Exclure les domaines du GlobalProtect tunnel
41001
Created On 04/16/20 03:37 AM - Last Modified 03/26/21 18:16 PM
Symptom
Ce document décrit comment exclure efficacement les domaines d’un GlobalProtect tunnel.
Youtube servira d’exemple pour cette illustration.
Sous Network > > GlobalProtect Gateways > Client Setting > Configs > Split Tunnel > Domain and Application > Ajouter www.youtube.com
Toutefois, dans les journaux de trafic, le firewall flux YouTube reçoit toujours du trafic en streaming YouTube des GlobalProtect clients connectés:
Environment
- PAN-OS 8,1 et plus.
- Palo Alto Firewall .
- GlobalProtectConfiguré.
Cause
- YouTube charge le contenu d’autres sources et tout simplement pas youtube.com.
- Pour vérifier, avant d’accéder à YouTube, sur l’agent du système GlobalProtect client, naviguez vers :
GlobalProtect > paramètres > dépannage > niveau d’enregistrement > dump > démarrer :
- Le niveau de vidage de GlobalProtect journalisation sur l’agent affiche le contenu chargé à partir googlevideo.com et ainsi.
Resolution
- Ajouter du contenu googlevideo dynamique (*.googlevideo.com) à la liste « Exclure le domaine » :
- Engagez les modifications. Maintenant, le trafic en streaming doit maintenant être redirigé vers la connexion correcte autre que le tunnel.
Additional Information
- Important: Arrêtez le niveau d’enregistrement : vidage une fois le débogage effectué, car cela pourrait remplir les journaux et écraser les journaux importants enregistrés sur disque.
- Alternativement, le trafic intéressant (streaming-media dans ce cas) peut être décrypté / inspecté sur le firewall . Cela révélera tout contenu supplémentaire qui nécessitera l’exclusion du tunnel.
- L’article suppose une connaissance de la GlobalProtect configuration.