Configuración básica GlobalProtect con bajo demanda

Configuración básica GlobalProtect con bajo demanda

208118
Created On 09/25/18 17:36 PM - Last Modified 06/16/23 17:08 PM


Resolution


 ¿Qué pasa GlobalProtect con On-Demand?

 

Como su nombre indica, bajo demanda (a voluntad del usuario), el usuario tiene control sobre cuándo conectarse o desconectarse de GlobalProtect . Una vez conectado GlobalProtect a, el usuario verá una opción de "desconexión" para desconectar cuando sea necesario.

 

Este documento explica la configuración básica GlobalProtect para la demanda con las siguientes consideraciones:

 

  • Autenticación - base de datos local
  • Misma interfaz que sirve como portal y puerta de entrada.
  • Los certificados raíz, intermedios y de servidor se generan en PAN

 

1. Genere una CA raíz, intermedia CA y un certificado del servidor tal y como se explica en de este documento:

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFoCAK
 

Certificados

 

 

2. Cree un SSL / perfil bajo > > de administración de certificados TLS SSL /TLS perfil de servicio, haciendo referencia al "certificado de servidor" creado anteriormente.

SSL-TLS-Profile. png

 

3. Cree un perfil de autenticación bajo perfil de autenticación de > del dispositivo > agregar.

 

Nombre - dar un nombre a este perfil de autenticación

Tipo: elegir Local Database(You may choose ldap,radius etc depending on your requirement)

 

Ficha Avanzada > Permitir lista > Agregar - Seleccionar todo (Si tiene grupos, puede restringirlo a grupos requeridos)

Haga clic OK para guardar.

Auth-profile.png

 

 Auth-perfil-2.png

 

 

4. Cree una interfaz de túnel bajo interfaces de > de red >Tunnel. Dar un número de túnel, router virtual y zona de seguridad. Se recomienda crear una zona separada para el VPN tráfico, ya que da una mejor flexibilidad para crear reglas de seguridad separadas para el VPN tráfico.

 

túnel interface.png

 

 

Configurar GlobalProtect portal

 

5. Vaya a Network > GlobalProtect > Portals > Add.

Ficha General. Dar un nombre al portal y seleccionar la interfaz que sirve como portal de la gota abajo.

  GP Pestaña Portal General

 

6. Ficha Autenticación.

 

Un. En SSL / perfil de TLS servicio, seleccione el / perfil creado SSL en el paso TLS 2 desde el menú desplegable.

b. Autenticación de cliente>Add. Déle cualquier nombre, deje el OS a 'cualquiera' a menos que desee restringirlo. Bajo perfil de autenticación, seleccione el perfil de auth que creó en el paso 3.

c. Haga clic en Aceptar para guardar.

GP-portal-auth.png

 

7. Ficha Agente. Añadir una nueva configuración de cliente.

Un. Ficha autenticación:

  • Dar cualquier nombre a esta configuración de cliente
  • Certificado de cliente - dejar a ninguno, sólo esto será necesario si queremos empujar un certificado de cliente a los clientes para fines de autenticación.
  • Guardar las credenciales de usuario - Yes(default)
  • (Opcional) Anulación de autenticación: Marque las casillas 'Generar cookie para la anulación de autenticación' y 'Aceptar cookie para la anulación de autenticación'. Esta cookie se puede cifrar/descifrar utilizando cualquier certificado seleccionado en el menú desplegable de 'Certificado para cifrar/descifrar cookie'.

GP Pestaña Autenticación del portal


B. Ficha de usuario/grupo. Deje el OS grupo y usuario a 'cualquiera' (Puede restringirlo a los grupos requeridos si es necesario)

¡Importante!

Pestaña externa. En "Puertas de enlace externas", haga clic en Agregar.

Dirección- Introduzca la dirección o a IP la que se hizo referencia en el certificado Nombre FQDN común( ) o Nombre alternativo del CN sujeto ( ) del paso SAN 1. En este ejemplo entramos ' gp.portal-gw01.local'


GP Pestaña Agente del portal Pestaña Pestaña Externo

 

d. Pestaña Aplicación. En 'Connect-method' desplegable, seleccione 'Bajo demanda (Conexión manual iniciada por el usuario)'.

Nota: Para cambiar esta GP configuración de 'On-demand' a 'user-logon', simplemente cambie el 'connect-method' de 'on-demand' a 'user-logon'.
 

GP Pestaña Aplicación del Agente del Portal

 

e. Haga clic OK para guardar.

F. En 'Raíz de CA confianza', seleccione la raíz y el CA intermedio CA . También, seleccione 'Instalar en almacén de certificados raíz Local' para instalar los certificados en el almacén de certificados de raíz local del cliente después de que el cliente se conecta correctamente al portal por primera vez.

