Temos esse problema, que usuários de MacBook não conseguem se conectar ao VPN do cliente com Forticlient quando ZPA está rodando, mas essa configuração funciona com usuários de Windows e ambos os usuários estão nas mesmas políticas e configurações do Zscaler. Não conseguimos descobrir qual é a causa raiz. Nosso palpite é que seja algo relacionado à resolução de DNS no MacBook. Precisamos usar ZPA porque os usuários precisam do nosso endereço IP, pois o VPN do cliente é restrito por IP. Então, quando o usuário de MacBook tenta se conectar ao FQDN do VPN com ZPA ativado e o tráfego é roteado pelo Zscaler, o MacBook simplesmente não consegue resolver o nome do FQDN do VPN, ele só encontra o gateway do Zscaler, mas não o FQDN do VPN, e no Wireshark mostra que ele está apenas tentando resolver novamente esse nome do FQDN do VPN. Também tentamos essa conexão sem Zscaler, fornecendo ao usuário nosso endereço IP através do nosso firewall, e funcionou, então o problema está no Zscaler. Alguém tem alguma ideia do que podemos testar?
Estou confuso sobre o fluxo.
Então você tem
Usuário → Nuvem ZPA ← conector de aplicativo → VPN? A VPN funciona como um aplicativo?
Ou o fluxo é
Usuário → ZIA/ZPA + VPN? No computador → aplicativo
Além disso, Mac e Windows não compartilham o mesmo perfil de aplicativo, então você precisaria verificar isso, assim como eles normalmente não compartilham o mesmo perfil de encaminhamento devido ao fato de o MAC ser roteado baseado versus usar um LWF como o Windows.
Adicione o FQDN do VPN como uma das segmentações de aplicativo.
Acabei de reviver um post seu do início do ano, verifiquei seu nome de usuário para ver se você ainda está ativo, e vi que você postou o problema novamente…
Foi um VPN IPSec do FortiClient? O usuário usava Silicon da Intel? Acho que estou enfrentando algo semelhante. Usuários com Silicon da Apple não têm problemas, Intel funciona se o zScaler estiver desativado. Ambos podem se conectar a VPNs SSL sem problemas.
Além disso, você tentou no /r/fortinet? Honestamente, não tenho certeza com quem abrir um ticket neste momento…
O fluxo é: Usuário → ZIA/ZPA + precisa se conectar ao VPN do cliente (FortiClient). E o FQDN do VPN do cliente está na segmentação do aplicativo. O usuário precisa se conectar a esse VPN do cliente através do ZPA porque eles precisam do nosso endereço IP, já que o VPN do Cliente é restrito por IP. Temos várias configurações em que apenas excluímos o FQDN do VPN do Gateway do Zscaler e funciona. Mas não podemos fazer isso neste caso porque os usuários precisam do nosso IP para conectar ao VPN do cliente.
Obrigada pela dica do perfil de encaminhamento, precisamos verificar se estamos configurando corretamente o perfil de encaminhamento no Mac.
Já está na segmentação do aplicativo.
Desculpe pela resposta tardia😀 Ainda temos esse caso aberto. Esses usuários de MacBook têm Macs com Apple Silicon e o VPN do FortiClient é SSL. O que descobrimos é que talvez o problema esteja em como o FortiClient roteia o tráfego no MacOS, parece que o FortiClient está sempre roteando o tráfego para o gateway padrão. Deveria direcionar o tráfego para o gateway do Zscaler, e isso parece ser o caso com os usuários de Windows.
Criamos uma política para nosso firewall de escritório que fornece nosso endereço IP quando o usuário conecta ao endereço IP do FortiClient VPN, e funciona quando o Zscaler está desligado, e também funciona quando o usuário está no escritório conectando-se ao VPN com o IP e não com o nome DNS. Parece que o motivo de funcionar é porque passa pelo gateway padrão, que neste caso é o nosso gateway do escritório, e essa política se aplica a ele.
Agora, só precisamos descobrir como alterar o roteamento do FortiClient.
Por que você adicionaria o IP alvo do VPN do cliente ao seu segmento ZPA?
Acho que consegui descobrir…
Veja este artigo:
https://help.zscaler.com/zscaler-client-connector/best-practices-zscaler-client-connector-and-vpn-client-interoperability
Resumindo, na maioria dos casos, para funcionar com VPNs de terceiros, o zcc deve estar no modo “Tunnel with Local Proxy”, pelo menos quando estiver fora de confiança (e quando estiver na VPN, dependendo de como você estiver fazendo o encaminhamento fora de confiança)
Isso provavelmente significa configurar algum tipo de arquivo PAC… o PAC deve ser usado para determinar o que vai para o ZCC (retorna proxy) e o que vai para a tabela de roteamento do host (retorna direto).
Isso é diferente das “exceções de VPN para ZIA” do perfil do aplicativo/encaminhamento (não lembro qual), que na verdade adicionam rotas estáticas à tabela de roteamento do host apontando para a interface de rota padrão. Isso substitui as rotas do FortiClient, de modo que essas redes ficam efetivamente separadas de um VPN de túnel completo.
Assim podemos obter nosso IP nesse tráfego.
Obrigado pela dica, preciso verificar isso.
Você quer fazer SIPA nesse tráfego?