こんにちは、大きな会社で働いています。最近Zscalerを導入しました。私のワークフローは次の通りです:PCにZscalerクライアントをアクティベートし、特定のURLをブラウザで開き、リモートPCへのCitrix接続を開始します。これは会社のサーバーファームで稼働しています。
私の質問は以下の通りです:
-
Zscalerクライアントを有効にすると、すべてのトラフィックがZscalerサーバーを経由するという理解で正しいですか?それとも特定のURLに対してのみ設定されていますか?特定のサイトにのみ接続を許可することは可能ですか?
-
以前はVPNクライアント(私の場合はNordVPN)を使用していました。私の理解では、これがZscalerと競合することはありますか?両方を使用すると、Zscalerが「セキュアアクセスが切断されました」というメッセージを頻繁に表示します。
また、PC上でVPNを使用し、その中にZscaler接続を作成して、仕事用PCへのアクセスを可能にする設定は可能ですか?例えば、裏でトレントを動かしても、それがZscalerや仕事のネットワークを経由しないようにしたいです。
どうぞよろしくお願いします。
あなたはZscalerインターネットアクセスかZscalerプライベートアクセスを使用していますか?
Zscalerを使用している間にVPNを同時に実行すべきではありません。
理論的には、トラフィックだけを通すスプリットVPNを設定できますが、これは現実的ではありません。あなたが使用しているのはZscalerプライベートアクセスと思われ、これは特定のURLやネットワークに基づいてトラフィックを転送するだけです。
ZCCはVPNと一緒に使用可能ですが、一般的に競合があることが多いです。通常、VPN接続に特有の設定がZscalerテナントに追加されます。
ip.meのようなサイトにアクセスしてIPが表示される場合、Zscalerを経由しているかどうか確認できます。また、ip.zscaler.comにアクセスすると、Zscalerのデータセンター経由かどうかがわかります。
設定の一つのオプションは、VPNが検出された場合にセキュリティ(ZPAまたはZIA)を無効にすることです。おそらくこれが起きているのでしょう。
ZPAを使用しているときにVPNを動かすことは可能ですが、クライアントコネクタポータルの特定のアプリプロファイルでVPNアドレスをバイパスする必要があります。
プライベートアクセスについてです。基本的に、管理者は特定のURLやIPブロック、TCP/UDPポートに対して「アプリセグメント」を作成します。したがって、特定のトラフィックのみが制御されている可能性があります。
MacOSで実行できるデバッグコマンドやgrepを使えば、ZPAを通るアプリを確認できます。Windowsでも同様です。
もう一つのヒントは、Chromeのデベロッパーツールを使用することです。100.64のアドレスはZPAを通っています。
また、nslookupを使用して、何かがZPA経由かどうかを判断できます。