でのスプリット トンネリング動作GlobalProtectクライアント
75258
Created On 04/30/21 00:18 AM - Last Modified 03/03/23 02:04 AM
Environment
- に接続されている Windows または MacOS クライアントGlobalProtectスプリット トンネリングで構成されたゲートウェイ
- このドキュメントでは、次のスキームを使用します。
- GlobalProtect クライアント: WindowsPCとIPアドレス 192.168.10.10、デフォルト ゲートウェイ 192.168.10.1
- GlobalProtect ポータル/ゲートウェイ: Palo Alto Networksfirewallポータルとゲートウェイが 192.168.10.1 でホストされている
- 接続後の仮想インターフェイスGlobalProtect: 172.16.10.1
- 提供されているスクリーンショットは Windows のものですが、動作は MacOS でも同じです
- 分割トンネル オプションポータルの下app設定はネットワーク トラフィックのみ(デフォルト)
- を使用してすべての FQDN を解決するDNSトンネルによって割り当てられたサーバー (Windows のみ)ポータルの下appへの設定はい(デフォルト)
- ローカルネットワークへの直接アクセスなしゲートウェイ スプリット トンネル設定で無効 (デフォルト)
Resolution
以下は、異なるアクセス ルート ベースおよびドメイン ベースのスプリット トンネリング オプションです。 ルートベース オプションを使用したトラフィックの動作は、純粋にローカル ルーティング テーブルに基づいていることに注意してください。 ただし、ドメインベースのスプリット トンネリングは、Windows ではフィルター ドライバーを使用し、MacOS ではネットワーク拡張機能を使用します。
スプリット トンネリングが設定されていません
ルーティング テーブル:
交通行動:
- A トンネル内のすべてのトラフィックをルーティングする仮想インターフェイスを指す、より低いメトリックのデフォルト ルートが作成されます。
アクセスルートのみを含める
この場合、1 つのプライベートを構成しましょう。IPアクセスルートを含むサブネット。
ルーティング テーブル:
交通行動:
- 仮想インターフェースを指すようにアクセス経路がインストールされていることを含める
- トラフィック マッチングには、トンネルを通過するアクセス ルートが含まれます
- 残りのトラフィックをトンネルの外にルーティングする仮想インターフェイスを指すデフォルト ルートがない
アクセス経路のみ除外
この場合、除外しましょうIPMicrosoft Teams に必要な範囲。
ルーティング テーブル:
交通行動:
- 外部インターフェースを指して設置されているアクセス経路を除外する
- 除外ルートに一致するトラフィックがトンネルの外に出る
- トンネル内の残りのトラフィックをルーティングするトンネルを指す、より低いメトリックのデフォルト ルートがインストールされます
- この場合、0.0.0.0/0 のインクルード アクセス ルートを設定するのが一般的です。 ゲートウェイは暗黙のインクルード デフォルト ルートをとにかくプッシュするため、これは冗長であり、必要ありません。
<アクセスルート>
<メンバー>0.0.0.0/0</メンバー>
</アクセスルート>
<除外アクセスルート>
<メンバー>13.107.64.0/18</メンバー>
<メンバー>52.112.0.0/14</メンバー>
<メンバー>52.120.0.0/14</メンバー>
</exclude アクセス ルート>
ルートの包含と除外の両方
この場合、包含と除外の両方を構成しますIP範囲。
ルーティング テーブル:
交通行動:
- それぞれのインターフェイスを指すように、exclude と include の両方のアクセス ルートがインストールされます
- ルートを含む一致するトラフィックはトンネルを通過します
- 除外ルートに一致するトラフィックがトンネルの外に出る
- トンネルを指すデフォルト ルートがインストールされていないため、残りのトラフィックがトンネルの外にルーティングされます
- デフォルト ルートは外部インターフェイスを指すため、ここで除外ルートを設定することは、ローカル ルーティング テーブルで競合を引き起こす特別なユース ケースがあり、より具体的なルートが明示的に必要とされない限り冗長です。
ドメインまたはアプリケーションのみを含める
この場合、設定しましょう* paloaltonetworks.comドメインを含み、アクセス経路はありません。
ルーティング テーブル:
交通行動:
- インクルード ドメインまたはアプリケーションに一致するすべてのトラフィックがトンネルを通過します。
- トンネル内の残りのトラフィックをルーティングするトンネルを指す、より低いメトリックのデフォルト ルートがインストールされます。
- 通常、この場合、デフォルト ルートが外部インターフェイスを指すようにします。これは、とにかくすべてのトラフィックがトンネル内に向かう場合、一部のドメインやアプリケーションを含める意味がないためです。
- これを解決するには、0.0.0.0/0 の除外アクセス ルートを構成するのが一般的です。トンネルを指す暗黙のインクルード デフォルト ルートは依然として低いメトリックを保持するため、これは望ましい結果を生成しません。
<アクセスルート>
<メンバー>0.0.0.0/0</メンバー>
</アクセスルート>
<除外アクセスルート>
<メンバー>0.0.0.0/0</メンバー>
</exclude アクセス ルート>
<include-split-tunneling-domain>
<メンバー>*paloaltonetworks.com</メンバー>
</include-split-tunneling-domain>
- A この問題の有効な解決策は、ダミーのインクルード アクセス ルート (この場合は 172.17.0.0/16) を構成することです。これにより、外部インターフェイスを指すデフォルト ルートが優先されます。以下は、結果のルーティング テーブルです。
ドメインまたはアプリケーションのみを除外する
この場合、設定しましょう*paloaltoetworks.comドメインを除外し、アクセス経路を設定しません。
ルーティング テーブル:
交通行動:
- 除外ドメインまたはアプリケーションに一致するすべてのトラフィックがトンネルの外に出ます
- トンネル内の残りのトラフィックをルーティングするトンネルを指す、より低いメトリックのデフォルト ルートがインストールされます
ドメインまたはアプリケーションの包含と除外の両方
この場合、ドメインを含めるように構成しましょう*paloaltonetworks.comドメインを除外する*zoom.us
ルーティング テーブル:
交通行動:
- 除外ドメインまたはアプリケーションに一致するすべてのトラフィックがトンネルの外に出ます
- インクルード ドメインまたはアプリケーションに一致するすべてのトラフィックは、トンネル内に入ります。
- トンネル内の残りのトラフィックをルーティングするトンネルを指す、より低いメトリックのデフォルト ルートがインストールされます
- ローカル ルーティング テーブルの競合またはアクセス ルートに起因する競合を伴う特別な使用例でない限り、ここでインクルード ドメインまたはアプリケーションを構成することは冗長です。
NOTE: 利用可能な 6 つのスプリット トンネリング オプションすべてを使用すると、さらに多くの組み合わせが可能です。具体的には説明しません。 トラフィックがどのように一致するかを判断するには、以下のドキュメントで説明されている優先基準に従ってください。 アプリケーションまたはドメイン ベースのスプリット トンネリング ルールに一致しないトラフィックは、セクションで説明されているルールに基づいてルーティング テーブルに従います。 1終えた4 .
- https://docs.paloaltonetworks.com/pan-os /8-1/pan-os -新機能/globalprotect -features/split-tunnel-for-public-applications.html