Pourquoi un appareil client local rompt-il la RDP connexion à la plate-forme Cloud VM lorsqu’il se connecte à une GlobalProtect passerelle ?
29215
Created On 09/21/20 22:48 PM - Last Modified 03/26/21 18:38 PM
Question
Pourquoi un périphérique client local perd-il une RDP connexion à une plate-forme Cloud VM lorsque la plate-forme Cloud VM se connecte à une passerelle sur GlobalProtect un ou NGFW Prisma Access ?
Environment
- GlobalProtect Application client sur le Cloud VM
- Plate-forme cloud (Azure, AWS [Serveurs De Mer Amazon], GCP [Plate-forme Google Cloud], etc.)
- Dispositif client avec RDP application
- RDP connexion client au cloud VM
- Palo Alto Networks GlobalProtect Gateway activé NGFW ou Prisma Access configuré en mode « tunnel all »
- Désactiver l’accès subnet local ( DLSA ) « Aucun accès direct au réseau local » n’est désactivé sur la passerelle
scénario
Le RDP Client au 1.2.3.4 se connecte au 5.6.7.8:3389 RDP pour 10.1.0.5.Le routeur utilise une destination NAT pour traduire le de IP 5.6.7.8:3389 à 10.1.0.5:3389.Lorsque le Cloud VM établit un tunnel vers la porte GlobalProtect VPN d’entrée global protect, toutes les routes de circulation à travers le tunnel à l’exception du trafic subnet local (10.1.0.0/24).Cela va donc briser la RDP connexion que la destination pour 1.2.3.4 est maintenant mis à l’itinéraire à travers le tunnel à la GW 192.168.1.1 au lieu de passer par le saut suivant d’origine de 10.1.0.1.
Answer
Pour éviter cela, nous avons 3 options :
- A: Configurer GlobalProtect la passerelle avec un itinéraire d’accès pour exclure le public RDP client IP
- B: Configurer une source NAT sur le routeur
- C: Connexion de bureau à distance imbriquée
Option A
Cette option est préférable s’il n’y a que quelques adresses IP qui doivent être exclues du VPN tunnel.
- De , allez à la configuration client de votre Panorama passerelle Split Tunneling: Network> GlobalProtect >Gateways>[Gateway Config]>Agent>Client Settings>[Client Config]>Split Tunnel>Access Routes
- Dans la section Exclusion, ajouter 1.2.3.4.
- Cliquez OK et pour conserver vos OK modifications.
- Engagez-vous et poussez.
NOTE
Vous devrez réinitialiser votre GlobalProtect connexion à partir du Cloud VM .Le Cloud VM exclura désormais 1.2.3.4 de l’utilisation VPN du tunnel et gardera ainsi la session RDP du client 1.2.3.4 connecté.
Option B
Cette option est préférable si le RDP client peut être de n’importe quelle adresse ou il ya trop de clients à ajouter comme une IP RDP exclusion.Cet exemple config suppose que vous utilisez un Cloud Palo Alto Networks VM Firewall comme routeur.Si vous utilisez une autre méthode pour votre destination NAT , s’il vous plaît consulter ce guide sur la façon de faire à la fois source et NAT destination dans le même policy .
- Apportez votre destination existante dans NAT policy les politiques> NAT .
- Dans la section Traduction du >Source, modifiez le type de traduction en dynamique IP et en port.
- Modifier le type d’adresse à l’adresse traduite.
- Ajoutez 10.1.0.1 comme adresse traduite source qui se trouve sur le même sous-réseau que le Cloud VM .
- Cliquez OK pour confirmer vos modifications.
- S’engager.
- Reconnectez RDP la séance de 1.2.3.4 à 5.6.7.8:3389
Option C
Nested RDP est expliqué en détail par Microsoft.Cette option suppose que vous avez un deuxième Cloud VM à IP 10.1.0.6/24 dans votre environnement Cloud avec une destination NAT pour RDP .
- RDP du client RDP public au deuxième Cloud VM .
- À partir RDP de cette session, ouvrez RDP une nouvelle connexion au Cloud VM (10.1.0.5)
- Cette connexion ne diminuera pas lorsque le Cloud VM se connecte à la GP passerelle.
Additional Information
NOTE
Tous les clients sur le même sous-réseau que le Cloud VM (10.1.0.0/24) feront NOT l’expérience d’une rupture RDP de connexion lorsque le Cloud se VM connecte à la GP Passerelle.