Может быть, я слишком усложняю, но у меня есть дилемма. У нас есть несколько внешних сайтов, доступ к которым возможен только с нашего офисного IP-адреса. Поэтому, когда пользователь находится в офисе, он может спокойно попасть на сайты. Однако, с учетом того, что все используют VPN GlobalProtect, при попытке доступа к этим сайтам их видит домашний IP-адрес, а не тот, что мы настроили как “внешний” для пользователей GlobalProtect. Я думал, что если я добавлю IP-адреса этих внешних сайтов в маршрут доступа агента GP, клиент GP должен будет маршрутизировать трафик к этим сайтам через VPN, чтобы пользователь дома мог получить доступ к сайту, правильно? Но проблема в том, что когда я добавляю IP-адреса в маршрут разделенного туннеля, доступ к сайту просто истекает, и пользователь видит сообщение “Это сайт недоступен”. У меня версия 8.1.13, а клиент GP — 5.2.3. Это имеет смысл? Что я пропустил?
Добавили ли вы этот маршрут в свой VR, чтобы отправить IP-адрес через внутренний → внешний интерфейс?
Разрешается ли разрешение DNS? Есть ли политика безопасности, позволяющая взаимодействовать от gpzone к wan? Есть ли политика NAT для исходящего трафика от gpzone к wan?
Можно настроить разделение туннеля по домену. Это более надежно, особенно учитывая, что сайты могут менять IP-адреса без предупреждения.
После добавления этого домена/IP в конфигурацию, проверяйте логи/траси, чтобы понять, как идет трафик. Вам потребуется соответствующая политика NAT и политика безопасности для исходящего трафика в интернет через VPN.
Рекомендуется обновить версию вашего фаервола. Также, на версиях 5.2.3+ могут возникать проблемы с FQDN при разделении туннеля. Стоит проверить.
GP делает DNS-запрос, затем сопоставляет IP и направляет его в маршрут туннеля. Иногда, когда трафик уже идет, маршрут может не обновиться сразу, особенно на Mac и при этом пропускается локальный шлюз, а не туннель VPN.
Я бы подал тикет, если проблема продолжится.
Эти FQDN статичные? У нас есть клиенты в такой ситуации, особенно для облачных серверов, доступ к которым возможен только через публичный IP их фаервола. Естественно, FQDN таких серверов не меняется, но публичный адрес 50.1.1.12, например, меняется почти каждый час на 50.1.1.13 и так далее. Клиенту пришлось добавить целый IP-блок этого облачного провайдера, чтобы это работало. Предложение Qel_Hoth вполне подходит, но потребуется обновление, так как 8.1.x не поддерживает домены в конфигурации разделенного туннеля. Проверьте журнал на фаерволе во время тестового соединения, чтобы увидеть, идет ли трафик исходящий из внутреннего IP VPN к FQDN.
Проверьте правило NAT, чтобы включить исходную зону, где находится GP.
Я согласен, что последние версии GP могут иметь проблему с разделением по FQDN. Я пробовал настраивать разделение обновлений Microsoft и при просмотре PCAP заметил, что ни один из видов трафика не исключается из туннеля.
Я делал это всего один раз, тогда отказался от настроек и не обращался в поддержку.
Возможно, стоит повторно проверить это.