No se puede conectar a Prisma Access Mobile Users - GlobalProtect desde la red local
11167
Created On 02/03/23 00:53 AM - Last Modified 02/15/23 03:17 AM
Symptom
Los usuarios de subredes públicas locales (HQo sitios que tienen service connection o red remota) no pueden conectarse a Prisma Access Mobile Users :IP GlobalProtect
Environment
- Prisma Access
- Prisma Access Panorma Gestionado
- Prisma Access Gestionado en la nube
- Prisma Access Service Connection
- Prisma Access Remote Networks
- Prisma Access Mobile Users - GlobalProtect
Cause
Los Prisma Access FQDN del portal y de la puerta de enlace se enrutan hacia Internet mediante natting a la dirección pública IP (subred) de los HQ sitios remotos. Estas direcciones públicas IP (subredes) también se anuncian en Prisma Access Service Connection un túnel de red remota. Como resultado, el tráfico de conexión llegaba a la zona de desconfianza (interfaz Ethernet 1/1), pero el GlobalProtect nodo del portal firewall tenía una ruta de retorno al público IP desde la zona de confianza (interfaz de service connectiontúnel al ). Esto creará un enrutamiento asimétrico y el paquete se eliminará.
Por ejemplo, la empresa tiene 224.100.10.0/24 y 224.100.20.0/24 como subredes públicas utilizadas en el HQ sitio. HQ El sitio tiene un túnel establecido a Prisma access service connection partir de IP 224.100.20.20. Desde ese túnel, también se anuncia la subred 224.100.10.0/24. El service connection anunciará la subred a todos los MU nodos y RN a través de iBGP. Además, 224.100.10.0/24 también se utiliza como dirección de traducción para el NAT tráfico vinculado a Internet. En este escenario, la solicitud de conexión va desde Internet con la globalprotect dirección traducida de 224.100.10.0/24. Sin embargo, el nodo Portal firewall ya tiene una ruta para esta subred desde el service connectionMobile Users archivo .
Resolution
- Deje de anunciar la dirección pública IP o la subred (que se utiliza para traducir el tráfico enlazado a NAT Internet) desde el Prisma Access Service Connection túnel de red remota.