クライアントレスVPNユーザーにはモバイル ユーザー IP プールから IP が割り当てられますか?
2440
Created On 04/21/22 00:24 AM - Last Modified 03/27/25 21:13 PM
Question
クライアントレスVPNユーザーにはモバイル ユーザー IP プールから IP が割り当てられますか?
Environment
- Prisma Access モバイルユーザー
- グローバルプロテクトクライアントレスVPN
- グローバル保護ポータル
Answer
- クライアントレスVPNポータルを使用するモバイル ユーザーには、モバイル ユーザー IP プールからIPアドレスが割り当てられません。
- 代わりに、クライアントレスVPNユーザーのインバウンド接続は、Prisma Access Portal のループバック アドレスを使用してsource NAT ( 送信元NAT -SNAT)されます。
- インバウンド接続は、クライアントレスVPNユーザーからデータセンターの背後にある内部リソース (サービス接続またはリモート ネットワーク経由) へのトラフィックです。
- Prisma Accessポータルは、内部ループバックIPアドレスを使用します。このループバックIPアドレスは、 Prisma Access の初期オンボーディング/展開時に構成されたインフラストラクチャ サブネットから割り当てられます。
Additional Information
Example of a user session where 10.1.0.0/24 is used as the infrastructure subnet
> show session id 3136988
Session 3136988
c2s flow:
source: 34.10.20.30 [Clientless_VPN] <------- Clientless user Public IP
dst: 12.154.62.10 <------------ MU Portal IP
proto: 6
sport: 15715 dport: 443
state: INIT type: FLOW
src user: paloaltonetworks.com\johndoe
dst user: unknown
s2c flow:
source: 10.1.0.120 [Inside] <----- Portal loopback
dst: 10.1.2.214 <---------- Destination server
proto: 6
sport: 443 dport: 15715
state: INIT type: FLOW
src user: unknown
dst user: paloaltonetworks.com\johndoe