• GlobalProtect クラウド上のクライアント アプリケーション VM
• クラウドプラットフォーム(Azure、[ AWS アマゾンウェッドサーバー GCP ]、[Googleクラウドプラットフォーム]など)
• アプリケーションを使用したクライアント デバイス RDP
• RDP クライアントからクラウドへの接続 VM
• パロアルトネットワークス GlobalProtect ゲートウェイ上 NGFW または Prisma Access 「トンネルオール」モードで設定
• ローカル サブネット アクセスを無効にする ( DLSA ) ゲートウェイで [ローカル ネットワークに直接アクセスしない] がオフになっている

シナリオ

RDP1.2.3.4 のクライアントは、5.6.7.8:3389 に接続 RDP して 10.1.0.5 に接続します。ルータは宛先を使用 NAT して IP 5.6.7.8:3389 を 10.1.0.5:3389 に変換します。クラウドが VM GlobalProtect VPN グローバル保護ゲートウェイへのトンネルを確立すると、ローカルサブネットトラフィック(10.1.0.0/24)を除くすべてのトラフィックがトンネルを経由します。これにより RDP 、1.2.3.4 の宛先がトンネルを通って GW 10.1.0.1 の元のネクスト ホップではなく 192.168.1.1 にルーティングされるように設定されているため、接続が切断されます。

これを防ぐために、我々は3つのオプションがあります:

• A: GlobalProtect クライアントパブリックを除外するアクセスルートを使用してゲートウェイを設定する RDP IP
• B: NAT ルータの送信元を設定する
• C: ネストされたリモート デスクトップ接続

オプション A

1. から Panorama 、ゲートウェイのクライアント構成スプリット トンネリング:ネットワーク> GlobalProtect >ゲートウェイ>[ゲートウェイ構成][> ゲートウェイ構成][ゲートウェイ構成 >][クライアント構成][> クライアント構成]>スプリット トンネル>アクセス ルートに移動します。
2. [除外] セクションに 1.2.3.4 を追加します。
3. を OK クリック OK して、変更を保持します。
4. コミットとプッシュ。

オプション B

1. [ NAT policy ポリシー] で既存の宛先を起動 NAT >。
2. [ 変換されたパケット>ソース アドレス変換] セクションで、[変換の種類] を[動的 IP ] と [ポート] に変更します。
3. アドレスの種類を[変換済みアドレス]に変更します。
4. クラウドと同じサブネット上にあるソース変換アドレスとして 10.1.0.1 を追加 VM します。
5. クリック OK して変更を確定します。
6. コミットします。

7. セッションを RDP 1.2.3.4から5.6.7.8:3389に再接続する

オプション C

1. RDP パブリック RDP クライアントから第2のクラウドへ VM 。
2. この RDP セッションから、Cloud への新しい接続を開く RDP VM (10.1.0.5)
3. クラウドがゲートウェイに接続しても、この VM 接続は切断されません GP 。