に接続できませんPrisma AccessMobile Users-GlobalProtectオンプレミス ネットワークから

に接続できませんPrisma AccessMobile Users-GlobalProtectオンプレミス ネットワークから

11161
Created On 02/03/23 00:53 AM - Last Modified 02/15/23 03:17 AM


Symptom


オンプレミスのユーザー (HQまたはservice connectionまたはリモートネットワーク) publicIPサブネットに接続できませんPrisma AccessMobile Users- GlobalProtect

Environment


  • Prisma Access
  • Prisma Access Panorma マネージド
  • Prisma Access クラウドマネージド
  • Prisma Access Service Connection
  • Prisma Access Remote Networks
  • Prisma AccessMobile Users- GlobalProtect

Cause


のPrisma Accessポータルとゲートウェイの FQDN は、Natting to public によってインターネットにルーティングされますIPのアドレス (サブネット)HQまたはリモートサイト。 これらの公共IPアドレス (サブネット) もアドバタイズされますPrisma AccessService Connectionまたはリモート ネットワーク トンネルも同様です。 その結果、GlobalProtect接続トラフィックは Untrust ゾーン (イーサネット 1/1 インターフェース) に来ていましたが、ポータルはfirewallノードには Public へのリターン ルートがありましたIPトラスト ゾーンから(トンネル インターフェイスからservice connection)。 これにより、非対称ルーティングが作成され、パケットがドロップされます。

たとえば、会社は、HQサイト。 HQ サイトにはトンネルが確立されていますPrisma accessservice connectionからIP224.100.20.20. そのトンネルから、サブネット 224.100.10.0/24 もアドバタイズされます。 のservice connectionサブネットをすべてのMUとRNiBGP を介したノード。 また、224.100.10.0/24 もNATインターネット向けトラフィックの変換アドレス。 このシナリオでは、globalprotect接続要求は、変換されたアドレス 224.100.10.0/24 を使用してインターネットから送信されます。 しかしMobile Usersポータルfirewallノードには、このサブネットへのルートがすでにあります。service connection .

Resolution


  1. 一般向けの宣伝はやめましょうIPアドレスまたはサブネット (これはNATインターネット行きのトラフィックを変換するため) からPrisma AccessService Connectionまたはリモート ネットワーク トンネル。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kGmsCAE&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language