Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Konfigurieren GlobalProtect - Knowledge Base - Palo Alto Networks

Konfigurieren GlobalProtect

1033535
Created On 09/25/18 17:27 PM - Last Modified 10/25/24 18:57 PM


Symptom


Hinweis: Seit diesem Artikel geschrieben wurde, wurden einige Updates hinzugefügt, und wir empfehlen, die folgenden Artikel zu überprüfen:

Grundkonfiguration GlobalProtect mit On-Demand

Grundkonfiguration GlobalProtect mit Voranmeldung

Grundkonfiguration GlobalProtect mit Benutzeranmeldung



Environment


  • Pan-OS
  • Global Protect


Resolution


Um zu GlobalProtect implementieren, konfigurieren Sie:

  • GlobalProtect Client heruntergeladen und in den Palo Alto Networks aktiviert firewall
  • Portal-Konfiguration
  • Gateway-Konfiguration
  • Routing zwischen den Vertrauenszonen und GlobalProtect Clients (und in einigen Fällen zwischen den GlobalProtect Clients und den nicht vertrauenswürdigen Zonen)
  • Sicherheit und NAT Richtlinien, die den Datenverkehr zwischen den Clients und Trust zulassen GlobalProtect
    • Optional: NAT Policy für GlobalProtect Clients, um ins Internet zu gehen (wenn Split-Tunneling nicht aktiviert ist)
  • Für iOS- oder Android-Geräte, um eine Verbindung herzustellen, GlobalProtect app kann verwendet werden.
Zertifikatkonfiguration:

Benutzeriertes Bild

Benutzeriertes Bild

Portal-Konfiguration


Benutzeriertes Bild

Benutzeriertes Bild

 

Es empfiehlt sich ersten Test ohne eine Zeugnisvorlage, wodurch für einfachere Fehlerbehebung, wenn die anfängliche Konfiguration nicht funktioniert wie vorgesehen. Konfigurieren und testen Sie zunächst erfolgreich die Standardauthentifizierung, und fügen Sie dann das Zertifikatsprofil für die Zertifikatauthentifizierung hinzu.
 

Die Portaladresse ist die Adresse, an die sich externe GlobalProtect Clients verbinden. In den meisten Fällen ist dies die Adresse der externen IP Schnittstelle. Die Gatewayadresse ist in der Regel dieselbe externe IP Adresse.
 

Benutzeriertes Bild
 

GlobalProtect Verbindungsmethoden:

  • Auf Abruf: Erfordert eine manuelle Verbindung, wenn der Zugriff auf die VPN erforderlich ist.
  • Benutzeranmeldung: VPN wird eingerichtet, sobald sich der Benutzer am Computer anmeldet. Wenn SSO aktiviert, werden Benutzeranmeldeinformationen automatisch aus den Windows-Anmeldeinformationen abgezogen und zur Authentifizierung des GlobalProtect Clientbenutzers verwendet.
  • Voranmeldung: VPN wird eingerichtet, bevor sich der Benutzer am Computer anmeldet. Computerzertifikat ist für diese Art der Verbindung erforderlich.


Die Registerkarte Agent enthält wichtige Informationen darüber, was Benutzer mit dem Agenten tun können oder GlobalProtect nicht. So dass Agent Benutzer überschreiben mit Kommentar erlaubt Benutzern, den Agent deaktivieren nach Eingabe eines Kommentars oder Grund. Der Kommentar wird in den Systemprotokollen der firewall angezeigt, wenn sich dieser Benutzer als nächstes anmeldet.
 

Benutzeriertes Bild
 

Wenn Sie die Option "deaktiviert" für Agent User Override auswählen, wird verhindert, dass Benutzer den GlobalProtect Agenten deaktivieren:
 

Benutzeriertes Bild
 

Gateway-Konfiguration
 

Palo Alto Networks empfiehlt für die Erstprüfung Standardauthentifizierung konfigurieren. Wenn alles getestet wurde, kann die Konfiguration bei Bedarf durch das Hinzufügen von Authentifizierung über Clientzertifikate hinzugefügt werden.
 

Benutzeriertes Bild

Benutzeriertes Bild
 

Um Geräte bei einer Drittanbieteranwendung zu authentifizieren, VPN aktivieren Sie X- "Auth-Support aktivieren" in der Clientkonfiguration des Gateways. Gruppenname und Kennwort müssen für diese Einstellung konfiguriert werden.
 

Benutzeriertes Bild



 

In den meisten Fällen ist die Vererbungsquelle für Firewalls mit statischen öffentlichen IP Adressen auf keine festgelegt.
 

Die Informationen zu den IP Pooleinstellungen sind wichtig, da der Adresspool den IP firewall verbindungsgebundenen Clients zugewiesen GP wird. Auch wenn Global Connect-Clients als Teil des lokalen Netzwerks betrachtet werden müssen, um das Routing zu erleichtern, empfiehlt Palo Alto Networks nicht, einen IP Pool im selben Subnetz wie der Adresspool zu LAN verwenden. Interne Server wissen automatisch, um Pakete zurück zum Gateway zu senden, wenn die Quelle ein anderes Subnetz ist. Wenn den GP Clients Adressen aus demselben Subnetz wie die ausgegeben IP LAN würden, würden die internen Ressourcen ihren LAN für die Clients vorgesehenen Datenverkehr niemals an die Palo GP Alto-Netzwerke weiterleiten Firewall (Standard GW ).

Benutzeriertes Bild

Zugangswege:


 

Zugriffsrouten sind die Subnetze, mit denen GlobalProtect Clients eine Verbindung herstellen sollen. In den meisten Fällen sind dies die LAN Netzwerke. Um zu erzwingen, dass der gesamte Datenverkehr durch den firewall , sogar den für das Internet bestimmten Datenverkehr, geht, ist das Netzwerk, das konfiguriert werden muss, "0.0.0.0/0", d. h. der gesamte Datenverkehr.

Benutzeriertes Bild

Wenn 0.0.0.0/0 konfiguriert ist, kann die Sicherheitsregel dann steuern, auf welche internen LAN Ressourcen die Clients zugreifen GlobalProtect können. Wenn eine Sicherheit den Datenverkehr aus der Clientzone nicht in die nicht policy vertrauenswürdige Zone nicht zulässt, GlobalProtect können diese Clients von den GlobalProtect Clients, die über die mit den Palo Alto-Netzwerken verbunden firewall SSL VPN sind, nur auf lokale Ressourcen zugreifen und sind im Internet nicht zulässig:
 

Screenshot von GlobalProtect Clientzonen NAT
 

Screenshot der GlobalProtect Clientzonen Sicherheit
 

Die GlobalProtect Clientzonen und -tunnel müssen in demselben virtuellen Router wie die anderen Schnittstellen enthalten sein.
 

 



Additional Information




Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFbCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language