STUN 経由するトラフィックGlobalProtectスプリット トンネリングが設定されていてもトンネルする
24396
Created On 09/20/21 21:44 PM - Last Modified 07/08/25 22:14 PM
Symptom
- GlobalProtect にスプリット トンネリングが設定されているSTUNポート 2478 経由のアプリケーション。
- 申請は対象外GlobalProtectしかし、トラフィックはまだトンネル上に見られます。
Environment
- PA-3250
- PAN OS 8.1.18
Cause
- ビデオ会議を確立しようとするときの「気絶」の場合、ホストはすべてのネットワーク アダプタにブロードキャストを送信します。 ユーザーが使っているのでGlobalProtectメインのネットワーク接続として、stun はルーティング (この場合は分割ルート) の上に移動し、トンネルを介してトラフィックを送信します。
Resolution
これは、STUN渋滞。ここは、stun のアダプター検出機能を説明する Google の特許文書です。
ブロックする回避策STUN渋滞:
- 証券を作成するPolicyを否定するSTUNからのトラフィックGlobalProtectクライアント(特定のユーザー)から Google へIP/サブネット。
- ゲートウェイ構成 - アクセスルートの下で、すべてのドメイン/サブネットを確認しますSTUNスプリット トンネリングの除外リストに追加されます。
Additional Information
アクセス ルートに基づくスプリット トンネルの設定