Comportement de tunneling fractionné sur le GlobalProtect client

• Client Windows ou MacOS connecté à GlobalProtect une passerelle configurée avec le split tunneling
• Aux fins du présent document, nous utilisons le schéma suivant :
  • GlobalProtect client : Windows PC avec IP adresse 192.168.10.10, passerelle par défaut 192.168.10.1
  • GlobalProtect Portail/Passerelle : Palo Alto Networks firewall avec portail et passerelle hébergés sur 192.168.10.1
  • Interface virtuelle après connexion à GlobalProtect: 172.16.10.1
  • Les captures d’écran fournies sont pour Windows, mais le comportement est le même pour MacOS
  • L’option Split-Tunnel sous les paramètres du portail app est définie sur Trafic réseau uniquement (par défaut)
  • Résoudre tous les noms de domaine complets à l’aide de DNS Serveurs affectés par le tunnel (Windows uniquement ) sous Paramètres du portail app sur Oui (par défaut)
  • Aucun accès direct au réseau local sous les paramètres de tunnel fractionné de passerelle désactivés (par défaut)

1. Pas de tunneling fractionné configuré

Table de routage :

Comportement du trafic :

• A L’itinéraire par défaut avec une métrique inférieure est créé pointant vers l’interface virtuelle qui achemine tout le trafic à l’intérieur du tunnel

2. Inclure uniquement les voies d’accès

   Dans ce cas, configurons un sous-réseau privé comme itinéraire d'accès inclus IP .

• Inclure la route d’accès est installé pointant vers l’interface virtuelle
• L’appariement du trafic comprend la voie d’accès passant par le tunnel
• Pas d’itinéraire par défaut pointant vers l’interface virtuelle qui achemine le reste du trafic à l’extérieur du tunnel

3. Exclure uniquement les voies d’accès

   Dans ce cas, excluons les IP plages nécessaires pour Microsoft Teams.

• Exclure les voies d’accès sont installées pointant vers l’interface externe
• L’appariement du trafic exclut les itinéraires à l’extérieur du tunnel
• L’itinéraire par défaut avec la métrique inférieure est installé pointant vers le tunnel qui achemine le reste du trafic à l’intérieur du tunnel
• Dans ce cas, il est courant de configurer une route d’accès d’inclusion de 0.0.0.0/0. Ceci est redondant et n’est pas nécessaire car la passerelle pousse de toute façon une route implicite d’inclusion par défaut.

4. Les deux incluent et excluent des itinéraires

   Dans ce cas, nous allons configurer les plages d’inclusion et d’exclusion IP .

• Les voies d’accès exclues et incluses sont installées pointant vers l’interface respective
• L’appariement du trafic inclut les itinéraires passant par le tunnel
• L’appariement du trafic exclut les itinéraires à l’extérieur du tunnel
• L’itinéraire par défaut pointant vers le tunnel n’est pas installé qui achemine le reste du trafic à l’extérieur du tunnel
• Étant donné que la route par défaut pointe vers l’interface externe, la configuration des routes d’exclusion ici est redondante, sauf si nous avons un cas d’utilisation spécial provoquant un conflit sur la table de routage locale et que des routes plus spécifiques sont nécessaires explicitement.

5. Inclure uniquement les domaines ou les applications

   Pour ce cas, configurons *paloaltonetworks.com comme domaine d'inclusion et aucune voie d'accès.

• Tout le trafic correspondant aux domaines ou applications include passe par le tunnel
• L’itinéraire par défaut avec une métrique inférieure est installé pointant vers le tunnel qui achemine le reste du trafic à l’intérieur du tunnel.
• Typiquement, dans ce cas, nous aimerions que la route par défaut pointe vers l'interface externe car il n'est pas logique d'inclure certains domaines et / ou applications si tout le trafic va à l'intérieur du tunnel de toute façon.
• Pour résoudre ce problème, il est courant de configurer une route d’accès d’exclusion de 0.0.0.0/0.Cela ne produira pas le résultat souhaité car l’itinéraire implicite par défaut d’inclusion pointant vers le tunnel conservera toujours une métrique inférieure.

• A Une solution valable à ce problème consiste à configurer une route d’accès factice (dans ce cas 172.17.0.0/16) qui rendra la route par défaut pointant vers l’interface externe préférée.Vous trouverez ci-dessous la table de routage résultante.

 

6. Exclure uniquement des domaines ou des applications

   Dans ce cas, configurons *paloaltoetworks.com comme domaine d'exclusion et aucune voie d'accès.

 

Table de routage :

Comportement du trafic :

• Tout le trafic correspondant aux domaines d’exclusion ou aux applications sort du tunnel
• L’itinéraire par défaut avec la métrique inférieure est installé pointant vers le tunnel qui achemine le reste du trafic à l’intérieur du tunnel

7. Les deux incluent et excluent des domaines ou des applications

   Dans ce cas, configurons pour inclure le domaine *paloaltonetworks.com et exclure le domaine *zoom.us

Table de routage :

• Tout le trafic correspondant aux domaines d’exclusion ou aux applications sort du tunnel
• Tout le trafic correspondant aux domaines ou applications inclus va à l’intérieur du tunnel
• L’itinéraire par défaut avec la métrique inférieure est installé pointant vers le tunnel qui achemine le reste du trafic à l’intérieur du tunnel
• La configuration du domaine ou de l’application include est redondante ici, sauf dans un cas d’utilisation spécial avec des conflits de table de routage locale ou des conflits découlant des routes d’accès.

• https://docs.paloaltonetworks.com/pan-os/8-1/pan-os-new-features/globalprotect-features/split-tunnel-for-public-applications.html

1.  NO DIRECT ACCESS TO LOCAL NETWORK" CONFIGURED WITH SPLIT TUNNEL

2.  HOW TO CONFIGURE SPLIT DNS
3.  GlobalProtect: Implémenter le domaine et les applications de tunnel fractionné
4.  Dépanner le domaine et les applications de Split Tunnel et exclure le trafic vidéo