Grundkonfiguration GlobalProtect mit On-Demand

Grundkonfiguration GlobalProtect mit On-Demand

208114
Created On 09/25/18 17:36 PM - Last Modified 06/16/23 17:08 PM


Resolution


 Was ist GlobalProtect mit On-Demand?

 

Wie der Name schon sagt, auf Anforderung (nach Belieben des Benutzers), hat der Benutzer die Kontrolle darüber, wann eine Verbindung hergestellt oder die Verbindung mit zu trennen GlobalProtect ist. Sobald die Verbindung mit hergestellt GlobalProtect ist, wird dem Benutzer die Option "Trennen" angezeigt, um die Verbindung bei Bedarf zu trennen.

 

In diesem Dokument wird die grundlegende GlobalProtect Konfiguration für den Bedarfs bedarf mit den folgenden Überlegungen erläutert:

 

  • Authentifizierung - lokale Datenbank
  • Gleiche Schnittstelle dient als Portal und Gateway.
  • Stamm-, Zwischen- und Serverzertifikate werden auf PAN

 

1. Generieren Sie ein CA Stamm-, Zwischen- CA und Serverzertifikat, wie in diesem Dokument erläutert:

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFoCAK
 

Zertifikate

 

 

2. Erstellen Sie ein SSL TLS /Profil unter Device > Certificate Management > SSL /TLS Serviceprofile, unter Bezugnahme auf das oben erstellte 'Serverzertifikat'.

SSL-TLS-Profile-Png

 

3. Erstellen Sie ein Authentifizierungsprofil unter Device > Authentication Profile > Add.

 

Name - geben Sie einen Namen für diese Authentifizierungsprofil

Typ - wählen Sie lokale Database(You may choose ldap,radius etc depending on your requirement)

 

Erweiterte Registerkarte > Liste zulassen > Hinzufügen - Alle auswählen (Wenn Sie Gruppen haben, können Sie sie auf erforderliche Gruppen beschränken)

Klicken Sie OK hier, um zu speichern.

Auth-profile.png

 

 Auth-Profil-2.png

 

 

4. Erstellen Sie eine Tunnelschnittstelle unter Netzwerk->-Schnittstellen >Tunnel. Geben Sie einen Tunnel Nummer, virtuelle Router und Sicherheitszone. Es wird empfohlen, eine separate Zone für den Datenverkehr zu VPN erstellen, da dadurch eine größere Flexibilität beim Erstellen separater Sicherheitsregeln für den Datenverkehr gewährt VPN wird.

 

Tunnel-interface.png

 

 

Konfigurieren von GlobalProtect Portal

 

5. Gehen Sie zu Netzwerk > GlobalProtect > Portals > Hinzufügen.

Allgemeine Registerkarte. Geben Sie einen Namen für das Portal und wählen Sie die Schnittstelle, die als Portal aus dem Drop-down dient.

  GP Portal Allgemeine Registerkarte

 

6. Registerkarte Authentifizierung.

 

Eine. Wählen Sie unter SSL / TLS Serviceprofil das SSL in Schritt 2 erstellte Profil aus TLS der Dropdown-Liste aus.

b. Client-Authentifizierung>Hinzufügen. Geben Sie ihm einen Namen, lassen Sie die OS zu "any", es sei denn, Sie möchten sie einschränken. Wählen Sie unter Authentifizierungsprofil das in Schritt 3 erstellte Auth-Profil.

c. Klicken Sie auf OK, um zu speichern.

GP-portal-auth.png

 

7. Agenten-Registerkarte. Fügen Sie eine neue Client-Config.

Eine. Registerkarte Authentifizierung:

  • Geben Sie einen beliebigen Namen zu diesem Client-config
  • Client-Zertifikat - lassen Sie es zu keiner, dies wird nur benötigt, wenn wollen wir Client-Zertifikat für Kunden zwecks Authentifizierung.
  • Speichern Sie die Anmeldeinformationen des Benutzers - Yes(default)
  • (Optional) Authentifizierungsüberschreibung: Aktivieren Sie die Kontrollkästchen für 'Cookie für Authentifizierungsüberschreibung generieren' und 'Cookie für Authentifizierungsüberschreibung akzeptieren'. Dieses Cookie kann mit jedem Zertifikat verschlüsselt/entschlüsselt werden, das aus der Dropdown-Liste "Zertifikat zum Verschlüsseln/Entschlüsseln von Cookies" ausgewählt wird.

