スプリット トンネルで設定された"ローカル ネットワークへの直接アクセスなし"

スプリット トンネルで設定された"ローカル ネットワークへの直接アクセスなし"

46244
Created On 04/01/21 21:54 PM - Last Modified 03/14/25 21:16 PM


Symptom


スプリット トンネルと同時にローカルネットワークへの直接アクセスを行わないを構成すると、除外リストのトラフィックはトンネルではなく物理インターフェイスを出力 GlobalProtect します。 

 

Environment


 
  • GlobalProtect 5.0.2+
  • ウィンドウ OS ズとMacOS
  • スプリット トンネルの設定
  • Ny PAN-OS

Resolution


 NOTE: 以下に示すすべてのシナリオでは、物理アダプタ IP アドレスは'172.16.0.11'、 GlobalProtect IP アドレスは'192.168.1.3'です。
 
1. ' 除外されたルートで構成されたローカル ネットワークに直接アクセスすることはできません

除外ルート
 
  • ルーティング テーブルは、ルート メトリックが'6'の物理インターフェイスを指す除外ルートを示しており、除外されたルートが特定のルートであるため、デフォルト ルートよりも優先順位が高いため、これらのアドレスに向かうトラフィック IP は物理アダプタを出力します。

ユーザー追加イメージ
 
  • 物理インターフェイスと仮想インターフェイスの両方のパケット キャプチャ GlobalProtect 。 216.58.213.14 宛てのトラフィックは、物理インターフェイス IP 172.16.0.11 から送信されます。
ユーザー追加イメージ

 

2. ' 除外されたドメインやアプリケーション プロセス名で構成されたローカル ネットワークに直接アクセスできません

ユーザー追加イメージ

 
  • ルーティング テーブルには、トンネル インターフェイスを指すメトリック'1'の既定のルート GlobalProtect があります。
ユーザー追加イメージ

 
  • 次の図は、 DNS 除外されたドメイン 'facebook.com' のクエリと応答を示しています。
ユーザー追加イメージ
 
  • PanGPS.log は、 'facebook.com' が除外ドメインの一覧と一致するため、31.13.88.35 に向かうトラフィックが物理アダプタ 172.16.0.11 にバインドされていることを示します。
(P1552-T4440)Dump (  91): 04/01/21 08:13:26:672 Received DNS request for facebook.com with type 1
(P1552-T4440)Dump (1429): 04/01/21 08:13:26:672 Domain name facebook.com matches exclude wildcard domain
(P1552-T4440)Dump ( 793): 04/01/21 08:13:26:672 SP added an exclude ip 31.13.88.35, port 0, ttl 300 for domain facebook.com, original ttl=300, infinite ttl=no
(P1552-T4440)Dump ( 847): 04/01/21 08:13:26:672 call SPSetParameters to set 1 exclude IPs
(P1552-T4440)Dump ( 275): 04/01/21 08:13:26:672 iTimeOut=300
(P1552-T4440)Dump (1357): 04/01/21 08:13:26:672 ST,argc=6, remote-bind 
(P1552-T4440)Dump (2694): 04/01/21 08:13:26:672 ST,shouldCacheCommand return false 
(P1552-T4440)Dump (1938): 04/01/21 08:13:26:672 ST,remote ip address is 31.13.88.35, port=0, bind local address is 172.16.0.11
 
  • DNS除外されたアプリケーション 'zoom.us' のクエリと応答。
ユーザー追加イメージ
 
  • パケット キャプチャは、52.202.62.250 宛てのアプリケーション' zoom.usのトラフィックが物理インターフェイスからソースされていることを示しています。
ユーザー追加イメージ
 
  • これは想定される動作であり、最適化された分割トンネリング (ドメイン、アプリケーション、ビデオ アプリケーション ベースの分割トンネリング) は、ルーティング テーブルに依存しないフィルタ ドライバに基づいているため、ローカルネットワークへの直接アクセスは影響を与えません。

Additional Information


 
  • 'ローカル ネットワークへの直接アクセスはありません' 機能 GlobalProtect は、トンネル接続が確立されたときに、物理ネットワーク アダプターを使用して、エンドポイントからローカル サブネットに発信する送信接続をブロックするために使用 GlobalProtect されます。
  • GlobalProtect アプリケーションは着信接続をブロックしません。
  • Windows では OS 、ローカルネットワークへの直接アクセスが有効で なく、ドメイン/アプリケーション分割トンネルが構成されていない場合、 GlobalProtect クライアントは物理アダプタ(Windows 機能) で "弱いホスト送信" を有効にし、着信トラフィックの応答パケットがトンネルを通過し、接続を確立できません。
  • MacOS には Windows のような機能がないため OS 、着信接続は機能します。
  • 着信接続をブロックする必要がある場合は、 OS firewall エンドポイントまたは他のエンドポイント製品でネイティブを使用することを推奨 firewall します。
  • ローカル ネットワークへの直接アクセスを有効にするか無効にするかに基づくトラフィックの動作の詳細については、次のリンクを参照してください。


 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001V2dCAE&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language