Atualmente usamos o GlobalProtect para acessar nossos VPCs na AWS. Estamos conectando usando split tunneling com várias /16 dentro de 10.X.X.X.X. Uma grande observação: nos juntamos a uma empresa que usa Cisco AnyConnect com split tunneling e eles enviam um 10.0.0.0/8. A maioria dos nossos usuários são Macs e eles não podem estar em ambos os VPNs ao mesmo tempo - o AnyConnect basicamente “consume” as rotas do GlobalProtect, pois há sobreposição. Segundo a Cisco, esse é o comportamento esperado e não pode ser modificado.
Descobri sobre o recurso Clientless VPN, mas nossa licença atual parece não suportá-lo, portanto não posso fazer testes para ver se é uma solução viável. Alguém já tentou ou está usando agora?
Já trabalhei com o cliente SSL Clientless VPN da Cisco antigamente e era bastante básico; funcionava bem para sites HTML simples, mas qualquer JavaScript ou CSS avançado seria um problema.
Ótimo saber disso. Temos cerca de 25 usuários acessando 10 sites internos (sistemas de tickets, ferramentas de suporte ao cliente, etc), então a carga de tráfego pelo VPN é muito leve. Alguns sites têm frames, JavaScript e CSS, que é minha preocupação.
Esse guia é muito útil. Agora preciso descobrir como obter a licença ao implantá-lo em uma VM na AWS. Acho que vou contatar nosso VAR ou representante da Palo Alto.
Ah, entendi. Agora vejo isto: Sobre a Licença do GlobalProtect. Isso também explica porque nunca consegui fazer os clientes IOS e Android funcionarem, mas isso não era uma prioridade de negócio.