Comportamiento de túnel dividido en el GlobalProtect cliente
75244
Created On 04/30/21 00:18 AM - Last Modified 03/03/23 02:04 AM
Environment
- Cliente Windows o MacOS conectado a la GlobalProtect puerta de enlace configurada con túnel dividido
- A los efectos de este documento, utilizamos el siguiente esquema:
- GlobalProtect cliente: Windows PC con IP la dirección 192.168.10.10, puerta de enlace predeterminada 192.168.10.1
- GlobalProtect Portal/Gateway: Palo Alto Networks firewall con portal y gateway alojados en 192.168.10.1
- Interfaz virtual después de conectarse a GlobalProtect: 172.16.10.1
- Las capturas de pantalla proporcionadas son para Windows, pero el comportamiento también es el mismo para MacOS
- La opción de túnel dividido en la configuración del portal app está establecida en Solo tráfico de red (predeterminado)
- Resolver todos los FQDN mediante DNS Servidores asignados por el túnel (solo Windows ) en Configuración del portal app a Sí (predeterminado)
- No hay acceso directo a la red local en la configuración del túnel dividido de la puerta de enlace deshabilitada (predeterminado)
Resolution
Las siguientes son diferentes opciones de túnel dividido basado en rutas de acceso y basado en dominio. Tenga en cuenta que el comportamiento del tráfico con la opción basada en rutas se basa exclusivamente en la tabla de enrutamiento local. Sin embargo, el túnel dividido basado en dominio utiliza un controlador de filtro en Windows y extensiones de red en MacOS.
Sin configuración de túnel dividido
Tabla de enrutamiento:
Comportamiento del tráfico:
- A Se crea una ruta predeterminada con una métrica inferior que apunta a la interfaz virtual que enruta todo el tráfico dentro del túnel
Incluir solo rutas de acceso
Para este caso, configuremos una subred privada IP como ruta de acceso de inclusión.
Tabla de enrutamiento:
Comportamiento del tráfico:
- Incluir ruta de acceso está instalada apuntando a la interfaz virtual
- La coincidencia de tráfico incluye la ruta de acceso que pasa por el túnel
- No hay ruta predeterminada que apunte a la interfaz virtual que enruta el resto del tráfico fuera del túnel
Excluir solo rutas de acceso
Para este caso, excluya los IP rangos necesarios para Microsoft Teams.
Tabla de enrutamiento:
Comportamiento del tráfico:
- Se instalan rutas de acceso excluidas que apuntan a la interfaz externa
- La coincidencia de tráfico excluye rutas sale del túnel
- La ruta predeterminada con una métrica más baja se instala apuntando al túnel que enruta el resto del tráfico dentro del túnel
- En este caso, es una práctica común configurar una ruta de acceso de inclusión de 0.0.0.0/0. Esto es redundante y no es necesario porque la puerta de enlace inserta una ruta predeterminada implícita de todos modos.
<rutas de acceso>
<miembro>0.0.0.0/0</miembro>
</rutas de acceso>
<excluir rutas de acceso>
<miembro>13.107.64.0/18</miembro>
<miembro>52.112.0.0/14</miembro>
<miembro>52.120.0.0/14</miembro>
</exclude-access-routes>
Ambos incluyen y excluyen rutas
Para este caso, configuraremos rangos de inclusión y exclusión IP .
Tabla de enrutamiento:
Comportamiento del tráfico:
- Tanto excluir como incluir se instalan rutas de acceso que apuntan a la interfaz respectiva
- La coincidencia de tráfico incluye rutas que pasan por el túnel
- La coincidencia de tráfico excluye rutas sale del túnel
- No se instala la ruta predeterminada que apunta al túnel que enruta el resto del tráfico fuera del túnel
- Dado que la ruta predeterminada apunta a la interfaz externa, la configuración de excluir rutas aquí es redundante a menos que tengamos un caso de uso especial que cause un conflicto en la tabla de enrutamiento local y se necesiten rutas más específicas explícitamente.
Incluir solo dominios o aplicaciones
Para este caso, configuremos *paloaltonetworks.com como incluir dominio y sin rutas de acceso.
Tabla de enrutamiento:
Comportamiento del tráfico:
- Todo el tráfico que coincida con los dominios o aplicaciones de inclusión pasa por el túnel
- La ruta predeterminada con una métrica más baja se instala apuntando al túnel que enruta el resto del tráfico dentro del túnel.
- Por lo general, en este caso, nos gustaría que la ruta predeterminada apunte a la interfaz externa porque no tiene sentido incluir algunos dominios y / o aplicaciones si todo el tráfico va dentro del túnel de todos modos.
- Para resolver esto, es una práctica común configurar una ruta de acceso de exclusión de 0.0.0.0/0.Esto no producirá el resultado deseado porque la ruta implícita de inclusión predeterminada que apunta al túnel aún conservará la métrica inferior.
<rutas de acceso>
<miembro>0.0.0.0/0</miembro>
</rutas de acceso>
<excluir rutas de acceso>
<miembro>0.0.0.0/0</miembro>
</exclude-access-routes>
<include-split-tunneling-domain>
<miembro>*paloaltonetworks.com</miembro>
</include-split-tunneling-domain>
- A La solución válida a este problema es configurar una ruta de acceso ficticia (en este caso 172.17.0.0/16) que hará que la ruta predeterminada apunte a la interfaz externa sea preferida.A continuación se muestra la tabla de enrutamiento resultante.
Excluir solo dominios o aplicaciones
Para este caso, configuremos *paloaltoetworks.com como excluir dominio y sin rutas de acceso.
Tabla de enrutamiento:
Comportamiento del tráfico:
- Todo el tráfico que coincida con los dominios o aplicaciones excluidos sale del túnel
- La ruta predeterminada con una métrica más baja se instala apuntando al túnel que enruta el resto del tráfico dentro del túnel
Ambos incluyen y excluyen dominios o aplicaciones
Para este caso, configuremos para incluir el dominio *paloaltonetworks.com y excluir el dominio *zoom.us
Tabla de enrutamiento:
Comportamiento del tráfico:
- Todo el tráfico que coincida con los dominios o aplicaciones excluidos sale del túnel
- Todo el tráfico que coincida con los dominios o aplicaciones de inclusión entra en el túnel
- La ruta predeterminada con una métrica más baja se instala apuntando al túnel que enruta el resto del tráfico dentro del túnel
- La configuración de incluir dominio o aplicación es redundante aquí a menos que en un caso de uso especial con conflictos de tabla de enrutamiento local o conflictos derivados de rutas de acceso.
NOTE: Más combinaciones son posibles con las 6 opciones de túnel dividido disponibles que no cubriremos específicamente. Para determinar cómo se empareja el tráfico, siga siempre los criterios de prioridad descritos en el documento siguiente. Cualquier tráfico que no coincida con las reglas de túnel dividido basadas en aplicaciones o dominios seguirá la tabla de enrutamiento basada en las reglas descritas en las secciones 1 a 4.
- https://docs.paloaltonetworks.com/pan-os/8-1/pan-os-new-features/globalprotect-features/split-tunnel-for-public-applications.html