ドメイン分割トンネル トラフィックに断続的な接続の問題

ドメイン分割トンネル トラフィックに断続的な接続の問題

12317
Created On 07/29/21 14:03 PM - Last Modified 11/01/24 02:27 AM


Symptom


  • ドメイン分割トンネリング構成のルールに従っていないトラフィックによって引き起こされる断続的な接続の問題。
  • 以下の PanGPS ダンプ ログは、インクルード ドメイン ルールに"www.youtube.com"が一致したため、 IP そのアドレス'216.58.212.238'が IP 仮想インターフェイスにバインドされているアドレスの一覧に追加されたことを示しています GlobalProtect 。 (注: このエントリの存続時間 IP は、応答から取得される 60 秒です DNS 。
P1824-T26147 Jul 23 08:12:48:324208 Dump (  91): Received DNS request for www.youtube.com with type 1
P1824-T26147 Jul 23 08:12:48:324214 Dump (1259): Domain name www.youtube.com matches include wildcard domain
P1824-T26147 Jul 23 08:12:48:324218 Dump (1355): Insert CNAME youtube-ui.l.google.com(Ex).
P1824-T26147 Jul 23 08:12:48:324224 Dump ( 504): SP added an include ip 216.58.212.238, port 0, ttl 60 for domain www.youtube.com, original ttl=60, infinite ttl=no
 
  • PanNExt の以下のログ.logは、216.58.212.238 の新しいトラフィック フローが開始されたが、 TTL スプリット トンネル IP ルールの期限が切れたため、新しいトラフィック フローが仮想インターフェイスではなく物理インターフェイスにバインドされたことを示しています GlobalProtect 。
P2575-T287 Jul 23 08:13:56:962874 Dump (2544): (0x7fcf9c40d510)handle new flow 216.58.212.238:443.
P2575-T287 Jul 23 08:13:56:962985 Dump ( 223): (flow-0x7fcf9c40d510)(0x7fcf9c40fa40) Flow initialize NetCli (TCP)-SP Domain, via Phy interface, remote 216.58.212.238:443
P2575-T287 Jul 23 08:13:56:963049 Dump ( 230): (0x7fcf9c40fa40) remote network address 216.58.212.238:443
P2575-T287 Jul 23 08:13:56:963074 Dump (1225): check sp policy, remote addr 216.58.212.238:443
P2575-T287 Jul 23 08:13:56:963100 Dump (1758): find sp ipp rule 4 match 216.58.212.238 bind_if Virtual
P2575-T287 Jul 23 08:13:56:963105 Dump (1770): The sp ipp rule is expired.
P2575-T287 Jul 23 08:13:56:963350 Dump ( 369): (0x7fcf9c40fa40) openWithLocalEndpoint success.
P2575-T287 Jul 23 08:13:57:45084 Dump ( 479): (0x7fcf9c40fa40) connected to remote.
P2575-T287 Jul 23 08:13:57:45109 Dump ( 623): (0x7fcf9c40fa40) create sock wr source.
P2575-T287 Jul 23 08:13:57:45116 Dump ( 883): (0x7fcf9c40fa40) call receive_from_flow
P2575-T13103 Jul 23 08:13:57:45151 Dump ( 887): (0x7fcf9c40fa40) tcp flow read 517 bytes
P2575-T287 Jul 23 08:13:57:45158 Dump ( 571): (0x7fcf9c40fa40) local address 192.168.20.222:51935 <<<<==== Physical interface

: このシナリオの構成では、スプリット トンネルの下に構成されたサブネットにルートが含まれているので、物理アダプタを指すデフォルトルート エントリに基づいて'216.58.212.238' が物理インターフェイスにバインドされました。 

 

Environment


  • GlobalProtect エージェント
  • MacOS とウィンドウ OS システム

Resolution


GlobalProtect 5.1.5+ では、 DNS TTL 分割トンネリング用の無限の設定がサポートされるようになりました。 これは、ネットワーク > FQDN GlobalProtect ゲートウェイ>>クライアント設定>クライアント設定、ドメインおよびアプリケーションの下にある任意のポート>>トンネリング リスト>にポート '1' を追加することで行うことができます>。 このような設定の結果は、以下のログで確認できます。
 
SP added an exclude ip 216.58.212.238, port 0, ttl 0 for domain www.youtube.com, original ttl=60, infinite ttl=yes

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VzLCAU&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language