Global Protect Enforcer-Ausnahmeliste
39903
Created On 12/02/19 22:47 PM - Last Modified 03/14/25 23:40 PM
Symptom
- Die Konfiguration der Global Protect-App hat eine Option mit dem Namen "Erzwingen der Verbindung für den GlobalProtect Netzwerkzugriff"
- Diese Option bei Aktiviertem wird der Benutzerzugriff auf Ressourcen beschränkt, wenn der globale Schutz keine Verbindung herstellen kann.
- Die Option kann ein Problem verursachen, bei dem der Endbenutzer versucht, einige wichtige Dienste wie die Adresse auf dem lokalen Computer zu erhalten, DHCP da dies vom Erzwinger blockiert würde.
Environment
- PanOS 8.1
- PanOS 9.0
- Global Protect Client 5.1
- "Verbindung GlobalProtect für Netzwerkzugriff erzwingen" aktiviert.
Resolution
In der Global Protect App Configuration mit App & Threat Version 8196-5685 wurde eine neue Option hinzugefügt. Die Option heißt "Datenverkehr zu bestimmten Hosts/Netzwerken zulassen, wenn GlobalProtect Die Verbindung für den Netzwerkzugriff erzwingen aktiviert ist und GlobalProtect die Verbindung nicht hergestellt ist". Mit dieser Option kann der Administrator dem Erzwingungsprogramm eine Ausnahme hinzufügen, d. h. DHCP der Server sollte für den Client erreichbar sein, um eine IP-Adresse zu erhalten.
- A Einzelne Adresse in der Ausnahmeliste kann ohne Subnetzmaske eingegeben werden (z. B. 192.168.223.1)
- Mehrere Adressen müssen mit einer Maske eingegeben und durch ein Komma getrennt werden (z. B. 192.168.223.1/32,10.0.0.1/32)
- Sobald der GP Client eine Verbindung mit dem Gateway herstellt, wird der Zugriff auf die Adressen der Ausnahmelisten nicht mehr
- Diese Optionen funktionieren nur mit Global Protect Client 5.1 oder höher.
- Diese Optionen können mit GUI aktiviert werden: Network> GlobalProtect > Portals> Agent> (Agentname)> App.