GlobalProtectクライアントが端末がローカルネットワークに所属している時に、接続中が継続する

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

GlobalProtect Client Stuck at Connecting when Workstation is on the Local Network

https://live.paloaltonetworks.com/t5/Management-Articles/GlobalProtect-Client-Stuck-at-Connecting-wh...

 

症状

GlobalProtectクライアントがインストールされた端末が、社内ネットワークに接続している際に、GlobalProtectゲートウェイ、ポータルに接続できないことがあります。一方で、インターネットからの接続は問題なくできます。

 

問題

典型的な状況として、GlobalProtectクライアントは社内ネットワーク接続する時に、GlobalProtectゲートウェイ、ポータルの外部インターフェイスに接続しようとします。接続が失敗する理由としては、ファイアウォールが内部ゾーンから外部ゾーンへの通信として識別し、それが外部IPアドレスへの接続である為、ソースアドレスをNAT変換します。パケットの宛先は既に外部インターフェイスのIPであり、宛先と送信元アドレスが同じになり、意図しないLAN攻撃を作り出します。それによりファイアウォールはこれらのセッションを破棄します。詳しくはUnable to Connect to or Ping a Firewall Interfaceを参照ください。

 

解決方法

GlobalProtectポータルのライセンスがファイアウォール上で有効である場合、最適な方法としては、内部ゲートウェイを設定し、GlobalProtectクライアントにその内部ゲートウェイを検索させ、接続させることです。そうすることにより社内ネットワーク接続にトラフィックをトンネリングしないようにします。詳しくはGlobalProtect Configuration Tech Noteをご参照ください。

 

しかしながら上記の設定では、内部ユーザの外部GlobalProtectポータルへの接続が有効になりません。

もしポータルへの接続が必要な場合、もしくはライセンスがない場合、ファイアウォールの外部インターフェイス接続に使用する、例外的に動作するデフォルトの外部NATルールとして設定できます。

  1. 外部向けNATルールをクローンで作成します。
  2. そのルールを既存の外部向けNATルールの上位に移動します。
  3. ルールの名前を変更します。
  4. 外部インターフェイスのIPアドレスを、元のアドレスの宛先アドレスフィールドに追加します。
  5. 送信元アドレスの変換をNoneに変更します。

この設定により内部ユーザが外部ゲートウェイ、ポータルに対してソースアドレスの変更、パケットドロップなしに接続することができます。ユーザが外部ゲートウェイに接続している場合、そのトラフィックは暗号化され、内部ネットワークから外部インターフェースへ送られています。

著書: astanton