STUN Trafic acheminé via GlobalProtect le tunnel même si le tunneling fractionné est configuré

STUN Trafic acheminé via GlobalProtect le tunnel même si le tunneling fractionné est configuré

24298
Created On 09/20/21 21:44 PM - Last Modified 07/08/25 22:14 PM


Symptom


  • GlobalProtect a un tunneling fractionné configuré pour STUN l’application sur le port 2478.
  • L’application est exclue à l’extérieur GlobalProtect mais le trafic est toujours visible au-dessus du tunnel.

Environment


  • PA-3250
  • PAN OS 8.1.18

Cause


  • Pour 'stun' lorsque la visioconférence tente d'être établie, l'hôte envoie une diffusion à toutes les cartes réseau. Étant donné que les utilisateurs utilisent GlobalProtect comme connexion réseau principale, l’étourdissement va au-delà du routage (dans notre cas split-route) et envoie le trafic à travers le tunnel.

 

Resolution


Il s’agit du comportement attendu pour STUN le trafic. Voici le document de brevet de Google expliquant la fonctionnalité de découverte d'adaptateur de stun.


Solution pour bloquer STUN le trafic :

  1. Créez une sécurité Policy pour refuser le trafic du GlobalProtect client (utilisateur spécifique) vers le STUN /subnet de IPGoogle.
  2. Sous Configuration de la passerelle - Route d’accès et assurez-vous que tous les domaines/sous-réseaux de sont STUN ajoutés à la liste d’exclusion pour le tunneling fractionné.

 

Additional Information


Configurer un tunnel fractionné en fonction de la voie d’accès
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004LpxCAE&lang=fr%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language