GP Registerkarte Portalauthentifizierung


B. Registerkarte "Benutzer/Gruppe". Überlassen Sie die OS Gruppe und die Benutzergruppe "any" (Sie können sie bei Bedarf auf erforderliche Gruppen beschränken)

Wichtig!

Externe Registerkarte. Klicken Sie unter 'Externe Gateways' auf Hinzufügen. Geben Sie ihm einen beliebigen Namen.

Adresse- Geben Sie die IPAdresse ein oder auf die im Zertifikat Common FQDN Name( ) oder Subject Alternate CN Name( ) von Schritt SAN 1 verwiesen wurde. Wir geben Sie in diesem Beispiel "Gp.portal-Gw01.local"


GP Portal-Agent-Registerkarte Externe Registerkarte

 

d. App-Registerkarte. Wählen Sie unter 'Connect-methode' Dropdown ' 'On-demand (Manual user initiated connection) 'aus.

Hinweis: Um diese GP Einrichtung von 'On-demand' in 'user-logon' zu ändern, ändern Sie einfach die 'Connect-Methode' von 'on-demand' in 'user-logon'.
 

GP Portal Agent App-Registerkarte

 

E. Klicken Sie OK hier, um zu speichern.

F. Wählen Sie unter 'Trusted CA Root' die Wurzel und die CA Zwischendatei CA aus. Wählen Sie "Install im Zertifikatspeicher lokalen Root" auch diese Zertifikate im Zertifikatspeicher des Auftraggebers lokalen Root installieren, nachdem der Client erfolgreich auf das Portal zum ersten Mal verbindet.

 

GP-Portal-Agent-config.png

G. Klicken Sie OK hier, um die Portalkonfiguration zu speichern und GP zu schließen.

 

 

Konfigurieren von GlobalProtect Gateway

 

8. Gehen Sie zu Netzwerk> GlobalProtect >Gateways>Hinzufügen.

Allgemeine Registerkarte. Geben Sie einen Namen für das Gateway und wählen Sie die Schnittstelle, die als Gateway aus dem Drop-down dient.

GP-GW-Allgemein.png

 

 9. Authentifizierungsregisterkarte. Dies ist vergleichbar mit Schritt 6 fort, aber dies ist für Gateway.

Eine. Wählen Sie unter SSL / TLS Serviceprofil das SSL in Schritt 2 erstellte Profil aus TLS der Dropdown-Liste aus.

b. Client-Authentifizierung>Hinzufügen. Geben Sie ihm einen Namen, lassen Sie die OS zu "any", es sei denn, Sie möchten sie einschränken. Wählen Sie unter Authentifizierungsprofil das in Schritt 3 erstellte Auth-Profil.

c. Klicken Sie auf OK, um zu speichern.

 GP-GW-Authentifizierung.png

 

10. Agent Registerkarte.

a. Tunneleinstellungen. Aktivieren Sie den Tunnelmodus, um den Tunnelmodus zu aktivieren, und wählen Sie die tunnelschnittstelle aus, die in Schritt 4 erstellt wurde, aus der Dropdown-Liste.

b. Aktivieren Sie IPSec. Aktivieren Sie dieses Kontrollkästchen, um IPSec zu aktivieren.  Wenn diese Einstellung aktiviert GP ist, wird immer versucht, zuerst eine Verbindung über IPSec herzustellen, wenn es GP fehlschlägt, dann auf SSL zurück.

