Comment configurer GlobalProtect satellite

Comment configurer GlobalProtect satellite

75175
Created On 09/25/18 17:15 PM - Last Modified 10/05/23 04:19 AM


Resolution


Détails

GlobalProtect satellite simplifie le déploiement de VPN Hub et spoke traditionnels, vous permettant de déployer rapidement des réseaux d'entreprise avec plusieurs succursales avec un minimum de configuration requise sur les périphériques satellites distants. Cette solution utilise des certificats pour l'authentification des périphériques et IPSec pour sécuriser les données. 

 

Le programme d'installation inclut la configuration du portail, de la passerelle et du satellite comme sous:

 

Note: cette config utilise la même interface pour le portail et la passerelle et est testé sur les périphériques exécutant 7.0. X. Rappelez-vous les différences de configuration entre les versions antérieures.

 

Exigences relatives aux certificats:

 

  • Générer un certificat d'AUTORITÉ de certification racine sur le portail (auto-signé) et un certificat de serveur utilisé pour le certificat de portail et de passerelle signé par l'AUTORITÉ de certification racine ci-dessus. 

    Remarque: Assurez -vous que le CN (nom commun) du certificat de serveur dans la configuration de passerelle GlobalProtect correspond à l'adresse IP ou au FQDN de la configuration d'adresse IP dans la configuration de passerelle GlobalProtect. (à configurer ultérieurement) Dans le cas contraire, l'erreur «nom commun de certificat ne correspond pas à l'hôte configuré sur le satellite» est générée.
    Screen Shot 2016-04-04 à 4.48.06 PM. pngScreen Shot 2016-04-04 à 4.48.50 PM. pngScreen Shot 2016-04-04 à 4.50.11 PM. png

  • Exportez l'Autorité de certification racine (cacert) au format PEM, sans clé privée, et importez-la sur le périphérique satellite (Device > gestion des certificats > certificats > Import). Ce certificat sur le satellite est utilisé pour valider le portail/passerelle Certifcate contre le cacert.
    Screen Shot 2016-04-04 à 4.53.34 pm. pngScreen Shot 2016-04-04 à 4.54.18 PM. png

 

Configuration du portail GlobalProtect:

 

  1. Configurez un portail (Network-> GlobalProtect-> Portals-> Add) et ajoutez l'interface qui agira en tant que portail/passerelle.
    Screen Shot 2016-04-04 à 5.07.28 PM. png
  2. Remarque: Notez que le profil d'Authentification est juste ajouté pour éviter les erreurs de validation. Il n'est pas utilisé si l'utilisation du numéro de série est utilisée pour inscrire le satellite. Ce profil servira pour les authentifications basées sur le nom d'utilisateur/mot de passe pour les satellites qui ne sont pas inscrits en utilisant le numéro de série. Dans le cas ci-dessus, un profil d'Authentification a été créé qui utilise les utilisateurs locaux pour l'authentification par nom d'utilisateur/mot de passe.
  3. Configurer le satellite en ajoutant les passerelles et les priorités. En ajoutant le numéro de série du satellite, le portail ignore le profil d'Authentification configuré ci-dessus et utilise plutôt le numéro de série pour valider le satellite.

    Screen Shot 2016-04-04 à 5.16.28 PM. png

    Remarque: Notez que le numéro de série n'est pas ajouté dans la configuration satellite ci-dessus. Vous pouvez ajouter le numéro de série du périphérique satellite si l'inscription par numéro de série est requise. Remarquez également le certificat de l'Autorité de certification root et l'attestation d'émission qui a été ajoutée dans la configuration. Le certificat d'Émission sera utilisé par le portail pour signer la demande de signature de certificat générée par le satellite sur la connexion.
  4. Configurez le portail en tant que répondeur OCSP (Device > Management de certificats > répondeur OCSP) pour fournir la révocation de certificats pour les satellites GlobalProtect. Autorisez également le service OCSP sous le profil de gestion lié à l'Interface du portail. Le paramètre du répondeur OSCP n'est pas rérequis si l'Autorité de certification externe est utilisée.

    Screen Shot 2016-04-04 à 5.23.46 PM. png

 

Configuration de la passerelle:

 

  1. Configurez la passerelle (réseau > GlobalProtect > Gateways > Add), avec l'interface appropriée et le profil de certificat, qui sera utilisé pour authentifier le satellite à la passerelle. 

    Remarque: il est obligatoire d'avoir un profil de certificat ou le commit échoue. Le profil d'Authentification n'est pas obligatoire.

    Screen Shot 2016-04-04 à 5.28.50 PM. png

  2. Liez une interface de tunnel à ce satellite et configurez les paramètres réseau pour le pool d'adresses IP et les itinéraires d'accès. Remarque: le pool IP sera utilisé pour attribuer une adresse IP à l'interface du tunnel sur le satellite. L'itinéraire d'accès sera installé dans la table de routage du satellite pour que le trafic du réseau derrière le satellite soit acheminé correctement sur le tunnel jusqu'à la passerelle. Screen Shot 2016-04-04 à 5.30.59 pm. png
  3. La passerelle peut accepter tous les itinéraires/sélectifs annoncés par le satellite en vérifiant la case à cocher "accepter les itinéraires publiés" sous Configuration satellite > filtre d'itinéraire.

    Screen Shot 2016-04-04 à 5.40.37 PM. png

  4. Valider la config pour Portal et Gateway.

 

Configuration satellite:

 

  1. Créez une nouvelle configuration de tunnel IPSec et sélectionnez le type comme GlobalProtect satellite. Ajoutez l'interface tunnel, le portail config et l'interface qui peut atteindre l'adresse du portail. 

    Screen Shot 2016-04-04 à 5.42.57 pm. png

     

  2. Pour que le satellite annonce les itinéraires vers la passerelle, cochez la case "publier tous les itinéraires statiques et connectés vers la passerelle" pour annoncer tous les itinéraires statiques et connectés ou uniquement les itinéraires sélectionnés en ajoutant les sous-réseaux. Dans le snapshot ci-dessous, le satellite est configuré pour annoncer le réseau 20.1.1.0/24 uniquement à la passerelle.

    Screen Shot 2016-04-04 à 5.43.47 PM. png

  3. N'Oubliez pas de valider les changements sur le satellite.

 

Test de la connectivité

 

  • Sur le satellite, cliquez sur info-passerelle, qui fournira une option pour entrer des informations d'identification pour s'authentifier sur le portail, si le numéro de série n'a pas été utilisé pour inscrire le satellite. L'instantané bwloe met en surbrillance l'état, l'adresse IP attribuée à l'interface tunnel et la route d'accès.

    Screen Shot 2016-04-04 à 5.48.45 PM. png

  • Vérifiez ces informations sur la passerelle. Screen Shot 2016-04-04 à 5.55.41 PM. png

 

propriétaire : sdarapuneni
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEQCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language