"No hay acceso directo a la red local" configurado con túnel dividido

"No hay acceso directo a la red local" configurado con túnel dividido

46244
Created On 04/01/21 21:54 PM - Last Modified 03/14/25 21:16 PM


Symptom


Al configurar'No hay acceso directo a la red local' simultáneamente con el túnel dividido, el tráfico para las listas excluidas egresa la interfaz física y no el GlobalProtect túnel. 

 

Environment


 
  • GlobalProtect 5.0.2+
  • Windows OS y MacOS
  • Configuración del túnel dividido
  • UnaNY PAN-OS

Resolution


 NOTE: En todos los escenarios de caso que se muestran a continuación, la dirección del adaptador físico IP es '172.16.0.11' y la GlobalProtect IP dirección es '192.168.1.3'.
 
1. 'No hay acceso directo a la red local' configurado con rutas excluidas.

rutas excluidas
 
  • La tabla de ruteo muestra las rutas excluidas que apuntan a la interfaz física con una métrica de ruta '6' y debido al hecho de que las rutas excluidas son rutas específicas, tienen una prioridad mayor que la ruta predeterminada, por lo tanto el tráfico destinado a estas IP direcciones egresará el adaptador físico.

Imagen de usuario añadido
 
  • Captura de paquetes para la interfaz física y GlobalProtect virtual. El tráfico destinado a 216.58.213.14 se está abasteciendo de la interfaz física IP 172.16.0.11, que se espera el comportamiento.
Imagen de usuario añadido

 

2. 'No hay acceso directo a la red local' configurado con dominio excluido y/o nombre de proceso de aplicación.

Imagen de usuario añadido

 
  • La tabla de ruteo tiene una ruta predeterminada de la métrica '1' que señala a la interfaz del GlobalProtect túnel.
Imagen de usuario añadido

 
  • La siguiente imagen ilustra la DNS consulta y la respuesta para el dominio excluido 'facebook.com'.
Imagen de usuario añadido
 
  • PanGPS.log muestra que 'facebook.com' coincide con la lista de dominio excluidos y, por lo tanto, el tráfico destinado a 31.13.88.35 está enlazado al adaptador físico 172.16.0.11.
(P1552-T4440)Dump (  91): 04/01/21 08:13:26:672 Received DNS request for facebook.com with type 1
(P1552-T4440)Dump (1429): 04/01/21 08:13:26:672 Domain name facebook.com matches exclude wildcard domain
(P1552-T4440)Dump ( 793): 04/01/21 08:13:26:672 SP added an exclude ip 31.13.88.35, port 0, ttl 300 for domain facebook.com, original ttl=300, infinite ttl=no
(P1552-T4440)Dump ( 847): 04/01/21 08:13:26:672 call SPSetParameters to set 1 exclude IPs
(P1552-T4440)Dump ( 275): 04/01/21 08:13:26:672 iTimeOut=300
(P1552-T4440)Dump (1357): 04/01/21 08:13:26:672 ST,argc=6, remote-bind 
(P1552-T4440)Dump (2694): 04/01/21 08:13:26:672 ST,shouldCacheCommand return false 
(P1552-T4440)Dump (1938): 04/01/21 08:13:26:672 ST,remote ip address is 31.13.88.35, port=0, bind local address is 172.16.0.11
 
  • La DNS consulta y la respuesta de la aplicación excluida 'zoom.us'.
Imagen de usuario añadido
 
  • La captura de paquetes muestra que el tráfico para la aplicación 'zoom.us' destinado a 52.202.62.250 se está abasteciendo de la interfaz física.
Imagen de usuario añadido
 
  • Tenga en cuenta que este es el comportamiento esperado, la tunelización dividida optimizada (es decir, dominio, aplicación, túnel dividido basado en aplicaciones de vídeo) se basa en el controlador de filtro que no depende de la tabla de ruteo por lo tanto 'Ningún acceso directo a la red local' no debe tener ningún efecto en esta característica.

Additional Information


 
  • La función 'No hay acceso directo a la red local' en se utiliza para bloquear las conexiones GlobalProtect salientes que se originan desde el punto de conexión a la subred local utilizando el adaptador de red física cuando se ha establecido la GlobalProtect conexión de túnel.
  • GlobalProtect aplicación no bloquea las conexiones entrantes.
  • En OS Windows, cuando 'No se habilita el acceso directo a lared local' y no se configura el túnel dividido dominio/aplicación, el GlobalProtect cliente habilita el "envío de host débil" en el adaptador físico(característica de Windows),esto permite que el paquete de respuesta para el tráfico entrante pase a través del túnel y, por lo tanto, no se pueda establecer la conexión.
  • MacOS no tiene una característica como OS Windows, por lo tanto, las conexiones entrantes funcionarán.
  • Si hay un requisito para bloquear las conexiones entrantes, la recomendación sería usar el nativo OS firewall en el punto de conexión o cualquier otro producto de punto de firewall conexión.
  • Consulte el siguiente vínculo para obtener más detalles sobre el comportamiento de tráfico en función de si habilita o deshabilita el acceso directo a las redes locales.


 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001V2dCAE&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language