Comment exclure le trafic Youtube du Globalprotect tunnel?

Comment exclure le trafic Youtube du Globalprotect tunnel?

29117
Created On 11/19/21 21:29 PM - Last Modified 06/26/25 20:30 PM


Objective


Comment exclure le trafic Youtube du Globalprotect tunnel?

Environment


  • Pan-OS
  • Globalprotect
  • Tunnel divisé

Procedure


Voici les étapes pour exclure le trafic youtube du Globalprotect tunnel?
  1. Créez le décryptage SSL en suivant ce document : https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/decryption/configure-ssl-forward-proxy.html
  2. Créer le profil de portail et de Globalprotect passerelle
  3. Activez l’option GP d’exclusion de la vidéo du tunnel sous Gateway>agent>Video Traffic.
           Image ajoutée par l'utilisateur
Remarque : Si vous activez cette option mais n’excluez pas certaines applications de streaming vidéo du VPN tunnel, tout le trafic de streaming vidéo est exclu.

4. Ajouter *.googlevideo.com & *.youtube.com sous le domaine d’exclusion : Remarque :
image.png

        
  • Fractionner le trafic des tunnels en fonction du domaine de destination, du nom du processus d’application ou HTTPHTTPS / de l’application de streaming vidéo nécessite l’abonnementGlobalProtect.
https://docs.paloaltonetworks.com/globalprotect/8-1/globalprotect-admin/globalprotect-overview/about-globalprotect-licenses.html

Additional Information


Veuillez garder à l’esprit que nous voyons toujours le premier trafic même si nous excluons le trafic firewall . Parce que la première connexion à youtube passerait par le firewall , pour identifier son streaming. 
Sur 10.0 et 10.1 vous verrez la raison finale : split tunnel pour ce trafic.
 
show session id 211021
Session     211021
    c2s flow:
        source:   10.10.10.1 [L3-Trust]
        dst:     74.125.170.124
        proto:    6
        sport:    50326      dport:   443
        state:    INIT      type:    FLOW
        src user:  admin
        dst user:  unknown
    s2c flow:
        source:   74.125.170.124 [L3-Untrust]
        dst:     10.46.42.49
        proto:    6
        sport:    443       dport:   19738
        state:    INIT      type:    FLOW
        src user:  unknown
        dst user:  admin
    Slot                 : 1
    DP                  : 0
    index(local):            : 211021
    start time              : Mon Nov 8 14:29:30 2021
    timeout               : 90 sec
    total byte count(c2s)        : 2733
    total byte count(s2c)        : 50993
    layer7 packet count(c2s)       : 10
    layer7 packet count(s2c)       : 40
    vsys                 : vsys1
    application             : youtube-streaming  
    rule                 : Trust-to-Untrust
    service timeout override(index)   : False
    session to be logged at end     : True
    session in session ager       : False
    session updated by HA peer      : False
    address/port translation       : source
    nat-rule               : Trust-NAT(vsys1)
    layer7 processing          : enabled
    URL filtering enabled        : True
    URL category             : streaming-media, low-risk
    session via syn-cookies       : False
    session terminated on host      : False
    session traverses tunnel       : True
    session terminate tunnel       : False
    captive portal session        : False
    ingress interface          : tunnel.10
    egress interface           : ethernet1/3
    session QoS rule           : N/A (class 4)
    tracker stage firewall        : split tunnel
    end-reason              : aged-out

      Image ajoutée par l'utilisateur
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMmgCAE&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language