estamos preparando la actualización de nuestros portátiles con Windows 10 a Windows 11. Todos nuestros portátiles usan actualmente GlobalProtect VPN con tunelización completa, lo cual se ha convertido en un obstáculo importante. A pesar de estar conectados a la LAN local donde se encuentran nuestros servidores SCCM, todo el tráfico de SCCM se enruta a través de la VPN. Hemos revisado nuestras fronteras y parecen estar configuradas correctamente, con rangos de IP tanto locales como relacionados con VPN incluidos.
El equipo de red ha confirmado que la tunelización dividida está configurada para el tráfico SCCM, aunque no estamos seguros de los detalles específicos. Sin embargo, cuando iniciamos la actualización de Windows, el tráfico sigue siendo enrutado a través de la VPN. ¿Alguien ha encontrado una configuración similar y complicaciones durante las actualizaciones? Cualquier ayuda o idea sería muy apreciada.!!
Cuando estás en las instalaciones, GP debería detectar que el dispositivo está en tu red empresarial y cambiar a modo interno. No debería haber tunelización en absoluto.
Si no lo hace, tu equipo de red no tiene configurado correctamente.
No entiendo por qué importa la ruta. Actualmente usamos ambos y los clientes se actualizan vía VPN sin problemas mediante la secuencia de tareas. Debo haber entendido algo mal en la pregunta.
¿Tienes un CMG? Parece que necesitas poner el rango de direcciones VPN en un límite y asignarlo al CMG para forzar el uso de ese límite. O asignar un DP a ese límite y no enviar los componentes de actualización del OS a ese DP.
Desearía poder ayudarte, pero hace mucho que dejamos de usar este método de actualización de OS. Nosotros realizamos intercambios de leasing y dejamos que la actualización OSD gestione esto, logrando una satisfacción del usuario y del personal de TI del 1000% (jajaja). Si no se puede hacer durante el ciclo de actualización habitual y debe hacerse de esta manera, descubrirás que es muy frágil en muchas áreas. Por eso, no me sorprende que el VPN global de PA sea un factor aquí. Revertir la declaración de tu problema indica que hay al menos una configuración subestándar en juego…
Solo he configurado tunelización dividida para clientes SCCM con un CMG que ha sido completamente incluido como Punto de Distribución. Cuando están en línea / en LAN, el cliente VPN debe salir completamente del camino — sin tunelización en absoluto. Pero, más fundamentalmente, si tu solución VPN está haciendo tunelización dividida de todo el tráfico SCCM cuando el endpoint está desconectado / fuera de LAN, necesitas estar ejecutando un CMG — o todo debe estar tunelado (y, de nuevo, no debe haber tunelización si estás en una LAN dentro de una de las Fronteras del cliente).
Parece que hay grupos aislados (equipo de red / equipo de SCCM) y nunca se encontrarán, en entender cómo debería funcionar todo — especialmente si están tunelizando / no tunelizando cosas incorrectamente. Si están configurando en los ajustes de GP en Panorama / GUI y simplemente haciendo clic en cosas sin un entorno de prueba, no me sorprende que estén tunelizando cosas en LAN cuando no deberían. ¡Buena suerte!
Tú y los ingenieros de red deberían leer, juntos, la documentación de Palo Alto GlobalProtect sobre cómo debe hacerse la configuración en los clientes.
Es trabajo en equipo
Sin embargo, mi antiguo ingeniero de red sabía lo suficiente sobre empaquetado de aplicaciones y simplemente nos entregó la configuración.
Lo que falta es,
tenemos múltiples DP de SCCM en varias ubicaciones y tenemos limitaciones de ancho de banda en Internet, por lo que queremos que esta actualización se haga localmente para las personas que conectan en la oficina, y estamos de acuerdo en que las personas que trabajan desde casa, que esa actualización se haga por Internet vía VPN.