Split-Tunneling-Verhalten auf dem GlobalProtect Client
75242
Created On 04/30/21 00:18 AM - Last Modified 03/03/23 02:04 AM
Environment
- Windows- oder MacOS-Client, der mit Gateway verbunden ist, das mit GlobalProtect Split-Tunneling konfiguriert ist
- Für die Zwecke dieses Dokuments verwenden wir das folgende Schema:
- GlobalProtect Client: Windows PC mit IP Adresse 192.168.10.10, Standardgateway 192.168.10.1
- GlobalProtect Portal/Gateway: Palo Alto Networks firewall mit Portal und Gateway gehostet auf 192.168.10.1
- Virtuelle Schnittstelle nach dem Verbinden mit GlobalProtect: 172.16.10.1
- Die bereitgestellten Screenshots sind für Windows, aber das Verhalten ist auch für MacOS das gleiche
- Die Option "Split-Tunnel " unter den Portaleinstellungen app ist auf Nur Netzwerkverkehr (Standard) festgelegt.
- Auflösen aller FQDNs mit DNS Vom Tunnel zugewiesene Server (nur Windows) unter Portaleinstellungen app auf Ja (Standard)
- Kein direkter Zugriff auf das lokale Netzwerk unter Gateway-Split-Tunnel-Einstellungen deaktiviert (Standard)
Resolution
Im Folgenden werden verschiedene Optionen für zugriffsroutenbasiertes und domänenbasiertes Split-Tunneling beschrieben. Bitte beachten Sie, dass das Verkehrsverhalten bei der routenbasierten Option rein auf der lokalen Routing-Tabelle basiert. Domänenbasiertes Split-Tunneling verwendet jedoch einen Filtertreiber in Windows und Netzwerkerweiterungen in MacOS.
Kein Split-Tunneling konfiguriert
Routingtabelle:
Verkehrsverhalten:
- A Standardroute mit niedrigerer Metrik wird erstellt, die auf die virtuelle Schnittstelle verweist, die den gesamten Datenverkehr innerhalb des Tunnels leitet
Nur Zugangswege einschließen
In diesem Fall konfigurieren wir ein privates IP Subnetz als Include-Zugriffsroute.
Routingtabelle:
Verkehrsverhalten:
- Zugriffsroute einschließen ist installiert und verweist auf die virtuelle Schnittstelle
- Verkehrsausgleich inkl. Zufahrtsweg führt durch den Tunnel
- Keine Standardroute, die auf die virtuelle Schnittstelle verweist, die den Rest des Datenverkehrs außerhalb des Tunnels leitet
Nur Zugriffsrouten ausschließen
Lassen Sie uns in diesem Fall Bereiche ausschließen IP , die für Microsoft Teams benötigt werden.
Routingtabelle:
Verkehrsverhalten:
- Ausschlusszugriffsrouten werden installiert, die auf die externe Schnittstelle verweisen
- Verkehrsausgleich Ausschlussrouten außerhalb des Tunnels
- Standardroute mit niedrigerer Metrik ist installiert, die auf den Tunnel zeigt, der den Rest des Verkehrs innerhalb des Tunnels leitet
- In diesem Fall ist es üblich, die include-Zugriffsroute 0.0.0.0/0 zu konfigurieren. Dies ist redundant und nicht erforderlich, da das Gateway ohnehin eine implizite include-Standardroute pusht.
<Zufahrtswege>
<Mitglied>0.0.0.0/0</Mitglied>
</Zugangswege>
<Zugangswege ausschließen>
<Mitglied>13.107.64.0/18</Mitglied>
<Mitglied>52.112.0.0/14</Mitglied>
<Mitglied>52.120.0.0/14</Mitglied>
</Ausschluss-Zugangswege>
Sowohl ein- als auch ausschließende Routen
In diesem Fall konfigurieren wir sowohl Einschluss- als auch Ausschlussbereiche IP .
Routingtabelle:
Verkehrsverhalten:
- Sowohl Ausschluss- als auch Include-Zugriffsrouten werden installiert, die auf die jeweilige Schnittstelle verweisen
- Verkehrsabgleich inkl. Routen geht durch den Tunnel
- Verkehrsausgleich Ausschlussrouten außerhalb des Tunnels
- Standardroute, die auf den Tunnel zeigt, ist nicht installiert, wodurch der Rest des Datenverkehrs außerhalb des Tunnels geleitet wird
- Da die Standardroute auf die externe Schnittstelle verweist, ist die Konfiguration von Ausschlussrouten hier überflüssig, es sei denn, wir haben einen speziellen Anwendungsfall, der einen Konflikt in der lokalen Routingtabelle verursacht, und spezifischere Routen werden explizit benötigt.
