如何 GlobalProtect 拆分隧道排除 Webex 应用过程
3974
Created On 08/27/20 23:16 PM - Last Modified 05/30/25 20:25 PM
Objective
本文档详细说明了如何 GlobalProtect 根据应用过程配置拆分隧道。
Webex 客户端流程将配置在本文档中
Environment
- GlobalProtect 网关配置
- GlobalProtect 网关许可证 ( https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClG0CAK )
- PAN-OS 8.1 及以上。
- 帕洛奥尔托网络防火墙 Hardware 或 VM 基于
Procedure
- 使用 CurrPorts 应用程序(互联网下载),并使用全局保护代理在笔记本电脑上安装和运行此应用程序
- 在笔记本电脑上启动 Webex 会议,全局保护代理在笔记本电脑上运行,并注意到第一列中列出的应用程序(下图中最后一列的第 3 个)
- 此外,请注意列出的流程路径(下图中最后一列的第 3 个)
- 忽略 IP 地址或 127.0.0.1 的行,只查看列出笔记本电脑物理适配器 IP 地址的行和 IP 分配给全球保护适配器的地址的行
- 我的 GP 适配器下面是10.0.0.100,笔记本电脑的物理 IP 地址是172.16.0.100
The application listed in the rows we care about are the following: 1) ptoneclk.exe 2) atmgr.exe接下来,我们要找到与上述 2 个列出的应用程序关联的应用程序路径。
The 2 application paths found are: 1) c:\users\user1.bear\appdata\local\webex\webex\meetings\atmgr.exe 2) c:\Program Files (x86)\WebEx\WebEx\Applications\ptoneclk.exe以上 2 条应用路径将是我们用于 Firewall GP 在分隧道应用程序排除列表中输入"网关"的内容。但是,首先,我们希望转换一种格式,该格式将普遍适合所有用户(而不仅仅是上面看到的"user1")。这样,新格式就可以在 GP 网关拆分隧道排除应用程序列表中使用。
Here we substitute the following %VARIABLES% instead of the hard coded paths: 1) c:\users\user1.bear\appdata\local\webex\webex\meetings\atmgr.exe Becomes: 1) %localAPPDATA%\webex\webex\meetings\atmgr.exe And 2) c:\Program Files (x86)\WebEx\WebEx\Applications\ptoneclk.exe Becomes: 2) %PROGRAMFILES(x86)%\webex\webex\applications\ptoneclk.exe有关上述转换的信息,请参阅: https://support.pointlogic.com/faq/troubleshooting/accessing-the-appdata-folder
- 现在,我们希望将上述 2 个已转换的应用路径添加到 GP 网关拆分隧道排除应用列表
- 在 GP 用于测试、退出 WebEx 应用程序的代理连接笔记本电脑上执行提交,并在该笔记本电脑上的 Windows 服务中重新启动 PanGPS 服务。我们这样做是为了确保 GP 代理将拉下 GP 前一步网关上配置的新拆分隧道排除应用程序列表
- 连接 GP 代理后,运行 WebEx 应用程序,然后再次查看 CurrPorts 应用程序输出,并确认在之前步骤中发现的这 2 个应用程序现在仅在笔记本电脑物理适配器的行中看到。这确认 WebEx 应用程序及其关联流量现在被排除在 GP 隧道之外