为什么本地客户端设备在 RDP VM 连接到网关时会中断与云平台的连接 GlobalProtect ?
29225
Created On 09/21/20 22:48 PM - Last Modified 03/26/21 18:38 PM
Question
为什么当 RDP 云平台连接到一个 VM VM GlobalProtect NGFW 或一个或一个网关时,本地客户端设备会丢失与云平台的连接 Prisma Access ?
Environment
- GlobalProtect 云上的客户端应用 VM
- 云平台(Azure、[ AWS 亚马逊周三服务器 GCP ]、[谷歌云平台]等)
- RDP具有应用程序的客户设备
- RDP 从客户端到云的连接 VM
- 帕洛阿尔托网络 GlobalProtect 网关打开 NGFW 或 Prisma Access 配置在"隧道所有"模式
- 禁用本地子网访问 DLSA ( ) "无法直接访问本地网络"在网关上关闭
场景
RDP客户端在 1.2.3.4 连接到 5.6.7.8:3389 RDP 连接到 10.1.0.5。路由器使用目的地 NAT 将 IP 从 5.6.7.8:3389 转换为 10.1.0.5:3389。当云 VM 建立 GlobalProtect VPN 通往全球保护网关的隧道时,除本地子网交通(10.1.0.0/24)外,所有通过隧道的交通路线均为通道。因此,这将打破 RDP 连接,因为1.2.3.4的目的地现在设置为通过隧道路线到 GW 192.168.1.1,而不是通过原来的下一跳10.1.0.1。
Answer
为了防止这种情况,我们有 3 个选项:
- A: 配置 GlobalProtect 网关与访问路线,以排除 RDP 客户端公共 IP
- B: 在 NAT 路由器上配置源
- C: 嵌套远程桌面连接
选项 A
如果只有几个 IP 需要被排除在隧道之外,则此选项最好 VPN 。
- 从 Panorama , 转到网关的客户端配置拆分隧道:网络 GlobalProtect >>门道>[网关配置]>代理>客户端设置>[客户配置]>光端隧道>访问路线
- 在排除部分,添加 1.2.3.4。
- 单 OK 击 OK 并保留更改。
- 提交和推送。
NOTE
您将需要 GlobalProtect 从云中重置连接 VM 。云 VM 现在将排除 1.2.3.4 使用 VPN 隧道,从而使 RDP 会话远离连接的 1.2.3.4 客户端。
选项 B
如果 RDP 客户端可能来自任何 IP 地址,或者有太多的 RDP 客户端无法添加为排除项,则此选项是最好的。此配置示例假定您使用帕洛阿尔托网络云 VM Firewall 作为路由器。如果您正在使用另一种方法为您的目的地 NAT ,请咨询该指南如何做来源和目的地 NAT 在同一 policy 。
- 在政策中提出您现有的目的地 NAT policy NAT >。
- 在翻译包>来源地址翻译部分,将翻译类型更改为动态 IP 和端口。
- 将地址类型更改为已翻译地址。
- 添加 10.1.0.1 作为源翻译地址,该地址位于与云相同的子网中 VM 。
- 单击 OK 以确认您的更改。
- 提交。
- RDP将会话从 1.2.3.4 重新连接到 5.6.7.8:3389
选项 C
嵌套RDP是从微软的详细解释。此选项假定您的云环境中有第二个云 VM 在 IP 10.1.0.6/24 与目的地 NAT RDP 。
- RDP 从公共 RDP 客户端到第二个云 VM 。
- 从此 RDP 会话开始,打开 RDP 云的新连接 VM (10.1.0.5)
- 当云 VM 连接到网关时,此连接不会下降 GP 。
Additional Information
NOTE
当云 VM 连接到网关时,与云相同的子网(10.1.0.0/24)上的任何客户都将 NOT 经历 RDP 连接中断 VM GP 。