Wie man globalprotect Satellit konfiguriert

Wie man globalprotect Satellit konfiguriert

68955
Created On 09/25/18 17:15 PM - Last Modified 10/05/23 04:19 AM


Resolution


Details

GlobalProtect Satellite vereinfacht den Einsatz von Traditional Hub und sprach VPNs, so dass Sie schnell Unternehmensnetzwerke mit mehreren Niederlassungen mit einem minimalen Konfigurationsaufwand auf den entfernten Satelliten Geräten einsetzen können. Diese Lösung verwendet Zertifikate für die Geräte Authentifizierung und IPSec, um Daten zu sichern. 

 

Das Setup beinhaltet die Konfiguration von Portal, Gateway und Satellit wie unter:

 

Hinweis: Diese Konfiguration verwendet die gleiche Schnittstelle für Portal und Gateway und wird auf Geräten mit 7,0. X getestet. denken Sie an die Konfigurations Unterschiede zwischen früheren Versionen.

 

Zertifikats Anforderungen:

 

  • Generieren Sie ein Root-CA-Zertifikat auf dem Portal (selbst signiert) und ein Server-Zertifikat für Portal-und Gateway-Zertifikat, das von der obigen Root-CA signiert wurde. 

    Hinweis: Vergewissern Sie sich, dass der CN (Common Name) des Server Zertifikats in der Globalprotect Gateway-Konfiguration mit der IP-Adresse oder dem FQDN der IP-Adress Konfiguration in der Globalprotect Gateway-Konfiguration übereinstimmt. (später konfigurierbar) Andernfalls wird der Fehler "Zertifikat gebräuchname entspricht nicht dem konfigurierten Hostnamen auf dem Satelliten" generiert.
    Screenshot 2016-04-04 um 4.48.06 Uhr. pngScreenshot 2016-04-04 um 4.48.50 Uhr. pngScreenshot 2016-04-04 um 4.50.11 Uhr. png

  • Exportieren Sie die Root-CA (CACert) im PEM-Format, ohne den privaten Schlüssel, und importieren Sie Sie in das Satelliten Gerät (Gerät > Zertifikats Management > Zertifikate > Import). Dieses Zertifikat auf dem Satelliten wird verwendet, um das Portal/Gateway Certifcate gegen den CACert zu validieren.
    Screenshot 2016-04-04 um 4.53.34 Uhr. pngScreenshot 2016-04-04 um 4.54.18 Uhr. png

 

GlobalProtect Portal Konfiguration:

 

  1. Konfigurieren Sie ein Portal (Netzwerk-> GlobalProtect-> Portale-> Add) und fügen Sie die Schnittstelle hinzu, die als Portal/Gateway fungieren wird.
    Screenshot 2016-04-04 um 5.07.28 Uhr. png
  2. Hinweis: Beachten Sie , dass das Authentifizierungs Profil nur hinzugefügt wird, um Commit-Fehler zu vermeiden. Es wird nicht verwendet, wenn die Verwendung der Seriennummer verwendet wird, um den Satelliten einzuschreiben. Dieses Profil dient für Benutzername-/PassWortbasierte Authentifizierungen für Satelliten, die nicht mit SerienNummer eingeschrieben sind. Im obigen Fall wurde ein Authentifizierungs Profil erstellt, das lokale Benutzer für die Benutzername-/Passwort-basierte Authentifizierung verwendet.
  3. Konfigurieren Sie den Satelliten, indem Sie die Gateways und Prioritäten hinzufügen. Durch das Hinzufügen der Seriennummer des Satelliten umgeht das Portal das oben konfigurierte Authentifizierungs Profil und verwendet stattdessen die Seriennummer, um den Satelliten zu validieren.

