Comportement de tunneling fractionné sur le GlobalProtect client
75216
Created On 04/30/21 00:18 AM - Last Modified 03/03/23 02:04 AM
Environment
- Client Windows ou MacOS connecté à GlobalProtect une passerelle configurée avec le split tunneling
- Aux fins du présent document, nous utilisons le schéma suivant :
- GlobalProtect client : Windows PC avec IP adresse 192.168.10.10, passerelle par défaut 192.168.10.1
- GlobalProtect Portail/Passerelle : Palo Alto Networks firewall avec portail et passerelle hébergés sur 192.168.10.1
- Interface virtuelle après connexion à GlobalProtect: 172.16.10.1
- Les captures d’écran fournies sont pour Windows, mais le comportement est le même pour MacOS
- L’option Split-Tunnel sous les paramètres du portail app est définie sur Trafic réseau uniquement (par défaut)
- Résoudre tous les noms de domaine complets à l’aide de DNS Serveurs affectés par le tunnel (Windows uniquement ) sous Paramètres du portail app sur Oui (par défaut)
- Aucun accès direct au réseau local sous les paramètres de tunnel fractionné de passerelle désactivés (par défaut)
Resolution
Voici différentes options de tunneling fractionné basées sur la route d’accès et sur le domaine. Veuillez noter que le comportement du trafic avec l’option basée sur l’itinéraire est purement basé sur la table de routage locale. Toutefois, le split tunneling basé sur un domaine utilise un pilote de filtre dans Windows et des extensions réseau dans MacOS.
Pas de tunneling fractionné configuré
Table de routage :
Comportement du trafic :
- A L’itinéraire par défaut avec une métrique inférieure est créé pointant vers l’interface virtuelle qui achemine tout le trafic à l’intérieur du tunnel
Inclure uniquement les voies d’accès
Dans ce cas, configurons un sous-réseau privé comme itinéraire d'accès inclus IP .
Table de routage :
Comportement du trafic :
- Inclure la route d’accès est installé pointant vers l’interface virtuelle
- L’appariement du trafic comprend la voie d’accès passant par le tunnel
- Pas d’itinéraire par défaut pointant vers l’interface virtuelle qui achemine le reste du trafic à l’extérieur du tunnel
Exclure uniquement les voies d’accès
Dans ce cas, excluons les IP plages nécessaires pour Microsoft Teams.
Table de routage :
Comportement du trafic :
- Exclure les voies d’accès sont installées pointant vers l’interface externe
- L’appariement du trafic exclut les itinéraires à l’extérieur du tunnel
- L’itinéraire par défaut avec la métrique inférieure est installé pointant vers le tunnel qui achemine le reste du trafic à l’intérieur du tunnel
- Dans ce cas, il est courant de configurer une route d’accès d’inclusion de 0.0.0.0/0. Ceci est redondant et n’est pas nécessaire car la passerelle pousse de toute façon une route implicite d’inclusion par défaut.
<voies d’accès>
<membre>0.0.0.0/0</membre>
</voies d’accès>
<exclure-access-routes>
<Membre>13.107.64.0/18</Membre>
<membre>52.112.0.0/14</membre>
<membre>52.120.0.0/14</membre>
</exclude-access-routes>
Les deux incluent et excluent des itinéraires
Dans ce cas, nous allons configurer les plages d’inclusion et d’exclusion IP .
Table de routage :
Comportement du trafic :
- Les voies d’accès exclues et incluses sont installées pointant vers l’interface respective
- L’appariement du trafic inclut les itinéraires passant par le tunnel
- L’appariement du trafic exclut les itinéraires à l’extérieur du tunnel
- L’itinéraire par défaut pointant vers le tunnel n’est pas installé qui achemine le reste du trafic à l’extérieur du tunnel
- Étant donné que la route par défaut pointe vers l’interface externe, la configuration des routes d’exclusion ici est redondante, sauf si nous avons un cas d’utilisation spécial provoquant un conflit sur la table de routage locale et que des routes plus spécifiques sont nécessaires explicitement.
Inclure uniquement les domaines ou les applications
Pour ce cas, configurons *paloaltonetworks.com comme domaine d'inclusion et aucune voie d'accès.
Table de routage :
Comportement du trafic :
- Tout le trafic correspondant aux domaines ou applications include passe par le tunnel
- L’itinéraire par défaut avec une métrique inférieure est installé pointant vers le tunnel qui achemine le reste du trafic à l’intérieur du tunnel.
- Typiquement, dans ce cas, nous aimerions que la route par défaut pointe vers l'interface externe car il n'est pas logique d'inclure certains domaines et / ou applications si tout le trafic va à l'intérieur du tunnel de toute façon.
- Pour résoudre ce problème, il est courant de configurer une route d’accès d’exclusion de 0.0.0.0/0.Cela ne produira pas le résultat souhaité car l’itinéraire implicite par défaut d’inclusion pointant vers le tunnel conservera toujours une métrique inférieure.
<voies d’accès>
<membre>0.0.0.0/0</membre>
</voies d’accès>
<exclure-access-routes>
<membre>0.0.0.0/0</membre>
</exclude-access-routes>
<include-split-tunneling-domain>
<membre>*paloaltonetworks.com</membre>
</include-split-tunneling-domain>
- A Une solution valable à ce problème consiste à configurer une route d’accès factice (dans ce cas 172.17.0.0/16) qui rendra la route par défaut pointant vers l’interface externe préférée.Vous trouverez ci-dessous la table de routage résultante.
Exclure uniquement des domaines ou des applications
Dans ce cas, configurons *paloaltoetworks.com comme domaine d'exclusion et aucune voie d'accès.
Table de routage :
Comportement du trafic :
- Tout le trafic correspondant aux domaines d’exclusion ou aux applications sort du tunnel
- L’itinéraire par défaut avec la métrique inférieure est installé pointant vers le tunnel qui achemine le reste du trafic à l’intérieur du tunnel
Les deux incluent et excluent des domaines ou des applications
Dans ce cas, configurons pour inclure le domaine *paloaltonetworks.com et exclure le domaine *zoom.us
Table de routage :
Comportement du trafic :
- Tout le trafic correspondant aux domaines d’exclusion ou aux applications sort du tunnel
- Tout le trafic correspondant aux domaines ou applications inclus va à l’intérieur du tunnel
- L’itinéraire par défaut avec la métrique inférieure est installé pointant vers le tunnel qui achemine le reste du trafic à l’intérieur du tunnel
- La configuration du domaine ou de l’application include est redondante ici, sauf dans un cas d’utilisation spécial avec des conflits de table de routage locale ou des conflits découlant des routes d’accès.
NOTE: Plus de combinaisons sont possibles avec les 6 options de split tunneling disponibles que nous ne couvrirons pas spécifiquement. Pour déterminer comment le trafic est mis en correspondance, suivez toujours les critères de priorité décrits dans le document ci-dessous. Tout trafic qui ne correspond pas aux règles de split tunneling basées sur l'application ou le domaine suivra la table de routage en fonction des règles décrites dans les sections 1 à 4.
- https://docs.paloaltonetworks.com/pan-os/8-1/pan-os-new-features/globalprotect-features/split-tunnel-for-public-applications.html