Warum bricht ein lokales Clientgerät RDP die Verbindung zur Cloud-Plattform, wenn eine Verbindung mit einem Gateway hergestellt VM GlobalProtect wird?
29219
Created On 09/21/20 22:48 PM - Last Modified 03/26/21 18:38 PM
Question
Warum verliert ein lokales Clientgerät eine RDP Verbindung zu einer VM Cloud-Plattform, wenn die VM Cloud-Plattform eine Verbindung zu einem Gateway auf einem oder GlobalProtect NGFW Prisma Access ?
Environment
- GlobalProtect Clientanwendung in der Cloud VM
- Cloud-Plattform (Azure, AWS [Amazon Wed Server], GCP [Google Cloud Platform] usw.)
- Clientgerät mit RDP Anwendung
- RDP Verbindung vom Client zur Cloud VM
- Palo Alto Networks GlobalProtect Gateway NGFW im Prisma Access "Tunnel all"-Modus
- Deaktivieren des lokalen Subnetzzugriffs ( DLSA ) "Kein direkter Zugriff auf das lokale Netzwerk" ist auf dem Gateway deaktiviert
szenarium
Der RDP Client unter 1.2.3.4 verbindet sich mit 5.6.7.8:3389 für RDP 10.1.0.5.Der Router verwendet ein NAT Ziel, um die IP von 5.6.7.8:3389 auf 10.1.0.5:3389 zu übersetzen.Wenn die Cloud VM einen Tunnel zum Global Protect Gateway einrichtet, werden alle GlobalProtect VPN Datenverkehrsrouten durch den Tunnel mit Ausnahme des lokalen Subnetzverkehrs (10.1.0.0/24) erstellt.Dadurch wird die Verbindung durchbricht, RDP da das Ziel für 1.2.3.4 nun festgelegt ist, um durch den Tunnel zum GW 192.168.1.1 statt durch den ursprünglichen nächsten Hop von 10.1.0.1 zu führen.
Answer
Um dies zu verhindern, haben wir 3 Möglichkeiten:
- A: Konfigurieren von GlobalProtect Gateway mit einer Zugriffsroute zum Ausschluss der RDP Client-Öffentlichkeit IP
- B: Konfigurieren einer Quelle NAT auf dem Router
- C: Verschachtelte Remotedesktopverbindung
Option A
Diese Option ist am besten, wenn es nur ein paar IPs gibt, die aus dem Tunnel ausgeschlossen werden VPN müssen.
- Wechseln Sie Panorama von zu , wechseln Sie zum Client configuration Split Tunneling: Network> GlobalProtect >Gateways>[Gateway Config]>Agent>Client settings>[Client Config]>Split Tunnel>Access Routes
- Fügen Sie im Abschnitt Ausschließen 1.2.3.4hinzu.
- Klicken Sie und OK OK halten Sie Ihre Änderungen.
- Commit und Push.
NOTE
Sie müssen Ihre GlobalProtect Verbindung aus der Cloud zurücksetzen. VMDie Cloud VM schließt nun 1.2.3.4 von der Verwendung des VPN Tunnels aus und hält somit die Sitzung vom RDP 1.2.3.4 Client verbunden.
Option B
Diese Option ist am besten, wenn der RDP Client von einer beliebigen Adresse stammen könnte oder es zu viele Clients gibt, die als Ausschluss hinzugefügt werden IP RDP können.In diesem Konfigurationsbeispiel wird davon ausgegangen, dass Sie eine Palo Alto Networks Cloud VM Firewall als Router verwenden.Wenn Sie eine andere Methode für Ihr Ziel NAT verwenden, lesen Sie bitte diese Anleitung, wie Sie sowohl Quelle als auch Ziel NAT in derselben policy tun.
- Bringen Sie Ihr vorhandenes Ziel NAT policy in Richtlinien> NAT ein.
- Ändern Sie im Abschnitt Übersetzte Paket>Quelle-Adressübersetzung den Übersetzungstyp in Dynamisch IP und Port.
- Ändern Sie den Adresstyp in Übersetzte Adresse.
- Fügen Sie 10.1.0.1 als Quelle übersetzte Adresse hinzu, die sich im selben Subnetz wie die Cloud VM befindet.
- Klicken Sie OK hier, um Ihre Änderungen zu bestätigen.
- Commit.
- Schließen Sie die RDP Sitzung von 1.2.3.4 auf 5.6.7.8:3389 wieder an.
Option C
Geschachtelt RDP wird ausführlich von Microsofterläutert.Bei dieser Option wird davon ausgegangen, dass Sie eine zweite Cloud VM um IP 10.1.0.6/24 in Ihrer Cloud-Umgebung mit einem Ziel NAT für RDP haben.
- RDP vom Public RDP Client in die zweite Cloud VM .
- Öffnen Sie in dieser RDP Sitzung eine neue Verbindung zur Cloud RDP VM (10.1.0.5)
- Diese Verbindung wird nicht getrennt, wenn die Cloud VM eine Verbindung mit dem Gateway GP herstellt.
Additional Information
NOTE
Alle Clients im selben Subnetz wie die Cloud VM (10.1.0.0/24) NOT erleben eine Unterbrechung der RDP Verbindung, wenn die Cloud eine Verbindung mit VM dem Gateway GP herstellt.