« Pas d’accès direct au réseau local » configuré avec tunnel fractionnement
46244
Created On 04/01/21 21:54 PM - Last Modified 03/14/25 21:16 PM
Symptom
Lors de la configuration «Pas d’accès direct au réseau local » simultanément avec tunnel fractionné, le trafic pour les listes exclues égresse l’interface physique et non le GlobalProtect tunnel.
Environment
- GlobalProtect 5.0.2+
- Windows OS et MacOS
- Configuration du tunnel fractionnement
- ANY PAN-OS
Resolution
NOTE: Dans tous les scénarios de cas présentés ci-dessous, IP l’adresse de l’adaptateur physique est '172.16.0.11' GlobalProtect IP et l’adresse est '192.168.1.3'.
1.« Pasd’accès direct au réseau local » configuré avec des itinéraires exclus.
- Le tableau de routage montre les itinéraires exclus pointant vers l’interface physique avec une mesure d’itinéraire '6' et en raison du fait que les itinéraires exclus sont des itinéraires spécifiques, ils ont une priorité plus élevée que l’itinéraire par défaut, donc le trafic IP destiné à ces adresses va sortir de l’adaptateur physique.
- Capture de paquets pour l’interface physique GlobalProtect et virtuelle. Le trafic destiné au 216.58.213.14 s’approvisionne auprès de l’interface IP physique 172.16.0.11, ce qui est prévu comportement.
2. « Pas d’accès direct au réseau local » configuré avec le nom de domaine et/ou de processus de demande exclu.
- La table de routage a un itinéraire par défaut de la mesure '1'pointant vers GlobalProtect l’interface du tunnel.
- L’image ci-dessous DNS illustre la requête et la réponse pour le domaine exclu «facebook.com».
- PanGPS.log montre que «facebook.com» correspond à la liste de domaine exclue et donc le trafic destiné au 31.13.88.35 est lié à l’adaptateur physique 172.16.0.11.
(P1552-T4440)Dump ( 91): 04/01/21 08:13:26:672 Received DNS request for facebook.com with type 1
(P1552-T4440)Dump (1429): 04/01/21 08:13:26:672 Domain name facebook.com matches exclude wildcard domain
(P1552-T4440)Dump ( 793): 04/01/21 08:13:26:672 SP added an exclude ip 31.13.88.35, port 0, ttl 300 for domain facebook.com, original ttl=300, infinite ttl=no
(P1552-T4440)Dump ( 847): 04/01/21 08:13:26:672 call SPSetParameters to set 1 exclude IPs
(P1552-T4440)Dump ( 275): 04/01/21 08:13:26:672 iTimeOut=300
(P1552-T4440)Dump (1357): 04/01/21 08:13:26:672 ST,argc=6, remote-bind
(P1552-T4440)Dump (2694): 04/01/21 08:13:26:672 ST,shouldCacheCommand return false
(P1552-T4440)Dump (1938): 04/01/21 08:13:26:672 ST,remote ip address is 31.13.88.35, port=0, bind local address is 172.16.0.11
- La DNS requête et la réponse pour l’application exclue 'zoom.us'.
- La capture de paquets montre que le traficpour l’application ' zoom.us' destiné au 52.202.62.250 s’approvisionne à partir de l’interface physique.
- Notez que ce comportement est attendu, le tunnelage fractionnel optimisé (c.-à-domaine, application, vidéo basée sur l’application split-tunneling) est basé sur le pilote de filtre qui ne dépend pas de la table de routage donc «Aucun accès direct au réseau local» ne devrait avoir aucun effet sur cette fonctionnalité.
Additional Information
- La fonction« Pas d’accès direct au réseau local» est utilisée pour bloquer les connexions sortantes provenant du point de GlobalProtect terminaison au sous-réseau local à l’aide de l’adaptateur réseau GlobalProtect physique lorsque la connexion tunnel a été établie.
- GlobalProtect l’application ne bloque pas les connexions entrantes.
- Sur OS Windows, lorsque « aucunaccès direct au réseau local » n’est activé et que le tunnel fractionnement domaine/application n’est pas configuré, le client permet « GlobalProtect l’envoi d’hôtes faibles » sur l’adaptateurphysique (fonction Windows),ce qui permet au paquet de réponse pour le trafic entrant de passer par le tunnel et donc la connexion ne peut pas être établie.
- MacOS n’a pas une telle fonctionnalité que Windows donc OS les connexions entrantes fonctionneront.
- S’il est nécessaire de bloquer les connexions entrantes, alors la recommandation serait d’utiliser le natif OS firewall sur le point final ou tout autre produit de point de firewall terminaison.
- Référez-vous au lien suivant pour plus de détails sur le comportement du trafic en fonction de savoir si vous activez ou désactivez l’accès direct aux réseaux locaux.