Der GlobalProtect-Benutzertunnel zeigt die IP-Adresse vor der Anmeldung anstelle des IP-Pools des dedizierten Benutzers an

• Der GlobalProtect-Tunnel für Benutzer wird mit dem IP-Pool aus dem "Pre-Logon"-Tunnel beibehalten
• Sicherheitsrichtlinien, die auf Quell-IP-Adressen basieren, werden nicht korrekt angewendet

• Palo Alto Firewalls
• Unterstützte PAN-OS-Versionen
• GlobalProtect (GP) Gateway
• GlobalProtect App
• Unterstützte Client-Versionen
• Windows-Clients

• Dieses Verhalten hängt von dem Wert ab, der für Timeout für Tunnelumbenennung vor der Anmeldung ausgewählt wurde. (Netzwerk > GlobalProtect Portals > <portal-config> > Agent > <agent-config> App )
• Wenn "-1" eingegeben wird, benennt GP den Tunnel um, um ihn dem Benutzer neu zuzuweisen.
• Der Tunnel bleibt jedoch bestehen, wenn die Umbenennung fehlschlägt oder wenn sich der Benutzer nicht beim GP-Gateway anmeldet.

1. Wählen Sie "0" für die Option "Zeitüberschreitung für Tunnelumbenennung vor der Anmeldung" aus, um den Tunnel zu beenden, nachdem sich der Benutzer am Computer angemeldet hat.
2. Nachdem sich der Benutzer erfolgreich authentifiziert hat, wird eine neue IP-Adresse aus dem IP-Pool des dedizierten Benutzers zugewiesen.

1. Wählen Sie in der GP-App die Option Verbindung aktualisieren aus, um einen neuen Tunnel von Grund auf neu einzurichten.

Ein Wert von "1 bis 600" für die Timeoutoption für die Umbenennung des Tunnels vor der Anmeldung würde den Tunnel für die angegebene Zeit aufrechterhalten, sodass sich Benutzer authentifizieren können, bevor sie den Tunnel vor der Anmeldung beenden.