STUN Datenverkehr, der durch GlobalProtect den Tunnel geleitet wird, obwohl Split-Tunneling konfiguriert ist

STUN Datenverkehr, der durch GlobalProtect den Tunnel geleitet wird, obwohl Split-Tunneling konfiguriert ist

24483
Created On 09/20/21 21:44 PM - Last Modified 07/08/25 22:14 PM


Symptom


  • GlobalProtect hat Split-Tunneling für STUN die Anwendung über Port 2478 konfiguriert.
  • Die Anwendung ist draußen GlobalProtect ausgeschlossen, aber der Verkehr ist immer noch über den Tunnel zu sehen.

Environment


  • PA-3250
  • PAN OS 8.1.18

Cause


  • Wenn die Videokonferenz eingerichtet werden soll, sendet der Host eine Übertragung an alle Netzwerkadapter. Da Benutzer als Hauptnetzwerkverbindung verwenden GlobalProtect , geht stun über das Routing (in unserem Fall split-route) hinaus und sendet den Datenverkehr über den Tunnel.

 

Resolution


Dies ist das erwartete Verhalten für STUN den Datenverkehr. Hier ist das Google-Patentdokument, das die Adaptererkennungsfunktion von Stun erklärt.


Problemumgehung zum Blockieren STUN des Datenverkehrs:

  1. Erstellen Sie eine Sicherheit Policy , um den STUN Datenverkehr vom Client (bestimmten Benutzer) an das GlobalProtect /subnet von IPGoogle zu verweigern.
  2. Stellen Sie unter Gatewaykonfiguration - Zugriffsroute sicher, dass alle Domänen/Subnetze für zur Ausschlussliste für STUN Split-Tunneling hinzugefügt wurden.

 

Additional Information


Konfigurieren eines geteilten Tunnels basierend auf der Zugriffsroute
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004LpxCAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language