Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
ゲートウェイに接続する際に、ローカル クライアント デバイス RDP がクラウド VM プラットフォームへの接続を切断する理由... - Knowledge Base - Palo Alto Networks

ゲートウェイに接続する際に、ローカル クライアント デバイス RDP がクラウド VM プラットフォームへの接続を切断する理由 GlobalProtect

39407
Created On 09/21/20 22:48 PM - Last Modified 03/26/21 18:38 PM


Question


RDPCloud-プラットフォームがゲートウェイに接続するときに、ローカルクライアントデバイス VM がクラウドプラットフォーム VM への接続を失 GlobalProtect NGFW う理由 Prisma Access

Environment


  • GlobalProtect クラウド上のクライアント アプリケーション VM
  • クラウドプラットフォーム(Azure、[ AWS アマゾンウェッドサーバー GCP ]、[Googleクラウドプラットフォーム]など)
  • アプリケーションを使用したクライアント デバイス RDP
  • RDP クライアントからクラウドへの接続 VM
  • パロアルトネットワークス GlobalProtect ゲートウェイ上 NGFW または Prisma Access 「トンネルオール」モードで設定
  • ローカル サブネット アクセスを無効にする ( DLSA ) ゲートウェイで [ローカル ネットワークに直接アクセスしない] がオフになっている

シナリオ

RDP1.2.3.4 のクライアントは、5.6.7.8:3389 に接続 RDP して 10.1.0.5 に接続します。ルータは宛先を使用 NAT して IP 5.6.7.8:3389 を 10.1.0.5:3389 に変換します。クラウドが VM GlobalProtect VPN グローバル保護ゲートウェイへのトンネルを確立すると、ローカルサブネットトラフィック(10.1.0.0/24)を除くすべてのトラフィックがトンネルを経由します。これにより RDP 、1.2.3.4 の宛先がトンネルを通って GW 10.1.0.1 の元のネクスト ホップではなく 192.168.1.1 にルーティングされるように設定されているため、接続が切断されます。

ネットワーク ダイアグラムのレイアウト

Answer


これを防ぐために、我々は3つのオプションがあります:

  • A: GlobalProtect クライアントパブリックを除外するアクセスルートを使用してゲートウェイを設定する RDP IP
  • B: NAT ルータの送信元を設定する
  • C: ネストされたリモート デスクトップ接続
 

オプション A


このオプションは、トンネルから除外する必要がある IP が 2 つしかない場合に最適です VPN 。
  1. から Panorama 、ゲートウェイのクライアント構成スプリット トンネリング:ネットワーク> GlobalProtect >ゲートウェイ>[ゲートウェイ構成][> ゲートウェイ構成][ゲートウェイ構成 >][クライアント構成][> クライアント構成]>スプリット トンネル>アクセス ルートに移動します。
  2. [除外] セクションに 1.2.3.4 を追加します。
  3. OK クリック OK して、変更を保持します。
  4. コミットとプッシュ。
ゲートウェイ構成を除外する IP

NOTE
GlobalProtectクラウドから接続をリセットする必要があります VM 。Cloud VM はトンネルの使用から 1.2.3.4 を除外 VPN し RDP 、1.2.3.4 クライアントからセッションを接続したままにします。
 

 

 


オプション B

このオプションは、クライアントが RDP 任意のアドレスから取得できる場合 IP 、または RDP 除外として追加するクライアントが多すぎる場合に最適です。この設定例では、ルーターとしてパロアルトネットワークスクラウドを使用 VM Firewall していることを前提としています。[送り先] で別の方法を使用している場合は、 NAT 同じで送信元と宛先の両方を実行する方法に関するガイドを参照してください NAT policy 。
  1. [ NAT policy ポリシー] で既存の宛先を起動 NAT >。
  2. [ 変換されたパケット>ソース アドレス変換] セクションで、[変換の種類] を[動的 IP ] と [ポート] に変更します。
  3. アドレスの種類を[変換済みアドレス]に変更します。
  4. クラウドと同じサブネット上にあるソース変換アドレスとして 10.1.0.1 を追加 VM します。
  5. クリック OK して変更を確定します。
  6. コミットします。
先 NAT
  1. セッションを RDP 1.2.3.4から5.6.7.8:3389に再接続する


オプション C

入れ子になった RDP のは 、マイクロソフトから完全に詳細に説明されています。このオプションは、クラウド環境に 2 つ目のクラウドが VM IP 10.1.0.6/24 で、宛先が付けられていると仮定 NAT RDP します。
  1. RDP パブリック RDP クライアントから第2のクラウドへ VM 。
  2. この RDP セッションから、Cloud への新しい接続を開く RDP VM (10.1.0.5)
  3. クラウドがゲートウェイに接続しても、この VM 接続は切断されません GP 。

 

Additional Information


NOTE
クラウドと同じサブネット上のクライアント VM (10.1.0.0/24) は、 NOT RDP クラウドがゲートウェイに接続すると、接続が中断 VM されます GP 。
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 239,515
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HAoMCAW&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language