Impossible de se connecter à - GlobalProtect à Prisma Access Mobile Users partir du réseau sur site
11173
Created On 02/03/23 00:53 AM - Last Modified 02/15/23 03:17 AM
Symptom
Les utilisateurs des sous-réseaux publics sur site (HQou Sites disposant d’un service connection réseau distant) ne peuvent pas se connecter à Prisma Access Mobile Users -IP GlobalProtect
Environment
- Prisma Access
- Prisma Access Panorma géré
- Prisma Access Gestion du cloud
- Prisma Access Service Connection
- Prisma Access Remote Networks
- Prisma Access Mobile Users - GlobalProtect
Cause
Les Prisma Access noms de domaine complets du portail et de la passerelle sont acheminés vers Internet par Natting vers l’adresse publique IP (sous-réseau) du HQ ou des sites distants. Ces adresses publiques IP (sous-réseaux) sont également annoncées dans Prisma Access Service Connection un tunnel de réseau distant. En conséquence, le trafic de connexion arrivait à la zone d’approbation (interface Ethernet 1/1) mais le nœud du portail firewall avait une route de retour vers le public IP à partir de la zone de confiance (interface tunnel vers le GlobalProtect service connection). Cela créera un routage asymétrique et le paquet sera abandonné.
Par exemple, la société dispose de 224.100.10.0/24 et 224.100.20.0/24 en tant que sous-réseaux publics utilisés dans le HQ site. HQ Le site dispose d’un tunnel établi à Prisma access service connection partir de IP 224.100.20.20. À partir de ce tunnel, le sous-réseau 224.100.10.0/24 est également annoncé. Le service connection annoncera le sous-réseau à tous les MU nœuds et RN via iBGP. En outre, 224.100.10.0/24 est également utilisé comme adresse de traduction pour le NAT trafic Internet. Dans ce scénario, la globalprotect demande de connexion provient d’Internet avec l’adresse traduite de 224.100.10.0/24. Toutefois, le nœud Portal firewall dispose déjà d’un Mobile Users itinéraire pour ce sous-réseau à partir du service connection.
Resolution
- Arrêtez d’annoncer l’adresse publique IP ou le sous-réseau (utilisé pour NAT traduire le trafic Internet) à partir du Prisma Access Service Connection tunnel ou Réseau distant.