Zscaler bloker trafik, når arbejdevpn er tændt oven på personlig wireguard vpn

Jeg ville prøve, om jeg kunne bruge en wireguard-forbindelse til min hjemme-router for at få det til at se ud som om, jeg arbejder hjemmefra. Tænding af wireguard-forbindelsen og internet (inklusive værktøjer som Teams) fungerer. Zscaler viser ingen problemer, men ændrer automatisk service status til “deaktiveret” og logfiler viser “Privat adgang er afbrudt”. Når jeg tænder min arbejdevpn ovenpå (nødvendigt for nogle interne ressourcer), fungerer internettrafikken ikke længere.

1. Hvad er årsagen til dette?
2. Kan dette løses ved at opsætte en vpn-router, så vpn-forbindelsen sker på routerniveau og ikke på enhedsniveau?

Det er sandsynligt, at de 2 vpn’er dræber ZCC-tunnelerne. Du skal sikre dig, at du bruger split-inklusion på vpn’erne.

Det fungerer som designet.

Formentlig MTU-problem.

Forstår ikke, hvorfor du har 2 vpn’er. Normalt vil en klient-vpn ikke blive forbundet, hvis vpn-vertsnavnet ikke er på vpn-bypass.

Når du opretter forbindelse til vpn, vil vpn se zscaler-ip’en, og den skal bypasses for at kunne forbinde.

Hvor længe har dette været i gang?

Tjek zcc-konfigurationen, og du skal muligvis også tjekke split-vpn-konfigurationen.

Hej, jeg oplevede også det samme problem, og vi fik det løst. Vi bruger Netbird som vores vpn, som også bruger wireguard.

Vi har hostet alle applikationerne internt, så du kan kun få adgang til dem med vpn. Men der er én applikation, vi har hostet online, men kun gennem Netbird-peerens offentlige ip, hvilket er et split-tunnle-vpn-koncept.

Hele anmodningen går som følger: endpoint → zscaler-server → offentlig tilgængelig applikation, men anmodningen vil blive droppet, fordi zscaler-ip’en ikke er whitelistet på applikationsserveren.

Så vi whitelistede applikations-URL’en i zscaler for destinationsbypass fra klientforbindelsesportalen.

Nu ændrede zscaler routetabellen på endpointet til applikations-IP → router-IP → standard en0-adapter. Denne opsætning vil også fejle igen, fordi applikationsserveren ikke har whitelistet min router’s offentlige ip; den er whitelistet med Netbird-peerens offentlige ip.

Heri kan routetabellen uden zscaler se sådan ud: applikations-IP → Netbird-peer-IP → virtuel adapter af Netbird. Denne opsætning fungerer i split-tunnel VPN.

Det, jeg gjorde, var at skrive et lille shell-script og tilføje det til cron, hvert 5. sekund, som tjekker for applikationsserverens IP i routetabellen. Hvis den finder den, ændrer den routetabellen til den offentlige IP af Netbird og Netbird’s virtuelle adapter. Min opsætning begyndte at virke, selv om zscaler ville ændre routetabellen til standardadapteren, vil mit script redigere ruten for at lave split-tunneling.

Vi prøvede alle måder at få dette til at fungere på, men denne hack var den eneste løsning for os. Glad for at diskutere yderligere, hvis du ikke forstod denne tilgang eller en anden metode, som andre har.

Nysgerrig, hvorfor bruger du VPN? Det er min forståelse, at Zscaler er der for at erstatte din VPN.

Jeg tjekkede igen og indså, at Zscaler ændrer Service-standarden til “deaktiveret”, og logfiler viser “Privat adgang er afbrudt”, så snart jeg tilslutter Wireguard. Selvom jeg stadig kan få adgang til internettet og værktøjer som Teams.

Tilføjet til det, kan det måske fungere, hvis du bruger en VPN til en router i dit hus.

Jeg har lige indset, at når jeg kun tænder for arbejdevpn, bliver min zscaler-forbindelse også afbrudt, og ip.zscaler.com kun viser min offentlige ip. Dette får mig til at tro, at det er kombinationen af min arbejdevpn og wireguard, der forårsager dette problem, og det er ikke relateret til zscaler?

Jeg vil være ude at rejse i en uge og se ud som om, jeg connecter fra mit hjemmenetværk. Derfor opretter jeg forbindelse til min wireguard på min hjemmerouter. Det første trin fungerer. Internettet og værktøjer som Teams fungerer også. Men så skal jeg tænde for en vpn for at komme til virksomhedens interne ressourcer.

ZPA er kun et af Zscalers produkter.

Jeg vil være ude at rejse og se ud som om, jeg connecter fra mit hjemmenetværk. Derfor opretter jeg forbindelse til min wireguard. Det første trin fungerer. Men så skal jeg tænde for en vpn for at komme til virksomhedens interne ressourcer.

Hans firma har sandsynligvis kun licens til ZIA, Zscaler Internet Access, som i det væsentlige fungerer som en firewall for din lokale maskine. Det vil foretage URL-filtrering, geolocation-blokering osv. ZPA, Zscaler Private Access, er den del, du tænker på, som i de fleste firmaers tilfælde ERStat en erstatning for et traditionelt VPN-produkt. Du kan have begge produkter eller kun ét afhængigt af din licens, men de er separate Zscaler-produkter.

Jeg vil vædde på, at det 100% ville virke bag hjemmeroutern med VPN tændt. Der er kun én grund, jeg kan komme i tanke om, der ville gøre dette legitimt og ikke en fyringsgrund…

Min laptop opretter forbindelse til min router i huset via wireguard. Men jeg tjekkede igen, og indså, at Zscaler ændrer Service-standarden til “deaktiveret”, og logfiler viser “Privat adgang er afbrudt”, så snart jeg tilslutter Wireguard. Selvom jeg stadig kan få adgang til internettet og værktøjer som Teams.

Du skal tale med din IT, og de skal ændre din ZCC-profil for at imødekomme din anmodning.

ZCC har indbygget understøttelse for tredjeparts VPN-adaptere, som kan fungere parallelt.

Det, du ønsker, er at pakke ZCC ZPA-tunnelen ind over Wireguard, hvilket efter min viden vil ikke fungere.

Du kan ikke bypass klient-logikken, da den har midlerne til at identificere, hvilke situationer der udløser hvilken adfærd.