STUN Tráfico que se enruta a través del GlobalProtect túnel aunque el túnel dividido esté configurado

STUN Tráfico que se enruta a través del GlobalProtect túnel aunque el túnel dividido esté configurado

24481
Created On 09/20/21 21:44 PM - Last Modified 07/08/25 22:14 PM


Symptom


  • GlobalProtect tiene túnel dividido configurado para STUN la aplicación a través del puerto 2478.
  • La aplicación está excluida en el exterior GlobalProtect , pero el tráfico todavía se ve sobre el túnel.

Environment


  • PA-3250
  • PAN OS 8.1.18

Cause


  • Para 'aturdir' cuando se intenta establecer la videoconferencia, el host envía una difusión a todos los adaptadores de red. Dado que los usuarios están utilizando GlobalProtect como conexión de red principal, stun va por encima del enrutamiento (en nuestro caso la ruta dividida) y envía el tráfico a través del túnel.

 

Resolution


Esto es por el comportamiento esperado para STUN el tráfico. Aquí está el documento de patente de Google que explica la función de descubrimiento de adaptadores de Stun.


Solución alternativa para bloquear STUN el tráfico:

  1. Crear una seguridad Policy para denegar el STUN tráfico del GlobalProtect cliente (usuario específico) a la subred de Google IP.
  2. En Configuración de puerta de enlace - Ruta de acceso y asegúrese de que todos los dominios/subredes para STUN se agregan en la lista de exclusión para túnel dividido.

 

Additional Information


Configurar un túnel dividido basado en la ruta de acceso
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004LpxCAE&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language