Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Cómo configurar GlobalProtect - Knowledge Base - Palo Alto Networks

Cómo configurar GlobalProtect

1033535
Created On 09/25/18 17:27 PM - Last Modified 10/25/24 18:57 PM


Symptom


Nota: Desde que se escribió este artículo, se han agregado algunas actualizaciones y se recomienda comprobar los siguientes artículos a continuación:

Configuración básica GlobalProtect con bajo demanda

Configuración básica GlobalProtect con inicio de sesión previo

Configuración básica GlobalProtect con inicio de sesión de usuario



Environment


  • Pan-OS
  • Global Protect


Resolution


Para implementar GlobalProtect , configurar:

  • GlobalProtect cliente descargado y activado en palo alto networks firewall
  • Configuración de portal
  • Configuración de Gateway
  • Enrutamiento entre las zonas de confianza y GlobalProtect los clientes (y en algunos casos, entre los GlobalProtect clientes y las zonas que no son de confianza)
  • Seguridad y NAT políticas que permiten el tráfico entre los clientes y GlobalProtect Trust
    • Opcional: NAT Policy para que los clientes salgan a Internet GlobalProtect (si la tunelización dividida no está habilitada)
  • Para dispositivos iOS o Android para conectarse, GlobalProtect app se puede utilizar.
Configuración del certificado:

Imagen de usuario añadido

Imagen de usuario añadido

Configuración de portal


Imagen de usuario añadido

Imagen de usuario añadido

 

Se recomienda para la primera prueba sin un perfil certificado, que permite la solución de problemas más simples, si la configuración inicial no funciona según lo previsto. Primero configure y pruebe correctamente la autenticación básica y, a continuación, agregue el perfil de certificado para la autenticación de certificados.
 

La dirección del portal es la dirección donde se GlobalProtect conectan los clientes externos. En la mayoría de los casos, esta es la dirección de la interfaz IP externa. La dirección de puerta de enlace suele ser la misma IP dirección externa.
 

Imagen de usuario añadido
 

GlobalProtect Métodos de conexión:

  • Bajo demanda: Requiere conectarse manualmente cuando se requiere acceso a VPN la.
  • Inicio de sesión del usuario: VPN se establece tan pronto como el usuario inicia sesión en la máquina. Cuando SSO está habilitada, las credenciales de usuario se extraen automáticamente de la información de inicio de sesión de Windows y se usan para autenticar al GlobalProtect usuario cliente.
  • Inicio de sesión previo: VPN se establece antes de que el usuario inicie sesión en el equipo. Certificado de equipo se requiere para este tipo de conexión.


La pestaña Agente contiene información importante sobre lo que los usuarios pueden o no pueden hacer con el GlobalProtect agente. Permitir anulación con comentario de agente de usuario permite a los usuarios desactivar al agente después de entrar en un comentario o una razón. El comentario aparece en los registros del sistema de firewall cuando este usuario inicia sesión a continuación.
 

Imagen de usuario añadido
 

La selección de la opción "deshabilitado" para Anulación de usuario del agente impide que los usuarios deshabiliten el GlobalProtect agente:
 

Imagen de usuario añadido
 

Configuración de puerta de enlace
 

Para las pruebas iniciales, Palo Alto Networks recomienda configurar autenticación básica. Cuando todo se ha probado, agregar autenticación a través de certificados de cliente, si es necesario, se puede agregar a la configuración.
 

Imagen de usuario añadido

Imagen de usuario añadido
 

Para autenticar dispositivos con una aplicación de VPN terceros, marque "Habilitar X- soporte de autenticación" en la configuración de cliente de la puerta de enlace. El nombre del grupo y la contraseña deben configurarse para esta configuración.
 

Imagen de usuario añadido



 

En la mayoría de los casos, para firewalls con direcciones públicas estáticas, IP establezca el origen de herencia en ninguno.
 

La IP información de configuración del grupo es importante, porque es el grupo de direcciones que asigna a los clientes de IP firewall GP conexión. Incluso si los clientes de Global Connect necesitan ser considerados como parte de la red local, para facilitar el enrutamiento, Palo Alto Networks no recomienda usar un IP grupo en la misma subred que el grupo de LAN direcciones. Servidores internos automáticamente saben que para enviar paquetes a la puerta de entrada si la fuente es otra subred. Si GP los clientes se emitieran IP direcciones desde la misma subred que el , los recursos internos nunca LAN LAN dirigirían su tráfico destinado a los clientes GP a las redes de Palo Alto Firewall (valor GW predeterminado).

Imagen de usuario añadido

Rutas de acceso:


 

Las rutas de acceso son las subredes a las que se espera que GlobalProtect se conecten los clientes. En la mayoría de los casos, éstas son las LAN redes. Para forzar todo el tráfico a pasar por el firewall , incluso el tráfico destinado a Internet, la red que necesita ser configurada es "0.0.0.0/0", que significa todo el tráfico.

Imagen de usuario añadido

Si se configura 0.0.0.0/0, la regla de seguridad puede controlar a continuación a qué recursos internos LAN pueden acceder los GlobalProtect clientes. Si una seguridad policy no permite el tráfico desde la zona de los clientes a la zona no GlobalProtect confiable, entonces de los clientes GlobalProtect conectados a las redes de Palo Alto firewall a través de la , entonces esos clientes pueden acceder solamente a los recursos locales y no SSL VPN se permiten en Internet:
 

Captura de pantalla de GlobalProtect las zonas cliente NAT
 

Captura de pantalla de GlobalProtect Client zones Security
 

Las GlobalProtect zonas de los clientes y los túneles se deben incluir en el mismo router virtual que las otras interfaces.
 

 



Additional Information




Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFbCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language