Comportamiento de túnel dividido en el GlobalProtect cliente

Comportamiento de túnel dividido en el GlobalProtect cliente

75244
Created On 04/30/21 00:18 AM - Last Modified 03/03/23 02:04 AM


Environment


  • Cliente Windows o MacOS conectado a la GlobalProtect puerta de enlace configurada con túnel dividido
  • A los efectos de este documento, utilizamos el siguiente esquema:
    • GlobalProtect cliente: Windows PC con IP la dirección 192.168.10.10, puerta de enlace predeterminada 192.168.10.1
    • GlobalProtect Portal/Gateway: Palo Alto Networks firewall con portal y gateway alojados en 192.168.10.1
    • Interfaz virtual después de conectarse a GlobalProtect: 172.16.10.1
    • Las capturas de pantalla proporcionadas son para Windows, pero el comportamiento también es el mismo para MacOS
    • La opción de túnel dividido en la configuración del portal app está establecida en Solo tráfico de red (predeterminado)
    • Resolver todos los FQDN mediante DNS Servidores asignados por el túnel (solo Windows ) en Configuración del portal app a (predeterminado)
    • No hay acceso directo a la red local en la configuración del túnel dividido de la puerta de enlace deshabilitada (predeterminado)
 
 

Resolution



Las siguientes son diferentes opciones de túnel dividido basado en rutas de acceso y basado en dominio. Tenga en cuenta que el comportamiento del tráfico con la opción basada en rutas se basa exclusivamente en la tabla de enrutamiento local. Sin embargo, el túnel dividido basado en dominio utiliza un controlador de filtro en Windows y extensiones de red en MacOS.

  1. Sin configuración de túnel dividido

Tabla de enrutamiento:

túnel sin división

Comportamiento del tráfico:

  • A Se crea una ruta predeterminada con una métrica inferior que apunta a la interfaz virtual que enruta todo el tráfico dentro del túnel

  1. Incluir solo rutas de acceso

    Para este caso, configuremos una subred privada IP como ruta de acceso de inclusión.
Ruta única-incluida
 
Tabla de enrutamiento:
include-only-rt
 
Comportamiento del tráfico:
  • Incluir ruta de acceso está instalada apuntando a la interfaz virtual
  • La coincidencia de tráfico incluye la ruta de acceso que pasa por el túnel
  • No hay ruta predeterminada que apunte a la interfaz virtual que enruta el resto del tráfico fuera del túnel

  1. Excluir solo rutas de acceso

    Para este caso, excluya los IP rangos necesarios para Microsoft Teams.
excluir-ruta-sólo
 
Tabla de enrutamiento:
exclude-route-only-rt
 
Comportamiento del tráfico:
  • Se instalan rutas de acceso excluidas que apuntan a la interfaz externa
  • La coincidencia de tráfico excluye rutas sale del túnel
  • La ruta predeterminada con una métrica más baja se instala apuntando al túnel que enruta el resto del tráfico dentro del túnel
  • En este caso, es una práctica común configurar una ruta de acceso de inclusión de 0.0.0.0/0. Esto es redundante y no es necesario porque la puerta de enlace inserta una ruta predeterminada implícita de todos modos.
<rutas de acceso>
           <miembro>0.0.0.0/0</miembro>
</rutas de acceso>
<excluir rutas de acceso>
<miembro>13.107.64.0/18</miembro>
  <miembro>52.112.0.0/14</miembro>
<miembro>52.120.0.0/14</miembro>
</exclude-access-routes>

  1. Ambos incluyen y excluyen rutas

    Para este caso, configuraremos rangos de inclusión y exclusión IP .
Ambas rutas de acceso
 
Tabla de enrutamiento:
ambos-acceso-rutas-rt
 
Comportamiento del tráfico:
  • Tanto excluir como incluir se instalan rutas de acceso que apuntan a la interfaz respectiva
  • La coincidencia de tráfico incluye rutas que pasan por el túnel
  • La coincidencia de tráfico excluye rutas sale del túnel
  • No se instala la ruta predeterminada que apunta al túnel que enruta el resto del tráfico fuera del túnel
  • Dado que la ruta predeterminada apunta a la interfaz externa, la configuración de excluir rutas aquí es redundante a menos que tengamos un caso de uso especial que cause un conflicto en la tabla de enrutamiento local y se necesiten rutas más específicas explícitamente.

