GlobalProtect サテライトを設定する方法

GlobalProtect サテライトを設定する方法

68973
Created On 09/25/18 17:15 PM - Last Modified 10/05/23 04:19 AM


Resolution


詳細

GlobalProtect サテライトを使用すると、従来のハブおよびスポーク型 vpn の導入が簡素化され、複数の支社を備えたエンタープライズネットワークを、リモートのサテライトデバイスで必要最小限の構成で迅速に展開することが可能になります。このソリューションでは、デバイス認証と IPSec の証明書を使用してデータを保護します。 

 

セットアップには、ポータル、ゲートウェイ、およびサテライトの構成が含まれています。

 

注:この構成は、ポータルとゲートウェイの両方に同じインターフェイスを使用し、7.0. X を実行しているデバイスでテストされます。以前のバージョン間の構成の違いを覚えておいてください。

 

証明書の要件:

 

  • ポータル上のルート ca 証明書 (自己署名) と、上記のルート ca によって署名されたポータルおよびゲートウェイ証明書に使用するサーバー証明書を生成します。 

    注: GlobalProtect ゲートウェイ構成のサーバー証明書の CN (共通名) が、GlobalProtect ゲートウェイ構成の ip アドレスまたは FQDN と一致していることを確認してください。(後で設定する)それ以外の場合は、"証明書の共通名は、サテライトで構成されたホスト名と一致しません" というエラーが生成されます。
    スクリーンショット2016-04-04 で 4.48.06 pm.スクリーンショット2016-04-04 で 4.48.50 pm.スクリーンショット2016-04-04 で 4.50.11 pm.

  • ルート CA (CACert) を PEM 形式でエクスポートし、秘密キーを使用せずに、サテライトデバイス (デバイス > 証明書管理 > 証明書 > インポート) にインポートします。 サテライト上のこの証明書は、CACert に対してポータル/ゲートウェイ証明書を検証するために使用されます。
    スクリーンショット2016-04-04 で 4.53.34 pm.スクリーンショット2016-04-04 で 4.54.18 pm.

 

GlobalProtect ポータルの設定:

 

  1. ポータル (ネットワーク-> GlobalProtect-> ポータル-> 追加) を構成し、ポータル/ゲートウェイとして機能するインターフェイスを追加します。
    スクリーンショット2016-04-04 で 5.07.28 pm.
  2. 注:認証プロファイルは、コミットエラーを回避するために追加されたものであることに注意してください。サテライトの登録にシリアル番号を使用している場合は使用されません。このプロファイルは、シリアル番号を使用して登録されていない衛星のユーザ名/パスワードベースの認証のために提供されます。上記のケースでは、ユーザー名/パスワードベースの認証にローカルユーザーを使用している認証プロファイルが作成されています。
  3. ゲートウェイと優先度を追加してサテライトを構成します。サテライトのシリアル番号を追加することにより、ポータルは上記で構成された認証プロファイルをバイパスし、代わりにシリアル番号を使用してサテライトを検証します。

    スクリーンショット2016-04-04 で 5.16.28 pm.

    メモ:上記のサテライト構成では、シリアル番号が追加されていないことに注意してください。シリアル番号ベースの登録が必要な場合は、サテライトデバイスのシリアル番号を追加できます。また、報) ds-truster のルート CA 証明書と、構成に追加されている発行元についても確認してください。発行元の証明書は、接続時にサテライトによって生成された証明書署名要求に署名するためにポータルによって使用されます。
  4. GlobalProtect サテライトの証明書失効を提供するために、ポータルを OCSP レスポンダー (デバイス > 証明書管理 > ocsp レスポンダー) として構成します。また、管理プロファイルの下にある OCSP サービスをポータルインターフェイスに binded こともできます。外部 CA が使用されている場合、OSCP レスポンダの設定は rerequired になりません。

    スクリーンショット2016-04-04 で 5.23.46 pm.

 

ゲートウェイの構成:

 

  1. ゲートウェイ (ネットワーク > GlobalProtect > ゲートウェイ > Add) を構成し、適切なインターフェイスと証明書プロファイルを使用して、ゲートウェイへのサテライトの認証を行います。 

    注:証明書プロファイルを持つことは必須であり、コミットは失敗します。認証プロファイルは必須ではありません。

    スクリーンショット2016-04-04 で 5.28.50 pm.

  2. このサテライトにトンネルインターフェイスをバインドし、IP プールとアクセスルートのネットワーク設定を構成します。メモ: ip プールは、サテライトのトンネルインタフェースに ip を割り当てるために使用されます。サテライトの背後にあるネットワークからのトラフィックが、トンネルを経由してゲートウェイに正しくルーティングされるように、サテライトのルーティングテーブルにアクセスルートがインストールされます。 スクリーンショット2016-04-04 で 5.30.59 pm.
  3. ゲートウェイは、サテライト構成 > ルートフィルタの下にある [公開されたルートを受け付ける] チェックボックスをオンにして、サテライトによってアドバタイズされるすべての/選択ルートを受け入れることができます。

    スクリーンショット2016-04-04 で 5.40.37 pm.

  4. ポータルとゲートウェイの構成をコミットします。

 

衛星の構成:

 

  1. 新しい IPSec トンネル構成を作成し、GlobalProtect サテライトとしてタイプを選択します。トンネルインターフェイス、ポータルの構成、およびポータルアドレスに到達できるインターフェイスを追加します。 

    スクリーンショット2016-04-04 で 5.42.57 pm.

     

  2. サテライトがゲートウェイへのルートをアドバタイズするには、「すべての静的および接続されたルートをゲートウェイに公開する」チェックボックスをオンにして、すべての静的および接続ルートをアドバタイズするか、サブネットを追加して選択したルートのみを提供します。以下のスナップショットでは、サテライトはゲートウェイにのみネットワーク 20.1.1.0/24 をアドバタイズするように構成されています。

    スクリーンショット2016-04-04 で 5.43.47 pm.

  3. サテライトで変更をコミットすることを忘れないでください。

 

接続のテスト

 

  • サテライトで [ゲートウェイ情報] をクリックすると、そのシリアル番号がサテライトの登録に使用されなかった場合に、ポータルに認証するための資格情報を入力するオプションが提供されます。bwloe スナップショットは、ステータス、割り当てられた IP をトンネルインタフェースおよびアクセスルートにハイライト表示します。

    スクリーンショット2016-04-04 で 5.48.45 pm.

  • ゲートウェイでこの情報を確認します。スクリーンショット2016-04-04 で 5.55.41 pm.

 

所有者: sdarapuneni
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEQCA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language