でのスプリット トンネリング動作GlobalProtectクライアント

• に接続されている Windows または MacOS クライアントGlobalProtectスプリット トンネリングで構成されたゲートウェイ
• このドキュメントでは、次のスキームを使用します。
  • GlobalProtect クライアント: WindowsPCとIPアドレス 192.168.10.10、デフォルト ゲートウェイ 192.168.10.1
  • GlobalProtect ポータル/ゲートウェイ: Palo Alto Networksfirewallポータルとゲートウェイが 192.168.10.1 でホストされている
  • 接続後の仮想インターフェイスGlobalProtect: 172.16.10.1
  • 提供されているスクリーンショットは Windows のものですが、動作は MacOS でも同じです
  • 分割トンネル オプションポータルの下app設定はネットワーク トラフィックのみ（デフォルト）
  • を使用してすべての FQDN を解決するDNSトンネルによって割り当てられたサーバー (Windows のみ)ポータルの下appへの設定はい（デフォルト）
  • ローカルネットワークへの直接アクセスなしゲートウェイ スプリット トンネル設定で無効 (デフォルト)

1. スプリット トンネリングが設定されていません

ルーティング テーブル:

交通行動:

• A トンネル内のすべてのトラフィックをルーティングする仮想インターフェイスを指す、より低いメトリックのデフォルト ルートが作成されます。

2. アクセスルートのみを含める

   この場合、1 つのプライベートを構成しましょう。IPアクセスルートを含むサブネット。

• 仮想インターフェースを指すようにアクセス経路がインストールされていることを含める
• トラフィック マッチングには、トンネルを通過するアクセス ルートが含まれます
• 残りのトラフィックをトンネルの外にルーティングする仮想インターフェイスを指すデフォルト ルートがない

3. アクセス経路のみ除外

   この場合、除外しましょうIPMicrosoft Teams に必要な範囲。

• 外部インターフェースを指して設置されているアクセス経路を除外する
• 除外ルートに一致するトラフィックがトンネルの外に出る
• トンネル内の残りのトラフィックをルーティングするトンネルを指す、より低いメトリックのデフォルト ルートがインストールされます
• この場合、0.0.0.0/0 のインクルード アクセス ルートを設定するのが一般的です。 ゲートウェイは暗黙のインクルード デフォルト ルートをとにかくプッシュするため、これは冗長であり、必要ありません。

4. ルートの包含と除外の両方

   この場合、包含と除外の両方を構成しますIP範囲。

• それぞれのインターフェイスを指すように、exclude と include の両方のアクセス ルートがインストールされます
• ルートを含む一致するトラフィックはトンネルを通過します
• 除外ルートに一致するトラフィックがトンネルの外に出る
• トンネルを指すデフォルト ルートがインストールされていないため、残りのトラフィックがトンネルの外にルーティングされます
• デフォルト ルートは外部インターフェイスを指すため、ここで除外ルートを設定することは、ローカル ルーティング テーブルで競合を引き起こす特別なユース ケースがあり、より具体的なルートが明示的に必要とされない限り冗長です。

5. ドメインまたはアプリケーションのみを含める

   この場合、設定しましょう* paloaltonetworks.comドメインを含み、アクセス経路はありません。

• インクルード ドメインまたはアプリケーションに一致するすべてのトラフィックがトンネルを通過します。
• トンネル内の残りのトラフィックをルーティングするトンネルを指す、より低いメトリックのデフォルト ルートがインストールされます。
• 通常、この場合、デフォルト ルートが外部インターフェイスを指すようにします。これは、とにかくすべてのトラフィックがトンネル内に向かう場合、一部のドメインやアプリケーションを含める意味がないためです。
• これを解決するには、0.0.0.0/0 の除外アクセス ルートを構成するのが一般的です。トンネルを指す暗黙のインクルード デフォルト ルートは依然として低いメトリックを保持するため、これは望ましい結果を生成しません。

• A この問題の有効な解決策は、ダミーのインクルード アクセス ルート (この場合は 172.17.0.0/16) を構成することです。これにより、外部インターフェイスを指すデフォルト ルートが優先されます。以下は、結果のルーティング テーブルです。

 

6. ドメインまたはアプリケーションのみを除外する

   この場合、設定しましょう*paloaltoetworks.comドメインを除外し、アクセス経路を設定しません。

 

ルーティング テーブル:

交通行動:

• 除外ドメインまたはアプリケーションに一致するすべてのトラフィックがトンネルの外に出ます
• トンネル内の残りのトラフィックをルーティングするトンネルを指す、より低いメトリックのデフォルト ルートがインストールされます

7. ドメインまたはアプリケーションの包含と除外の両方

   この場合、ドメインを含めるように構成しましょう*paloaltonetworks.comドメインを除外する*zoom.us

ルーティング テーブル:

• 除外ドメインまたはアプリケーションに一致するすべてのトラフィックがトンネルの外に出ます
• インクルード ドメインまたはアプリケーションに一致するすべてのトラフィックは、トンネル内に入ります。
• トンネル内の残りのトラフィックをルーティングするトンネルを指す、より低いメトリックのデフォルト ルートがインストールされます
• ローカル ルーティング テーブルの競合またはアクセス ルートに起因する競合を伴う特別な使用例でない限り、ここでインクルード ドメインまたはアプリケーションを構成することは冗長です。

• https://docs.paloaltonetworks.com/pan-os /8-1/pan-os -新機能/globalprotect -features/split-tunnel-for-public-applications.html

1. NO DIRECT ACCESS TO LOCAL NETWORK"CONFIGURED WITH SPLIT TUNNEL

2.  HOW TO CONFIGURE SPLIT DNS
3. GlobalProtect: スプリット トンネル ドメインとアプリケーションの実装
4. スプリット トンネル ドメインとアプリケーションのトラブルシューティングとビデオ トラフィックの除外