Liste d’exception global Protect Enforcer
39901
Created On 12/02/19 22:47 PM - Last Modified 03/14/25 23:40 PM
Symptom
- Global Protect App configuration a une option appelée "Enforce Connection for Network GlobalProtect Access»
- Cette option lorsqu’elle est activée limite l’accès de l’utilisateur aux ressources si global protect n’est pas en mesure de se connecter.
- L’option peut causer un problème lorsque l’utilisateur final essayant d’obtenir certains services essentiels tels que DHCP l’adresse sur l’ordinateur local car cela serait bloqué par l’exécuteur.
Environment
- PanOS 8,1
- PanOS 9,0
- Global Protect Client 5.1
- « Enforce GlobalProtect Connection for Network Access » activé.
Resolution
Une nouvelle option est ajoutée dans la configuration de l’application Global Protect avec la version App & Threat 8196-5685. L’option s’intitappelle « Autoriser le trafic vers des hôtes/réseaux spécifiés lorsque la connexion enforce pour GlobalProtect l’accès réseau est activée et GlobalProtect que la connexion n’est pas établie». Cette option permet à l’administrateur d’ajouter une exception à l’exécuteur, c’est-à-dire que DHCP le serveur doit être accessible au client pour obtenir une adresse IP.
- A l’adresse unique de la liste d’exception peut être saisie sans masque sous-réseau (p. ex. 192.168.223.1)
- Plusieurs adresses doivent être saisies avec un masque et séparées par une virgule (p. ex. 192.168.223.1/32,10.0.0.1/32)
- Une fois que GP le client se connecte à la passerelle, l’accès aux adresses de liste d’exception ne s’applique plus
- Ces options ne fonctionneront qu’avec Global Protect Client 5.1 ou plus.
- Ces options peuvent être activées à GUI l’aide de : Réseau> GlobalProtect > Portals> Agent> (nom de l’agent) > App.