¿Por qué un dispositivo cliente local rompe RDP la conexión a la plataforma en la nube al conectarse a una puerta de VM GlobalProtect enlace?

Created On 09/21/20 22:48 PM - Last Modified 03/26/21 18:38 PM

Question

¿Por qué un dispositivo cliente local pierde una RDP conexión a una plataforma en la nube cuando la plataforma VM Cloud- se conecta a una VM puerta de enlace en un GlobalProtect NGFW Prisma Access o?

Environment

GlobalProtect Aplicación cliente en la nube VM
Plataforma en la nube (Azure, AWS [Amazon Wed Servers], GCP [Google Cloud Platform], etc.)
Dispositivo cliente con RDP aplicación
RDP conexión de Cliente a nube VM
Palo Alto Networks GlobalProtect Gateway encendido o configurado en modo NGFW Prisma Access "tunnel all"
Deshabilitar el acceso a subred local ( DLSA ) "No hay acceso directo a la red local" está desactivado en la puerta de enlace

Escenario

El RDP cliente en 1.2.3.4 conecta con 5.6.7.8:3389 para RDP 10.1.0.5.El router utiliza un destino NAT para traducir el de IP 5.6.7.8:3389 a 10.1.0.5:3389.Cuando la nube VM establece un túnel a la puerta de enlace de protección GlobalProtect VPN global, todo el tráfico rutea a través del túnel excepto el tráfico de subred local (10.1.0.0/24).Esto romperá así la RDP conexión como destino para 1.2.3.4 ahora se fija para rutear a través del túnel al GW 192.168.1.1 en lugar de a través del salto siguiente original de 10.1.0.1.

Diseño del diagrama de red

Answer

Para evitar esto, tenemos 3 opciones:

A: Configurar GlobalProtect gateway con una ruta de acceso para excluir el cliente RDP público IP
B: Configure una fuente NAT en el router
C: Conexión a Escritorio remoto anidada

Opción A

Esta opción es mejor si hay solamente un par de IP que necesitan ser excluidos del VPN túnel.

De Panorama , vaya a la tu gateway's Client Configuration Split Tunneling: Network> GlobalProtect >Gateways>[Gateway Config]>Agent>Client Settings>[Client Config]>Split Tunnel>Access Routes
En la sección Excluir, agregue 1.2.3.4.
Haga clic OK y OK mantenga los cambios.
Comprometer y empujar.

Configuración de puerta de enlace para excluir un IP

NOTE
Deberá restablecer la GlobalProtect conexión desde la VM nube.La nube VM ahora excluirá 1.2.3.4 del uso del VPN túnel y así mantendrá la sesión del cliente RDP 1.2.3.4 conectado.

Opción B

Esta opción es mejor si el RDP cliente podría ser de cualquier dirección o hay IP demasiados clientes para agregar como una RDP exclusión.En este ejemplo de configuración se supone que está utilizando Palo Alto Networks Cloud VM Firewall como enrutador.Si está utilizando otro método para su destino NAT , consulte esa guía sobre cómo hacer origen y destino en el mismo NAT policy .

Traiga su destino existente NAT policy en las directivas> NAT .
En la sección Traducción de direcciones de paquete traducido>Fuente, cambie Tipo de traducción a Dinámico IP y Puerto.
Cambiar tipo de dirección a dirección traducida.
Agregue 10.1.0.1 como dirección traducida de origen que se encuentra en la misma subred que la VM nube.
Haga clic OK para confirmar los cambios.
Confirmar.

Vuelva a conectar la RDP sesión de 1.2.3.4 a 5.6.7.8:3389

Opción C

Nested seRDP explica con todo detalle desde Microsoft.Esta opción supone que tiene una segunda nube VM en IP 10.1.0.6/24 en su entorno de nube con un destino NAT para RDP .

RDP desde Public RDP Client hasta la segunda VM nube.
Desde esta RDP sesión, abra una nueva RDP conexión a cloud VM (10.1.0.5)
Esta conexión no se quitará cuando la nube VM se conecte a la puerta de GP enlace.

Additional Information

NOTE
Los clientes de la misma subred que la nube VM (10.1.0.0/24) NOT experimentarán una interrupción en RDP la conexión cuando la nube se conecte a la puerta de VM GP enlace.