Acabo de comenzar a trabajar desde casa con una empresa que utiliza VPN PaloAlto GlobalProtect.
No pude hacer que funcionara con mi portátil conectado, mediante un cable Ethernet, a la configuración de mi red doméstica, que consiste en un enrutador multi-WAN en cascada (mi otro ISP es Spectrum cable módem) y un enrutador WiFi “vanilla”. Todo lo demás en la casa funciona bien con esta configuración, pero no GlobalProtect, quizás por demasiadas capas de NAT.
Tuve éxito cuando conecté directamente el portátil a uno de los puertos Ethernet en la parte trasera de mi puerta de enlace TMHI Nokia 5G21. Afortunadamente, mi escritorio de trabajo está a pocos pies del “punto perfecto en mi casa” para mi puerta de enlace TMHI.
Para tu información, mis velocidades consistentes de TMHI son entre 80-110 Mbps de bajada, y aproximadamente el 20% de esa tasa de subida.
Nunca pude hacer que GlobalProtect funcionara correctamente en modo IPsec incluso con una conexión directa con la puerta de enlace debido a problemas de MTU, y mi departamento de TI no pudo o no quiso ayudar a ajustar las cosas en su extremo. Terminé simplemente bloqueando el puerto UDP 4501 (que es lo que usa por defecto, pero podría ser otra cosa dependiendo de cómo esté configurado), lo que hace que el cliente use el modo SSL. Esto ha funcionado bien y no requirió cambiar nada en GlobalProtect.
Es extraño lo inconsistente que parece esto para diferentes personas. GP siempre “funcionó” para mí en TMHI (incluso en modo IPSec) sin ajustes. En mi caso, administro el firewall al que me conecto, así que tenía control total sobre la configuración y no tuve que tocar nada.
No, mi router no bloquea las VPN. Uso un enrutador multi-WAN (Cudy R700) configurado para conectar a dos diferentes proveedores de ISP. A través de la configuración en ese router, hago que Spectrum Cable ISP sea el principal, y la puerta de enlace TMHI el secundario.
Compré el enrutador multi-WAN para que, si Spectrum tiene una falla, TMHI pueda hacerse cargo y mi esposa no tenga que empezar a manipular cables si no estoy en casa solo para ver sus programas de TV. Para ese propósito, funciona muy bien: las TVs en streaming y cualquier cosa que use WiFi no se interrumpe cuando TMHI se convierte en la fuente de Internet.
=====
El portátil de trabajo está conectado por cable en la parte trasera del router WiFi de casa, que tiene su puerto WAN conectado al enrutador multi-WAN. El router WiFi de casa ve al enrutador multi-WAN como su única conexión a internet.
Cuando el ISP Spectrum está conectado y en uso, VPN GlobalProtect funciona bien en el portátil de trabajo.
Si desconecto el módem Spectrum del enrutador multi-WAN (simulando una falla), la puerta de enlace TMHI se convierte en el ISP. En ese momento, VPN GlobalProtect ya no funciona en absoluto. Reconozco que no he hecho muchas pruebas para averiguar exactamente por qué.
Solo quería publicar esto para quienes puedan tener una configuración o situación similar. Puedo vivir con una conmutación por real en el trabajo.
Dado que la puerta de enlace TMHI tiene dos puertos Ethernet físicos, un puerto puede permanecer conectado al enrutador multi-WAN y el segundo puerto no será utilizado a menos que necesite conectar directamente mi portátil cuando el ISP Spectrum falle.
Solo quería decir “gracias” por este truco. Cambié a TMHI recientemente y tuve problemas con Global Protect que no estaban presentes en mi servicio anterior (Spectrum) ni en el hotspot de Verizon. Bloqueé el puerto 4501 en mi UDM y eso parece haber forzado a GP a modo SSL y resolver mi problema. El tiempo dirá, pero por ahora pinta bien. ¡Muchísimas gracias!
Lo hace, aunque hay un retraso de quizás unos 30 segundos para intentar IPsec y rendirse. Solo bloqueé el puerto en mi router, pero no estoy usando la puerta de enlace de T-Mobile para eso, así que no estoy seguro de cómo lo harías en ese dispositivo.
