无法连接到Prisma AccessMobile Users-GlobalProtect来自本地网络
11149
Created On 02/03/23 00:53 AM - Last Modified 02/15/23 03:17 AM
Symptom
来自 On-Premise 的用户 (HQ或网站有service connection或远程网络)公共IP子网无法连接到Prisma AccessMobile Users- GlobalProtect
Environment
- Prisma Access
- Prisma Access 全景管理
- Prisma Access 云端管理
- Prisma Access Service Connection
- Prisma Access Remote Networks
- Prisma AccessMobile Users- GlobalProtect
Cause
这Prisma Access门户网站和网关 FQDN 通过 Natting 路由到 Internet 到公众IP地址(子网)的HQ或远程站点。 这些公众IP地址(子网)也被公布到Prisma AccessService Connection或远程网络隧道。 结果,GlobalProtect连接流量进入 Untrust 区域(以太网 1/1 接口),但门户firewall节点有一条通往公共的返回路线IP从信任区(隧道接口到service connection). 这将创建非对称路由并且数据包将被丢弃。
例如,公司有224.100.10.0/24和224.100.20.0/24作为公共子网用于HQ地点。 HQ 站点已建立隧道Prisma accessservice connection从IP224.100.20.20。 从该隧道,子网 224.100.10.0/24 也被通告。 这service connection将子网通告给所有MU和RN通过 iBGP 的节点。 此外,224.100.10.0/24 也用作NAT互联网流量的转换地址。 在这种情况下,globalprotect连接请求来自 Internet,转换后的地址为 224.100.10.0/24。 但是,那Mobile Users门户网站firewall节点已经有一个到这个子网的路由service connection.
Resolution
- 停止向公众宣传IP地址或子网(用于NAT翻译互联网流量)从Prisma AccessService Connection或远程网络隧道。