Wie kann man den Youtube-Verkehr aus dem Globalprotect Tunnel ausschließen?

Wie kann man den Youtube-Verkehr aus dem Globalprotect Tunnel ausschließen?

29135
Created On 11/19/21 21:29 PM - Last Modified 06/26/25 20:30 PM


Objective


Wie kann man den Youtube-Verkehr aus dem Globalprotect Tunnel ausschließen?

Environment


  • Pan-OS
  • Globalprotect
  • Geteilter Tunnel

Procedure


Hier sind die Schritte, wie Sie den YouTube-Verkehr aus dem Globalprotect Tunnel ausschließen können.
  1. Erstellen Sie die SSL-Entschlüsselung, indem Sie diesem Dokument folgen: https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/decryption/configure-ssl-forward-proxy.html
  2. Erstellen des Globalprotect Portal- und Gatewayprofils
  3. Aktivieren Sie den Ausschluss des Videos aus dem GP Tunnel unter Gateway>Agent>Videodatenverkehr.
           Benutzeriertes Bild
Hinweis: Wenn Sie diese Option aktivieren, aber bestimmte Video-Streaming-Anwendungen nicht aus dem VPN Tunnel ausschließen, wird der gesamte Video-Streaming-Datenverkehr ausgeschlossen.

4. Fügen Sie die *.googlevideo.com & *.youtube.com unter der Ausschlussdomäne hinzu: Hinweis:
Bild.png

        
  • Für die Aufteilung des Tunnelverkehrs basierend auf der Zieldomäne, dem Namen des Anwendungsprozesses oder HTTPHTTPS der Video-Streaming-Anwendung ist das GlobalProtect Abonnement erforderlich.
https://docs.paloaltonetworks.com/globalprotect/8-1/globalprotect-admin/globalprotect-overview/about-globalprotect-licenses.html

Additional Information


Bitte beachten Sie, dass wir immer noch den ersten Traffic sehen, obwohl wir den Traffic firewall ausschließen. Denn die erste Verbindung zu YouTube würde über die gehen firewall , um zu identifizieren, dass es sich um Streaming handelt. 
Auf 10.0 und 10.1 sehen Sie den Endgrund: geteilter Tunnel für diesen Verkehr.
 
show session id 211021
Session     211021
    c2s flow:
        source:   10.10.10.1 [L3-Trust]
        dst:     74.125.170.124
        proto:    6
        sport:    50326      dport:   443
        state:    INIT      type:    FLOW
        src user:  admin
        dst user:  unknown
    s2c flow:
        source:   74.125.170.124 [L3-Untrust]
        dst:     10.46.42.49
        proto:    6
        sport:    443       dport:   19738
        state:    INIT      type:    FLOW
        src user:  unknown
        dst user:  admin
    Slot                 : 1
    DP                  : 0
    index(local):            : 211021
    start time              : Mon Nov 8 14:29:30 2021
    timeout               : 90 sec
    total byte count(c2s)        : 2733
    total byte count(s2c)        : 50993
    layer7 packet count(c2s)       : 10
    layer7 packet count(s2c)       : 40
    vsys                 : vsys1
    application             : youtube-streaming  
    rule                 : Trust-to-Untrust
    service timeout override(index)   : False
    session to be logged at end     : True
    session in session ager       : False
    session updated by HA peer      : False
    address/port translation       : source
    nat-rule               : Trust-NAT(vsys1)
    layer7 processing          : enabled
    URL filtering enabled        : True
    URL category             : streaming-media, low-risk
    session via syn-cookies       : False
    session terminated on host      : False
    session traverses tunnel       : True
    session terminate tunnel       : False
    captive portal session        : False
    ingress interface          : tunnel.10
    egress interface           : ethernet1/3
    session QoS rule           : N/A (class 4)
    tracker stage firewall        : split tunnel
    end-reason              : aged-out

      Benutzeriertes Bild
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMmgCAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language