Gateway-tunnel.png

 

c. Timeout-Einstellungen - lassen Sie sie auf Standardwerte. Änderungen hieran finden Sie im GP Admin-Handbuch.

d. Client-Einstellungen

 

Klicken Sie auf Hinzufügen > geben Sie einen Namen zur Registerkarte Authentifizierung überschreiben

-(Optional) Authentifizierungsüberschreibung: Aktivieren Sie die Kontrollkästchen für ' Generieren Sie Cookies für die Authentifizierungsüberschreibung und "Cookie für Authentifizierungsüberschreibung akzeptieren". Dieses Cookie kann mit jedem Zertifikat verschlüsselt/entschlüsselt werden, das aus der Dropdown-Liste "Zertifikat zum Verschlüsseln/Entschlüsseln von Cookies" ausgewählt wurde. Hinweis:Wenn hier unter Portal ein Zertifikat ausgewählt ist, muss dasselbe hier unter Gateway 'Zertifikat zum Verschlüsseln/Entschlüsseln von Cookies' ausgewählt werden.

 

Authentication_Override.png

 

e. Registerkarte "Konfigurationsauswahlkriterien". Lassen Sie den OS und den Quellbenutzer auf "any" (Sie können ihn auf erforderliche Gruppen beschränken, falls gewünscht).

 

Wichtig!

Wenn eine Gruppe aus der Dropdownliste ausgewählt wird, stellen Sie sicher, dass der GlobalProtect Benutzer Teil dieser Gruppe ist, wenn nicht der Client eine Adresse vom Gateway NOT IP erhält. Häufige Probleme sind hier, wenn der Benutzer durch "Domänenbenutzer" identifiziert wird, die Benutzer-ID jedoch als "vollqualifizierte Domäne" vorhanden sein GlobalProtect firewall kann, und in diesen Fällen sicherstellen, dass die Gruppe/der Benutzer an beiden Stellen identisch angezeigt wird, indem sie das Domänenfeld in der Zuordnung zur Benutzeridentifizierung >Gruppe überschreibt.

 

Config_Selection_Criteria.png

 

f. IP Registerkarte Pools.

Sehr wichtig!

  • Das GlobalProtect Gateway weist Denclients IpPs aus diesem Pool zu. Geben Sie einen oder mehrere IP Poolbereiche an, die mit einem der vorhandenen Netzwerke in der Organisation vorhanden DO NOT OVERLAP sind. Überlappende Subnetze kann dazu führen, dass Routingprobleme und Netzwerkausfällen.
  • (Optional, aber empfohlen) Sie können einen zweiten Poolbereich für Backups hinzufügen, der IP in Fällen nützlich ist, in denen der Benutzer ein WLAN verbindet, das den gleichen IP Poolbereich wie Ihr primärer IP Pool bereitstellt.

IP_Pools.png

 

g. Registerkarte "Tunnel teilen". Dadurch wird definiert, welche Subnetze von Clients erreicht werden können, sobald sie mit dem GP Gateway verbunden sind.

  • Legen Sie 'Include' auf 0.0.0.0/0 fest, um den gesamten Datenverkehr durch den Tunnel zu GP zwingen.
  • Für Split-Tunneling: Geben Sie erforderliche interne Subnetze wie 10.0.0.0/8, 192.168.x.0/24 usw. an, damit GP der Client den Tunnel verwendet, um nur diese Subnetze zu erreichen. Auf alles Außerhalb dieser Subnetze wird direkt über das lokale Netzwerk des Clients zugegriffen, d.h. es wird Split Tunneling genannt.

Split_Tunnel.png
 

H. Klicken Sie OK hier, um Clienteinstellungen zu speichern und zu schließen. Eine OK weitere, um Gateway-Einstellungen zu speichern und zu GP schließen.

 

11. Erstellen Sie einen lokalen Benutzernamen/Ein-Kennwort unter Device>Local user database>users for testing.

12. Erstellen Sie Sicherheit und NAT Richtlinien für die neu erstellte VPN Zone, um den Zugriff entsprechend zu gewähren.

13. Verpflichten Sie die Änderungen.

 

Auf Client-Rechner testen

 

1. Gehen Sie über den Browser zu https://gp.portal-gw01.local/ dh https://<portal-ip/fqdn>

2. Geben Sie die Anmeldeinformationen ein

3. Laden Sie den GlobalProtect Client herunter

4. Geben Sie im GlobalProtect Client die Portaladresse und die Anmeldeinformationen ein, klicken Sie auf Verbinden.

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClH2CAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language