    Screenshot 2016-04-04 um 5.16.28 Uhr. png

    Hinweis: Beachten Sie , dass die Seriennummer nicht in der obigen Satelliten Konfiguration hinzugefügt wird. Sie können die Seriennummer des Satelliten Gerätes hinzufügen, wenn eine SerienNummer-basierte Einschreibung erforderlich ist. Beachten Sie auch das Truster Root CA CERT und das Ausgabe Zertifikat, das in der Konfiguration hinzugefügt wurde. Das ausstellende Zertifikat wird vom Portal verwendet, um die vom Satelliten erstellte Bescheinigung über das Zertifikat zu unterzeichnen.
  4. Konfigurieren Sie das Portal als OCSP-Responder (Device > Zertifikats Management > OCSP Responder), um den Zertifikats Widerruf für GlobalProtect-Satelliten zu gewährleisten. Erlauben Sie auch den OCSP-Dienst unter dem Management-Profil, der an die Portal Schnittstelle gebunden ist. Die OSCP-Responder-Einstellung wird nicht neu aufgelegt, wenn externe CA verwendet wird.

    Screenshot 2016-04-04 um 5.23.46 Uhr. png

 

Gateway Configuration:

 

  1. Konfigurieren Sie das Gateway (Netzwerk > GlobalProtect > Gateways > Add), mit der richtigen Schnittstelle und dem Zertifikats Profil, das verwendet wird, um den Satelliten auf das Gateway zu authentifizieren. 

    Hinweis: es ist zwingend erforderlich, ein Zertifikats Profil zu haben oder die Übergabe scheitert. Das Authentifizierungs Profil ist nicht zwingend.

    Screenshot 2016-04-04 um 5.28.50 Uhr. png

  2. Binden Sie eine Tunnel Schnittstelle an diesen Satelliten und konfigurieren Sie die NetzwerkEinstellungen für den IP-Pool und die ZugangsWege. Hinweis: der IP-Pool wird verwendet, um der Tunnel Schnittstelle auf dem Satelliten eine IP zuzuweisen. Die Zufahrts Route wird in der Routing-Tabelle des Satelliten installiert, damit der Verkehr vom Netzwerk hinter Satellit ordnungsgemäß über den Tunnel zum Gateway geleitet wird. Screenshot 2016-04-04 um 5.30.59 Uhr. png
  3. Das Gateway kann alle/selektiven Routen akzeptieren, die vom Satelliten beworben werden, indem das Kontrollkästchen "veröffentlichte Routen akzeptieren" unter Satelliten Konfiguration > Routen Filter überprüft wird.

    Screenshot 2016-04-04 um 5.40.37 Uhr. png

  4. ÜberTragen Sie die Konfiguration für Portal und Gateway.

 

Satelliten Konfiguration:

 

  1. Erstellen Sie eine neue IPSec-Tunnel Konfiguration und wählen Sie den Typ als GlobalProtect-Satellit. Fügen Sie die Tunnel Schnittstelle, das Portal config und die Schnittstelle hinzu, die die Portal Adresse erreichen kann. 

    Screenshot 2016-04-04 um 5.42.57 Uhr. png

     

  2. Um den Satelliten für die Routen zum Gateway werben zu lassen, überprüfen Sie "alle statischen und angeschlossenen Routen zum Gateway veröffentlichen", um alle statischen und angeschlossenen Routen oder nur ausgewählte Routen zu bewerben, indem Sie die Subnetze hinzufügen. Im folgenden Schnappschuss ist der Satellit so konfiguriert, dass er das Netzwerk 20.1.1.0/24 nur zum Gateway bewirbt.

    Screenshot 2016-04-04 um 5.43.47 Uhr. png

  3. Denken Sie daran, die Änderungen auf dem Satelliten zu begehen.

 

Die Konnektivität testen

 

  • Auf dem Satelliten klicken Sie auf Gateway Info, das eine Option bietet, um Berechtigungen einzugeben, um sich auf dem Portal zu authentifizieren, wenn die Seriennummer nicht verwendet wurde, um den Satelliten einzuschreiben. Der bwloe-Schnappschuss hebt den Status, die zugewiesene IP-Adresse der Tunnel Schnittstelle und die Zufahrtsroute hervor.

    Screenshot 2016-04-04 um 5.48.45 Uhr. png

  • ÜberPrüfen Sie diese Informationen auf dem Gateway. Screenshot 2016-04-04 um 5.55.41 Uhr. png

 

Besitzer: Sdarapuneni
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEQCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language