STUN 路由通过的流量GlobalProtect即使配置了拆分隧道也能建立隧道

STUN 路由通过的流量GlobalProtect即使配置了拆分隧道也能建立隧道

24320
Created On 09/20/21 21:44 PM - Last Modified 07/08/25 22:14 PM


Symptom


  • GlobalProtect 已配置拆分隧道STUN通过端口 2478 的应用程序。
  • 申请被排除在外GlobalProtect但仍然可以看到隧道上的交通。

Environment


  • PA-3250
  • PAN OS 8.1.18

Cause


  • 对于“stun”,当视频会议试图建立时,主机向所有网络适配器发送广播。 由于用户在使用GlobalProtect作为主要网络连接,stun 超越路由(在我们的例子中是拆分路由)并通过隧道发送流量。

 

Resolution


这是预期的行为STUN交通。这里是解释 stun 的适配器发现功能的谷歌专利文件。


要阻止的解决方法STUN交通:

  1. 创建一个安全Policy否认STUN流量来自GlobalProtectGoogle 的客户(特定用户)IP /子网。
  2. 在网关配置下 - 访问路由并确保所有域/子网STUN已添加到拆分隧道的排除列表中。

 

Additional Information


根据接入路由配置拆分隧道
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004LpxCAE&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language