  1. Incluir solo dominios o aplicaciones

    Para este caso, configuremos *paloaltonetworks.com como incluir dominio y sin rutas de acceso.
include-domain-only
 
Tabla de enrutamiento:
include-domain-only-rt
 
Comportamiento del tráfico:
  • Todo el tráfico que coincida con los dominios o aplicaciones de inclusión pasa por el túnel
  • La ruta predeterminada con una métrica más baja se instala apuntando al túnel que enruta el resto del tráfico dentro del túnel.
  • Por lo general, en este caso, nos gustaría que la ruta predeterminada apunte a la interfaz externa porque no tiene sentido incluir algunos dominios y / o aplicaciones si todo el tráfico va dentro del túnel de todos modos.
  • Para resolver esto, es una práctica común configurar una ruta de acceso de exclusión de 0.0.0.0/0.Esto no producirá el resultado deseado porque la ruta implícita de inclusión predeterminada que apunta al túnel aún conservará la métrica inferior.
<rutas de acceso>
<miembro>0.0.0.0/0</miembro>
</rutas de acceso>
<excluir rutas de acceso>
<miembro>0.0.0.0/0</miembro>
</exclude-access-routes>
<include-split-tunneling-domain>
<miembro>*paloaltonetworks.com</miembro>
</include-split-tunneling-domain> 
  • A La solución válida a este problema es configurar una ruta de acceso ficticia (en este caso 172.17.0.0/16) que hará que la ruta predeterminada apunte a la interfaz externa sea preferida.A continuación se muestra la tabla de enrutamiento resultante.
include-domain-workaround
 

  1. Excluir solo dominios o aplicaciones

    Para este caso, configuremos *paloaltoetworks.com como excluir dominio y sin rutas de acceso.
exclude-domain-only
 
Tabla de enrutamiento:
include-domain-only-rt

Comportamiento del tráfico:
  • Todo el tráfico que coincida con los dominios o aplicaciones excluidos sale del túnel
  • La ruta predeterminada con una métrica más baja se instala apuntando al túnel que enruta el resto del tráfico dentro del túnel

  1. Ambos incluyen y excluyen dominios o aplicaciones

    Para este caso, configuremos para incluir el dominio *paloaltonetworks.com y excluir el dominio *zoom.us
include-exclude-domain

Tabla de enrutamiento:
include-domain-only-rt
Comportamiento del tráfico:
  • Todo el tráfico que coincida con los dominios o aplicaciones excluidos sale del túnel
  • Todo el tráfico que coincida con los dominios o aplicaciones de inclusión entra en el túnel
  • La ruta predeterminada con una métrica más baja se instala apuntando al túnel que enruta el resto del tráfico dentro del túnel
  • La configuración de incluir dominio o aplicación es redundante aquí a menos que en un caso de uso especial con conflictos de tabla de enrutamiento local o conflictos derivados de rutas de acceso.

NOTE: Más combinaciones son posibles con las 6 opciones de túnel dividido disponibles que no cubriremos específicamente. Para determinar cómo se empareja el tráfico, siga siempre los criterios de prioridad descritos en el documento siguiente. Cualquier tráfico que no coincida con las reglas de túnel dividido basadas en aplicaciones o dominios seguirá la tabla de enrutamiento basada en las reglas descritas en las secciones 1 a 4.
  • https://docs.paloaltonetworks.com/pan-os/8-1/pan-os-new-features/globalprotect-features/split-tunnel-for-public-applications.html
 

Additional Information


  1.  NO DIRECT ACCESS TO LOCAL NETWORK" CONFIGURED WITH SPLIT TUNNEL
  1.  HOW TO CONFIGURE SPLIT DNS
  2.  GlobalProtect: Implementar aplicaciones y dominio de túnel dividido
  3.  Solucionar problemas de dominio y aplicaciones de túnel dividido y excluir el tráfico de video
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM3WCAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language