalProtect 客户端用户尝试连接到外部接口上的网关或门户时。 通信失败, 因为防火墙将通信标识为外部区域通信的内部通讯, 防火墙选择出站 NAT 规则, 将数据包的源地址转换为外部接口 IP 地址。因为, 数据包中的目标已经是外部接口的 IP 地址了, 数据包现在似乎有相同的源和目标 IP 地址, 这会造成无意的 LAN 攻击, 因此帕洛阿尔托网络防火墙会降低这些会话。
有关详细信息, 请参阅以下链接:无法连接或 Ping 防火墙接口
解决办法
如果在防火墙上启用了 GlobalProtect 门户许可证, 则最好的选项可能是设置内部网关并启用 GlobalProtect 客户端来发现内部网关并连接到它, 这样当用户已经在内部网络。
要了解内部网关的工作方式, 请参阅: GlobalProtect 配置技术说明
但是, 上述操作不允许内部用户连接到外部 GlobalProtect 门户。如果仍然需要访问门户, 或者没有许可证, 则可以配置 NAT 策略, 当通信仅限于防火墙外部接口时, 可对默认出站 NAT 充当例外:
- 对出站 NAT 规则进行克隆。
- 将其置于当前出站 NAT 规则之上。
- 更改规则的名称。
- 将外部接口的 IP 地址添加到原始数据包目标地址字段。
- 将源转换字段更改为 None。
这样, 内部用户就可以连接到外部网关或门户, 而无需进行源代码转换并被丢弃。 如果用户正在连接到外部网关, 则它们的隧道通信量仍将被加密, 并通过内部网络发送到外部接口。
业主: astanton