 

GP-Portal-Agent-config.png

G. Haga clic OK para guardar y cerrar la configuración del GP portal.

 

 

Configurar GlobalProtect puerta de enlace

 

8. Vaya a Network> GlobalProtect >Gateways>Add.

Ficha General. Dar un nombre a la puerta de entrada y seleccione la interfaz que sirve como puerta de enlace de la gota abajo.

GP-GW-General.png

 

 9. Ficha Autenticación. Esto es similar al paso 6, pero esto es para gateway.

Un. En SSL / perfil de TLS servicio, seleccione el / perfil creado SSL en el paso TLS 2 desde el menú desplegable.

b. Autenticación de cliente>Add. Déle cualquier nombre, deje el OS a 'cualquiera' a menos que desee restringirlo. Bajo perfil de autenticación, seleccione el perfil de auth que creó en el paso 3.

c. Haga clic en Aceptar para guardar.

 GP-GW-Autenticación.png

 

10. Ficha Agente.

a. Configuración del túnel. Marque el "modo del túnel" para habilitar el modo de túnel y seleccione la interfaz del túnel creada en el paso 4 del descenso-abajo.

b. Habilite IPSec. Marque esta casilla para habilitar el IPSec, esto es altamente recomendado. Con esta configuración habilitada, GP siempre intentará conectarse primero a través de IPSec, si falla, entonces vuelve a GP SSL .

Gateway-tunnel.png

 

c. Configuración del tiempo de espera: déjelos por defecto. Para cualquier cambio en esto, consulte la GP guía de administración.

d. Configuración del cliente

 

Haga clic en Agregar > dar un nombre a la ficha Sobrescrituras de autenticación

-(Opcional) Anulación de autenticación: Marque las casillas para ' Generar cookie para la anulación de autenticación' y "Aceptar cookie para la anulación de autenticación". Esta cookie se puede cifrar/descifrar utilizando cualquier certificado seleccionado en el menú desplegable de 'Certificado para cifrar/descifrar cookie'. Nota:Si se selecciona un certificado aquí en el portal, lo mismo debe seleccionarse aquí en Puerta de enlace 'certificado para cifrar/descifrar cookie'.

 

Authentication_Override.png

 

e. Ficha Criterios de selección de configuración. Deje el OS usuario de origen establecido en 'cualquiera' (puede restringirlo a los grupos requeridos si lo desea).

 

¡Importante!

Si se elige un grupo del menú desplegable, asegúrese de que el GlobalProtect usuario forma parte de este grupo, si no, el cliente recibirá la dirección de la puerta de NOT IP enlace. Los problemas comunes aquí son cuando el usuario es identificado GlobalProtect como 'dominio\usuario', pero el firewall 's userid puede tenerlo como 'dominio completo\usuario', en esos casos asegúrese de que el grupo/usuario se muestra idéntico en ambos lugares mediante la sobrescritura del campo de dominio en la asignación de usuario-identificación> grupo.

 

Config_Selection_Criteria.png

 

f. IP Ficha Piscinas.

¡Muy importante!

  • La GlobalProtect puerta de enlace asignará direcciones IP de este grupo a los clientes. Especifique uno o varios IP intervalos de grupo que con cualquiera de las redes existentes en la DO NOT OVERLAP organización. Superposición de subredes puede causar problemas de enrutamiento y las interrupciones de red.
  • (Opcional pero recomendado) Puede agregar un segundo IP rango de grupo para la copia de seguridad que será útil en los casos en que el usuario conecta un wifi que proporciona el mismo rango de grupo que IP su grupo IP principal.

IP_Pools.png

 

g. Pestaña Túnel dividido. Esto define a qué subredes pueden llegar GP los clientes una vez que están conectadas a la puerta de enlace.

  • Establezca 'Incluir' en 0.0.0.0/0 para forzar todo el tráfico a pasar por el GP túnel.
  • Para la tunelización dividida:Especifique subredes internas requeridas como 10.0.0.0/8, 192.168.x.0/24, etc. para que GP el cliente utilice el túnel para alcanzar solamente estas subredes. Cualquier cosa fuera de estas subredes se accederá directamente desde la red local del cliente, thse llama túnel dividido.

Split_Tunnel.png
 

H. Haga clic OK para guardar y cerrar la configuración del cliente. Uno más OK para guardar y cerrar la configuración de la puerta de GP enlace.

 

11. Cree un nombre de usuario/contraseña local en Device>Local user database>users para pruebas.

12. Cree políticas y seguridad NAT para que la zona recién creada dé acceso VPN adecuadamente.

13. Confirme los cambios.

 

A la prueba en la máquina cliente

 

1. Desde el navegador, vaya a https://gp.portal-gw01.local/ es decir, https://<portal-ip/fqdn>

2. Introduzca las credenciales

3. Descargue el GlobalProtect cliente

4. En el GlobalProtect cliente, ingrese la dirección y las credenciales del portal, haga clic en conectar.

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClH2CAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language