Nur Domänen oder Anwendungen einschließen
Für diesen Fall konfigurieren wir *paloaltonetworks.com als include-Domäne und keine Zugriffsrouten.
Routingtabelle:
Verkehrsverhalten:
- Der gesamte Datenverkehr, der den Include-Domänen oder -Anwendungen entspricht, durchläuft den Tunnel
- Es wird eine Standardroute mit niedrigerer Metrik installiert, die auf den Tunnel zeigt, der den Rest des Verkehrs innerhalb des Tunnels leitet.
- In diesem Fall möchten wir, dass die Standardroute auf die externe Schnittstelle verweist, da es nicht sinnvoll ist, einige Domänen und/oder Anwendungen einzubeziehen, wenn der gesamte Datenverkehr sowieso innerhalb des Tunnels stattfindet.
- Um dieses Problem zu beheben, ist es üblich, eine Ausschlusszugriffsroute von 0.0.0.0/0 zu konfigurieren.Dies führt nicht zum gewünschten Ergebnis, da die implizite Standardroute, die auf den Tunnel verweist, immer noch eine niedrigere Metrik beibehält.
<Zufahrtswege>
<Mitglied>0.0.0.0/0</Mitglied>
</Zugangswege>
<Zugangswege ausschließen>
<Mitglied>0.0.0.0/0</Mitglied>
</Ausschluss-Zugangswege>
<include-split-tunneling-domain>
<Mitglied>*paloaltonetworks.com</Mitglied>
</include-split-tunneling-domain>
- A Eine gültige Lösung für dieses Problem besteht darin, eine Dummy-Include-Zugriffsroute (in diesem Fall 172.17.0.0/16) zu konfigurieren, wodurch die Standardroute, die auf die externe Schnittstelle zeigt, bevorzugt wird.Unten sehen Sie die resultierende Routing-Tabelle.
Nur Domänen oder Anwendungen ausschließen
Für diesen Fall konfigurieren wir *paloaltoetworks.com als Ausschlussdomäne und keine Zugriffswege.
Routingtabelle:
Verkehrsverhalten:
- Der gesamte Datenverkehr, der den ausgeschlossenen Domänen oder Anwendungen entspricht, verlässt den Tunnel
- Standardroute mit niedrigerer Metrik ist installiert, die auf den Tunnel zeigt, der den Rest des Verkehrs innerhalb des Tunnels leitet
Domänen oder Anwendungen einschließen und ausschließen
In diesem Fall konfigurieren wir die Domäne *paloaltonetworks.com und schließen Sie die Domäne *zoom.us
Routingtabelle:
Verkehrsverhalten:
- Der gesamte Datenverkehr, der den ausgeschlossenen Domänen oder Anwendungen entspricht, verlässt den Tunnel
- Der gesamte Datenverkehr, der den Include-Domänen oder -Anwendungen entspricht, wird innerhalb des Tunnels geleitet
- Standardroute mit niedrigerer Metrik ist installiert, die auf den Tunnel zeigt, der den Rest des Verkehrs innerhalb des Tunnels leitet
- Die Konfiguration von Include-Domäne oder -Anwendung ist hier redundant, es sei denn, es handelt sich um einen speziellen Anwendungsfall mit lokalen Routingtabellenkonflikten oder Konflikten, die sich aus Zugriffsrouten ergeben.
NOTE: Mit allen 6 verfügbaren Split-Tunneling-Optionen sind weitere Kombinationen möglich, auf die wir nicht speziell eingehen werden. Um zu bestimmen, wie der Datenverkehr zugeordnet wird, befolgen Sie immer die im folgenden Dokument beschriebenen Rangfolgenkriterien. Jeder Datenverkehr, der nicht den anwendungs- oder domänenbasierten Split-Tunneling-Regeln entspricht, folgt der Routingtabelle basierend auf den in den Abschnitten 1 bis 4 beschriebenen Regeln.
- https://docs.paloaltonetworks.com/pan-os/8-1/pan-os-new-features/globalprotect-features/split-tunnel-for-public-applications.html