Cómo configurar el satélite GlobalProtect

Detalles

El satélite GlobalProtect simplifica el despliegue de las VPN de Hub y radios tradicionales, permitiéndole implementar rápidamente redes empresariales con varias sucursales con una cantidad mínima de configuración requerida en los dispositivos de satélite remotos . Esta solución utiliza certificados para la autenticación de dispositivos e IPSec para proteger los datos. 

La configuración incluye la configuración del portal, Gateway y satélite como en:

Nota: esta configuración utiliza la misma interfaz para portal y Gateway y se prueba en dispositivos que ejecutan 7.0. X. Recuerde las diferencias de configuración entre versiones anteriores.

Requisitos del certificado:

• Genere un certificado de CA raíz en el portal (autofirmado) y un certificado de servidor utilizado para el certificado de portal y Gateway firmado por la CA raíz anterior. 

  Nota: Asegúrese de que el CN (nombre común) del certificado de servidor en la configuración de Gateway GlobalProtect coincida con la dirección IP o el FQDN de la configuración de la dirección IP en la configuración de Gateway GlobalProtect. (para ser configurado más adelante) De lo contrario, el error "nombre común del certificado no coincide con el hostname configurado en el satélite" se genera.
  

• Exportar la CA raíz (CACert) en formato PEM, sin la clave privada, e importarla al dispositivo satélite (dispositivo > administración de certificados > certificados > Import). Este certificado en el satélite se utiliza para validar el portal/Gateway Certifcate contra el CACert.
  

Configuración del portal GlobalProtect:

1. Configure un portal (red-> GlobalProtect-> Portals-> Add) y añada la interfaz que actuará como portal/Gateway.
   
2. Nota: Observe que el perfil de autenticación se acaba de agregar para evitar errores de commit. No se utiliza si se usa el número de serie para inscribir el satélite. Este perfil servirá para autenticaciones basadas en nombre de usuario/contraseña para satélites que no estén inscritos usando el número de serie. En el caso anterior, se ha creado un perfil de autenticación que utiliza usuarios locales para la autenticación basada en nombre de usuario/contraseña.
3. Configure el satélite añadiendo las pasarelas y las prioridades. Al agregar el número de serie del satélite, el portal omite el perfil de autenticación configurado anteriormente y, en su lugar, utiliza el número de serie para validar el satélite.
   

   

   Nota: Observe que el número de serie no se agrega en la configuración de satélite anterior. Puede Agregar el número de serie del dispositivo satelital si se requiere la inscripción basada en el número de serie. Observe también el certificado de CA de root del fideicomitente y la certificación de emisión que se ha agregado en la configuración. El certificado de emisión será utilizado por el portal para firmar la solicitud de firma del certificado generada por el satélite en conexión.
4. Configure el portal como un respondedor OCSP (dispositivo > administración de certificados > OCSP responder) para proporcionar revocación de certificados para los satélites GlobalProtect. También permita que el servicio OCSP bajo el perfil de administración se haya enlazado a la interfaz del portal. El ajuste del respondedor OSCP no se require si se está utilizando una CA externa.

   

Configuración de Gateway:

1. Configure la pasarela (red > GlobalProtect > Gateway > Add), con la interfaz adecuada y el perfil de certificado, que se utilizará para autenticar el satélite a la puerta de enlace. 

   Nota: es obligatorio tener un perfil de certificado o el commit falla. El perfil de autenticación no es obligatorio.

   

2. Enlazar una interfaz de túnel a este satélite y configurar la configuración de red para el pool de IP y las rutas de acceso. Nota: el Pool IP se usará para asignar una IP a la interfaz del túnel en el satélite. La ruta de acceso se instalará en la tabla de enrutamiento del satélite para que el tráfico de la red detrás del satélite sea ruteado correctamente sobre el túnel hasta la puerta de enlace.
3. La pasarela puede aceptar todas/las rutas selectivas anunciadas por el satélite mediante la comprobación de la casilla de verificación "aceptar rutas publicadas" bajo configuración satelital > filtro de ruta.

   

4. Cometemos el config para portal y Gateway.

Configuración satelital:

1. Cree una nueva configuración de túnel IPSec y seleccione el tipo como satélite GlobalProtect. Agregue la interfaz del túnel, el portal config, y la interfaz que puede alcanzar la dirección del portal. 

   

    

2. Para que el satélite anuncie las rutas a la pasarela, marque "publique todas las rutas estáticas y conectadas a Gateway" para publicitar todas las rutas estáticas y conectadas o sólo las rutas seleccionadas mediante la adición de las subredes. En la siguiente instantánea el satélite está configurado para publicitar la red 20.1.1.0/24 sólo en la pasarela.

   

3. Recuerde que debe cometer los cambios en el satélite.

Probar la conectividad

• En el satélite, haga clic en Gateway info, que proporcionará una opción para introducir credenciales para autenticar al portal, si el número de serie no se usó para inscribir el satélite. La instantánea bwloe resalta el estado, la IP asignada a la interfaz del túnel y la ruta de acceso.
  

  

• Verifique esta información en la puerta de enlace.

Propietario: sdarapuneni