Verbindung zum lokalen Netzwerk kann nicht hergestellt Prisma Access Mobile Users werden GlobalProtect
11179
Created On 02/03/23 00:53 AM - Last Modified 02/15/23 03:17 AM
Symptom
Benutzer aus öffentlichen Subnetzen vor Ort (HQoder Standorten, die über ein Remotenetzwerk verfügenservice connection) können keine Verbindung herstellen mit Prisma Access Mobile Users :IP GlobalProtect
Environment
- Prisma Access
- Prisma Access Panorma verwaltet
- Prisma Access Cloud Verwaltet
- Prisma Access Service Connection
- Prisma Access Remote Networks
- Prisma Access Mobile Users - GlobalProtect
Cause
Die Prisma Access Portal- und Gateway-FQDNs werden über Natting an die öffentliche IP Adresse (Subnetz) der HQ oder Remotestandorte in Richtung Internet weitergeleitet. Diese öffentlichen IP Adressen (Subnetze) werden auch für Prisma Access Service Connection den Remotenetzwerktunnel angekündigt. Infolgedessen kam der Verbindungsverkehr in die nicht vertrauenswürdige Zone (Ethernet 1/1-Schnittstelle), aber der Portalknoten firewall hatte einen Rückweg von der GlobalProtect Vertrauenszone in die Öffentlichkeit IP (Tunnelschnittstelle zum service connection). Dadurch wird ein asymmetrisches Routing erstellt und das Paket wird verworfen.
Beispielsweise verfügt das Unternehmen über 224.100.10.0/24 und 224.100.20.0/24 als öffentliche Subnetze, die HQ am Standort verwendet werden. HQ Standort hat einen Tunnel bis Prisma access service connection von IP 224.100.20.20 eingerichtet. Von diesem Tunnel aus wird auch das Subnetz 224.100.10.0/24 angekündigt. Der service connection kündigt das Subnetz über iBGP allen MU und RN Knoten an. Außerdem wird 224.100.10.0/24 auch als Übersetzungsadresse für internetgebundenen NAT Datenverkehr verwendet. In diesem Szenario geht die globalprotect Verbindungsanforderung aus dem Internet mit der übersetzten Adresse 224.100.10.0/24. Der Mobile Users Portalknoten firewall verfügt jedoch bereits über eine Route für dieses Subnetz von .service connection
Resolution
- Beenden Sie die Ankündigung der öffentlichen IP Adresse oder des Subnetzes (das zum NAT Übersetzen von internetgebundenem Datenverkehr verwendet wird) aus dem Prisma Access Service Connection Remotenetzwerktunnel oder Remotenetzwerk.