某些全局保护用户无法访问排除的域

某些全局保护用户无法访问排除的域

6072
Created On 10/21/20 02:22 AM - Last Modified 01/06/25 19:59 PM


Symptom


已部署"全局保护",使用拆分隧道流量来排除域列表。
全局保护日志显示排除的域被正确排除。

某些用户无法访问排除的域。
在浏览器 Google Chrome 浏览器上,显示的错误是"ERR_ADDRESS_INVALID"。

禁用 GlobalProtect 时,用户可以访问排除的域。

Environment



PAN-OS 全局保护启用
了配置域排除的拆分隧道

Cause


客户端可能位于 IPv6 本机网络中。
连接到 GlobalProtect 时,它使用 IPv4 DNS 服务器,并尝试通过 IPv6 网络使用 IPv4 地址与服务器联系。

计算机正在尝试从 IPv6 网络连接到 IPv4 地址。

要检查 :与
GP 断开连接时,ping 一个排除的域以查看联系的 IP 是 IPv4 或 IPv6 格式。

Resolution


一个解决方案是启用拆分 DNS 功能 (管理指南)。
排除的域/URL 将使用公共 DNS 服务器解析。

使用拆分 DNS,计算机可以到达排除的域。

Additional Information


IPv4 格式
32 位,由 4 个十进制数字分隔点表示。

IPv6 格式
128 位,由最多 8 个十六进制数字表示,由冒号分隔。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBGBCA4&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language