¿Cómo excluir el tráfico de Youtube del Globalprotect túnel?

¿Cómo excluir el tráfico de Youtube del Globalprotect túnel?

29135
Created On 11/19/21 21:29 PM - Last Modified 06/26/25 20:30 PM


Objective


¿Cómo excluir el tráfico de Youtube del Globalprotect túnel?

Environment


  • Pan-OS
  • Globalprotect
  • Túnel dividido

Procedure


Estos son los pasos para excluir el tráfico de youtube del Globalprotect túnel.
  1. Cree el descifrado ssl siguiendo este documento: https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/decryption/configure-ssl-forward-proxy.html
  2. Crear el perfil del portal y de la puerta de Globalprotect enlace
  3. Habilite la exclusión del vídeo del GP túnel en Gateway>agent>Video Traffic.
           Imagen de usuario añadido
Nota: Si habilita esta opción pero no excluye aplicaciones específicas de transmisión de vídeo del túnel, se excluye todo el VPN tráfico de streaming de vídeo.

4. Agregue el *.googlevideo.com & *.youtube.com bajo el dominio excluido: Nota:
Image.png

        
  • El tráfico de túneles divididos en función del dominio de destino, el nombre del proceso de la aplicación o HTTP/ laHTTPS aplicación de transmisión de video necesita la GlobalProtect suscripción.
https://docs.paloaltonetworks.com/globalprotect/8-1/globalprotect-admin/globalprotect-overview/about-globalprotect-licenses.html

Additional Information


Tenga en cuenta que todavía vemos el primer tráfico a firewall pesar de que excluimos el tráfico. Porque la primera conexión a youtube pasaría por el firewall , para identificar su streaming. 
En 10.0 y 10.1 verá la razón final: túnel dividido para este tráfico.
 
show session id 211021
Session     211021
    c2s flow:
        source:   10.10.10.1 [L3-Trust]
        dst:     74.125.170.124
        proto:    6
        sport:    50326      dport:   443
        state:    INIT      type:    FLOW
        src user:  admin
        dst user:  unknown
    s2c flow:
        source:   74.125.170.124 [L3-Untrust]
        dst:     10.46.42.49
        proto:    6
        sport:    443       dport:   19738
        state:    INIT      type:    FLOW
        src user:  unknown
        dst user:  admin
    Slot                 : 1
    DP                  : 0
    index(local):            : 211021
    start time              : Mon Nov 8 14:29:30 2021
    timeout               : 90 sec
    total byte count(c2s)        : 2733
    total byte count(s2c)        : 50993
    layer7 packet count(c2s)       : 10
    layer7 packet count(s2c)       : 40
    vsys                 : vsys1
    application             : youtube-streaming  
    rule                 : Trust-to-Untrust
    service timeout override(index)   : False
    session to be logged at end     : True
    session in session ager       : False
    session updated by HA peer      : False
    address/port translation       : source
    nat-rule               : Trust-NAT(vsys1)
    layer7 processing          : enabled
    URL filtering enabled        : True
    URL category             : streaming-media, low-risk
    session via syn-cookies       : False
    session terminated on host      : False
    session traverses tunnel       : True
    session terminate tunnel       : False
    captive portal session        : False
    ingress interface          : tunnel.10
    egress interface           : ethernet1/3
    session QoS rule           : N/A (class 4)
    tracker stage firewall        : split tunnel
    end-reason              : aged-out

      Imagen de usuario añadido
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMmgCAE&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language