Wird Clientless- VPN Benutzern eine IP aus dem Mobile User IP Pool zugewiesen?
3070
Created On 04/21/22 00:24 AM - Last Modified 03/27/25 21:13 PM
Question
Wird Clientless- VPN Benutzern eine IP aus dem Mobile User IP Pool zugewiesen?
Environment
- Prisma Access Mobile-Benutzer
- Global Protect Clientloses VPN
- Global Protect Portal
Answer
- Mobilen Benutzern, die das Clientless VPN Portal verwenden, wird keine IP-Adresse aus dem IP-Pool für mobile Benutzer zugewiesen.
- Die eingehend Verbindungen des Clientless- VPN Benutzers werden stattdessen mithilfe der Loopback-Adresse des Prisma Access Portals Source NAT (Quell-NAT, SNAT).
- Eingehende Verbindungen wären der Datenverkehr von Clientless- VPN Benutzern zu internen Ressourcen hinter Rechenzentren (über Serviceverbindungen oder Remotenetzwerke).
- Das Prisma Access Portal verwendet eine interne Loopback- IP-Adresse. Diese Loopback- IP-Adresse wird aus dem Infrastruktursubnetz zugewiesen, das während der ersten Einarbeitung/Bereitstellung von Prisma Access konfiguriert wurde.
Additional Information
Example of a user session where 10.1.0.0/24 is used as the infrastructure subnet
> show session id 3136988
Session 3136988
c2s flow:
source: 34.10.20.30 [Clientless_VPN] <------- Clientless user Public IP
dst: 12.154.62.10 <------------ MU Portal IP
proto: 6
sport: 15715 dport: 443
state: INIT type: FLOW
src user: paloaltonetworks.com\johndoe
dst user: unknown
s2c flow:
source: 10.1.0.120 [Inside] <----- Portal loopback
dst: 10.1.2.214 <---------- Destination server
proto: 6
sport: 443 dport: 15715
state: INIT type: FLOW
src user: unknown
dst user: paloaltonetworks.com\johndoe