Problèmes de connectivité intermittents avec le trafic de tunnel partagé de domaine

Problèmes de connectivité intermittents avec le trafic de tunnel partagé de domaine

12311
Created On 07/29/21 14:03 PM - Last Modified 11/01/24 02:27 AM


Symptom


  • Problèmes de connectivité intermittents provoqués par le trafic ne suivant pas les règles dans la configuration de split-tunneling de domaine.
  • Les journaux de vidage PanGPS ci-dessous montrent que "www.youtube.com" correspondait à une règle de domaine include et donc son IP adresse '216.58.212.238' a été ajoutée à la liste des IP adresses qui sont liées à GlobalProtect l’interface virtuelle. (Remarque: Le temps de vie pour cette IP entrée est de 60 secondes qui est obtenue à partir de la DNS réponse.)
P1824-T26147 Jul 23 08:12:48:324208 Dump (  91): Received DNS request for www.youtube.com with type 1
P1824-T26147 Jul 23 08:12:48:324214 Dump (1259): Domain name www.youtube.com matches include wildcard domain
P1824-T26147 Jul 23 08:12:48:324218 Dump (1355): Insert CNAME youtube-ui.l.google.com(Ex).
P1824-T26147 Jul 23 08:12:48:324224 Dump ( 504): SP added an include ip 216.58.212.238, port 0, ttl 60 for domain www.youtube.com, original ttl=60, infinite ttl=no
 
  • Les logs ci-dessous de PanNExt.log démontrent qu’un nouveau flux de trafic pour 216.58.212.238 avait été initié mais pour TTL la règle de split-tunnel IP avait expiré et ceci a causé le nouveau flux de trafic à lier à l’interface physique au lieu de GlobalProtect l’interface virtuelle.
P2575-T287 Jul 23 08:13:56:962874 Dump (2544): (0x7fcf9c40d510)handle new flow 216.58.212.238:443.
P2575-T287 Jul 23 08:13:56:962985 Dump ( 223): (flow-0x7fcf9c40d510)(0x7fcf9c40fa40) Flow initialize NetCli (TCP)-SP Domain, via Phy interface, remote 216.58.212.238:443
P2575-T287 Jul 23 08:13:56:963049 Dump ( 230): (0x7fcf9c40fa40) remote network address 216.58.212.238:443
P2575-T287 Jul 23 08:13:56:963074 Dump (1225): check sp policy, remote addr 216.58.212.238:443
P2575-T287 Jul 23 08:13:56:963100 Dump (1758): find sp ipp rule 4 match 216.58.212.238 bind_if Virtual
P2575-T287 Jul 23 08:13:56:963105 Dump (1770): The sp ipp rule is expired.
P2575-T287 Jul 23 08:13:56:963350 Dump ( 369): (0x7fcf9c40fa40) openWithLocalEndpoint success.
P2575-T287 Jul 23 08:13:57:45084 Dump ( 479): (0x7fcf9c40fa40) connected to remote.
P2575-T287 Jul 23 08:13:57:45109 Dump ( 623): (0x7fcf9c40fa40) create sock wr source.
P2575-T287 Jul 23 08:13:57:45116 Dump ( 883): (0x7fcf9c40fa40) call receive_from_flow
P2575-T13103 Jul 23 08:13:57:45151 Dump ( 887): (0x7fcf9c40fa40) tcp flow read 517 bytes
P2575-T287 Jul 23 08:13:57:45158 Dump ( 571): (0x7fcf9c40fa40) local address 192.168.20.222:51935 <<<<==== Physical interface

Remarque: La configuration dans ce scénario avait quelques sous-réseaux configurés sous le split-tunnel incluent des artères qui est pourquoi ' 216.58.212.238' a été lié à l’interface physique basée sur l’entrée par défaut d’artère pointant vers la carte physique. 

 

Environment


  • GlobalProtect agent
  • Système MacOS et OS Windows

Resolution


GlobalProtect 5.1.5+ prend désormais en charge la configuration de DNS TTL l’infini pour le split-tunneling. Cela peut être fait en ajoutant le port « 1 » à n’importe quel FQDN dans la liste de split-tunneling de domaine sous réseau> GlobalProtect passerelles >> agent> paramètres client> tunnel partagé> domaine et application. Les résultats d’une telle configuration peuvent être vus dans le log ci-dessous :
 
SP added an exclude ip 216.58.212.238, port 0, ttl 0 for domain www.youtube.com, original ttl=60, infinite ttl=yes

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VzLCAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language