Split-Tunneling-Verhalten auf dem GlobalProtect Client

• Windows- oder MacOS-Client, der mit Gateway verbunden ist, das mit GlobalProtect Split-Tunneling konfiguriert ist
• Für die Zwecke dieses Dokuments verwenden wir das folgende Schema:
  • GlobalProtect Client: Windows PC mit IP Adresse 192.168.10.10, Standardgateway 192.168.10.1
  • GlobalProtect Portal/Gateway: Palo Alto Networks firewall mit Portal und Gateway gehostet auf 192.168.10.1
  • Virtuelle Schnittstelle nach dem Verbinden mit GlobalProtect: 172.16.10.1
  • Die bereitgestellten Screenshots sind für Windows, aber das Verhalten ist auch für MacOS das gleiche
  • Die Option "Split-Tunnel " unter den Portaleinstellungen app ist auf Nur Netzwerkverkehr (Standard) festgelegt.
  • Auflösen aller FQDNs mit DNS Vom Tunnel zugewiesene Server (nur Windows) unter Portaleinstellungen app auf Ja (Standard)
  • Kein direkter Zugriff auf das lokale Netzwerk unter Gateway-Split-Tunnel-Einstellungen deaktiviert (Standard)

1. Kein Split-Tunneling konfiguriert

Routingtabelle:

Verkehrsverhalten:

• A Standardroute mit niedrigerer Metrik wird erstellt, die auf die virtuelle Schnittstelle verweist, die den gesamten Datenverkehr innerhalb des Tunnels leitet

2. Nur Zugangswege einschließen

   In diesem Fall konfigurieren wir ein privates IP Subnetz als Include-Zugriffsroute.

• Zugriffsroute einschließen ist installiert und verweist auf die virtuelle Schnittstelle
• Verkehrsausgleich inkl. Zufahrtsweg führt durch den Tunnel
• Keine Standardroute, die auf die virtuelle Schnittstelle verweist, die den Rest des Datenverkehrs außerhalb des Tunnels leitet

3. Nur Zugriffsrouten ausschließen

   Lassen Sie uns in diesem Fall Bereiche ausschließen IP , die für Microsoft Teams benötigt werden.

• Ausschlusszugriffsrouten werden installiert, die auf die externe Schnittstelle verweisen
• Verkehrsausgleich Ausschlussrouten außerhalb des Tunnels
• Standardroute mit niedrigerer Metrik ist installiert, die auf den Tunnel zeigt, der den Rest des Verkehrs innerhalb des Tunnels leitet
• In diesem Fall ist es üblich, die include-Zugriffsroute 0.0.0.0/0 zu konfigurieren. Dies ist redundant und nicht erforderlich, da das Gateway ohnehin eine implizite include-Standardroute pusht.

4. Sowohl ein- als auch ausschließende Routen

   In diesem Fall konfigurieren wir sowohl Einschluss- als auch Ausschlussbereiche IP .

• Sowohl Ausschluss- als auch Include-Zugriffsrouten werden installiert, die auf die jeweilige Schnittstelle verweisen
• Verkehrsabgleich inkl. Routen geht durch den Tunnel
• Verkehrsausgleich Ausschlussrouten außerhalb des Tunnels
• Standardroute, die auf den Tunnel zeigt, ist nicht installiert, wodurch der Rest des Datenverkehrs außerhalb des Tunnels geleitet wird
• Da die Standardroute auf die externe Schnittstelle verweist, ist die Konfiguration von Ausschlussrouten hier überflüssig, es sei denn, wir haben einen speziellen Anwendungsfall, der einen Konflikt in der lokalen Routingtabelle verursacht, und spezifischere Routen werden explizit benötigt.

5. Nur Domänen oder Anwendungen einschließen

   Für diesen Fall konfigurieren wir *paloaltonetworks.com als include-Domäne und keine Zugriffsrouten.

• Der gesamte Datenverkehr, der den Include-Domänen oder -Anwendungen entspricht, durchläuft den Tunnel
• Es wird eine Standardroute mit niedrigerer Metrik installiert, die auf den Tunnel zeigt, der den Rest des Verkehrs innerhalb des Tunnels leitet.
• In diesem Fall möchten wir, dass die Standardroute auf die externe Schnittstelle verweist, da es nicht sinnvoll ist, einige Domänen und/oder Anwendungen einzubeziehen, wenn der gesamte Datenverkehr sowieso innerhalb des Tunnels stattfindet.
• Um dieses Problem zu beheben, ist es üblich, eine Ausschlusszugriffsroute von 0.0.0.0/0 zu konfigurieren.Dies führt nicht zum gewünschten Ergebnis, da die implizite Standardroute, die auf den Tunnel verweist, immer noch eine niedrigere Metrik beibehält.

• A Eine gültige Lösung für dieses Problem besteht darin, eine Dummy-Include-Zugriffsroute (in diesem Fall 172.17.0.0/16) zu konfigurieren, wodurch die Standardroute, die auf die externe Schnittstelle zeigt, bevorzugt wird.Unten sehen Sie die resultierende Routing-Tabelle.

 

6. Nur Domänen oder Anwendungen ausschließen

   Für diesen Fall konfigurieren wir *paloaltoetworks.com als Ausschlussdomäne und keine Zugriffswege.

 

Routingtabelle:

Verkehrsverhalten:

• Der gesamte Datenverkehr, der den ausgeschlossenen Domänen oder Anwendungen entspricht, verlässt den Tunnel
• Standardroute mit niedrigerer Metrik ist installiert, die auf den Tunnel zeigt, der den Rest des Verkehrs innerhalb des Tunnels leitet

7. Domänen oder Anwendungen einschließen und ausschließen

   In diesem Fall konfigurieren wir die Domäne *paloaltonetworks.com und schließen Sie die Domäne *zoom.us

Routingtabelle:

• Der gesamte Datenverkehr, der den ausgeschlossenen Domänen oder Anwendungen entspricht, verlässt den Tunnel
• Der gesamte Datenverkehr, der den Include-Domänen oder -Anwendungen entspricht, wird innerhalb des Tunnels geleitet
• Standardroute mit niedrigerer Metrik ist installiert, die auf den Tunnel zeigt, der den Rest des Verkehrs innerhalb des Tunnels leitet
• Die Konfiguration von Include-Domäne oder -Anwendung ist hier redundant, es sei denn, es handelt sich um einen speziellen Anwendungsfall mit lokalen Routingtabellenkonflikten oder Konflikten, die sich aus Zugriffsrouten ergeben.

• https://docs.paloaltonetworks.com/pan-os/8-1/pan-os-new-features/globalprotect-features/split-tunnel-for-public-applications.html

1.  NO DIRECT ACCESS TO LOCAL NETWORK" CONFIGURED WITH SPLIT TUNNEL

2.  HOW TO CONFIGURE SPLIT DNS
3.  GlobalProtect: Split Tunnel Domain und Anwendungen implementieren
4.  Fehlerbehebung bei Split-Tunnel-Domänen und -Anwendungen und Ausschließen von Videodatenverkehr