Certains utilisateurs de GlobalProtect ne peuvent pas accéder à des domaines exclus

Certains utilisateurs de GlobalProtect ne peuvent pas accéder à des domaines exclus

6084
Created On 10/21/20 02:22 AM - Last Modified 01/06/25 19:59 PM


Symptom


GlobalProtect a été déployé avec un trafic tunnelier fractionnée pour exclure une liste de domaines.
Les journaux GlobalProtect montrent que les domaines exclus sont correctement exclus.

Certains utilisateurs ne peuvent pas atteindre les domaines exclus.
Sur le navigateur Google Chrome, l’erreur affichée est « ERR_ADDRESS_INVALID ».

Lorsque GlobalProtect est désactivé, les utilisateurs peuvent accéder aux domaines exclus.

Environment


PAN-OS
GlobalProtect activé
Split-tunnel configuré avec exclusion de domaine

Cause


Le client peut s’asseoir dans un réseau natif IPv6.
Lorsqu’il est connecté à GlobalProtect, il utilise un serveur IPv4 DNS, et essayer de contacter les serveurs à l’aide d’adresses IPv4 sur le réseau IPv6.

l’ordinateur essaie de se connecter à l’adresse IPv4 à partir d’un réseau IPv6.

Pour vérifier que :
Lorsqu’il est déconnecté de GP, ping un domaine exclu pour voir l’ADRESSE IP contactée est IPv4 ou IPv6 format.

Resolution


Une solution est d’activer la fonction Split DNS (Admin Guide).
Les domaines / URL exclus seront résolus à l’aide du serveur DNS public.

Avec Split DNS, l’ordinateur peut atteindre les domaines exclus.

Additional Information


Format IPv4
32 bits représentés par 4 nombres décimales séparés par des points.

Format IPv6
128 bits représentés par jusqu’à 8 numéros hexadecimal séparés par des colons.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBGBCA4&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language