Configuration GlobalProtect de base à la demande

Configuration GlobalProtect de base à la demande

208096
Created On 09/25/18 17:36 PM - Last Modified 06/16/23 17:08 PM


Resolution


 Qu’est-ce GlobalProtect qu’il y a à la demande?

 

Comme son nom l’indique, à la demande (à la volonté de l’utilisateur), l’utilisateur a le contrôle sur le moment de se connecter ou de se déconnecter de GlobalProtect . Une fois GlobalProtect connecté, l’utilisateur verra une option de déconnexion pour se déconnecter en cas de besoin.

 

Ce document explique la GlobalProtect configuration de base pour la demande avec les considérations suivantes:

 

  • Authentification - base de données locale
  • Même interface servant de portail et de porte d’entrée.
  • Les certs root, intermédiaires et serveurs sont générés sur PAN

 

1. Générer une racine CA , intermédiaire et un serveur CA cert comme expliqué dans ce document:

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFoCAK
 

Certificats

 

 

2. Créer un SSL / profil sous device > Certificate Management > TLS SSL /TLS profil de service, se référant à ce qui précède créé « certificat serveur ».

SSL-TLS-Profil. png

 

3. Créez un profil d’authentification sous le profil d’authentification >'>'ajouter.

 

Nom - donnez un nom à ce profil d’authentification

Type - choisir Local Database(You may choose ldap,radius etc depending on your requirement)

 

Onglet avancé > autoriser la > ajouter - Sélectionnez tous (Si vous avez des groupes, vous pouvez la limiter aux groupes requis)

Cliquez OK pour enregistrer.

AUTH-profile.png

 

 AUTH-profil-2.png

 

 

4. Créer une interface tunnel sous network > Interfaces >Tunnel. Donner un nombre de tunnel, le routeur virtuel et la zone de sécurité. Il est recommandé de créer une zone distincte pour le VPN trafic car il donne une meilleure flexibilité pour créer des règles de sécurité distinctes pour le VPN trafic.

 

tunnel-interface.png

 

 

Configurer GlobalProtect le portail

 

5. Allez à Network > GlobalProtect > Portals > Ajouter.

Général Tab. Donnez un nom au portail et sélectionnez l’interface qui sert de portail dans le menu déroulant vers le bas.

  GP Onglet Portail général

 

6. Onglet Authentification.

 

Un. Sous SSL / profil de TLS service, sélectionnez SSL le / profil créé à TLS l’étape 2 de la baisse.

b. Authentification du client>Add. Donnez-lui n’importe quel nom, laissez le OS « n’importe quel » à moins que vous ne souhaitez le restreindre. Dans le profil d’authentification, sélectionnez le profil d’auth créé à l’étape 3.

c. Cliquez sur ok pour enregistrer.

GP-portail-auth.png

 

7. Agent Tab. Ajouter une nouvelle configuration de client.

Un. Onglet Authentification:

  • Donner un nom à cette configuration de client
  • Certificat client - laissez-le voix contre zéro, ce sera seulement nécessaire si nous voulons pousser n’importe quel certificat de client à des fins d’authentification, les clients.
  • Enregistrer les informations d’identification de l’utilisateur - Yes(default)
  • (Facultatif) Remplacement de l’authentification : cochez les cases pour « Générer un cookie pour le remplacement d’authentification » et « Acceptez le cookie pour l’authentification ». Ce cookie peut être chiffré/décrypté à l’aide de n’importe quel certificat sélectionné à partir de la baisse de 'Certificate to Encrypt/Decrypt Cookie'.

GP Onglet d’authentification du portail


B. Onglet de groupe utilisateur/utilisateur. Laissez le OS groupe et l’utilisateur à « n’importe quel » (Vous pouvez le limiter aux groupes requis si nécessaire)

Important!

Onglet externe. Sous 'Passerelles externes', cliquez sur Ajouter. Donnez-lui n’importe quel nom.

Adresse- Entrez IP l’adresse ou FQDN qui a été référencée dans le certificat Nom commun ( CN ) ou Nom alternatif du sujet ( ) de SAN l’étape 1. Dans cet exemple, nous entrons dans ' gp.portal-gw01.local'


GP Onglet Agent portail Onglet externe

 

d. Onglet App. Sous 'Connect-method' drop down, sélectionnez 'On-demand (Manual user initiated connection)'.

Remarque : Pour passer de « à la GP demande » à « logon utilisateur », il suffit de changer la « méthode de connexion » de « à la demande » à « logon utilisateur ».
 

GP Onglet Portal Agent App

 

E. Cliquez OK pour enregistrer.

F. Sous 'Trusted CA Root', sélectionnez la racine CA et intermédiaire CA . Aussi, sélectionnez « Installer dans le magasin de certificats racine Local » pour installer ces certificats dans le magasin de certificats racine local du client après que le client se connecte avec succès sur le portail pour la première fois.

 

GP-Portal-Agent-config.png

G. Cliquez OK pour enregistrer et fermer le portail GP config.

 

 

Configurer la GlobalProtect passerelle

 

8. Allez au réseau> GlobalProtect >Gateways>Add.

Général Tab. Donnez un nom à la porte d’entrée et sélectionnez l’interface qui sert de porte d’entrée dans le menu déroulant vers le bas.

GP-GW-Général.png

 

 9. Onglet Authentification. Ceci est similaire à l’étape 6, mais il s’agit de porte d’entrée.

Un. Sous SSL / profil de TLS service, sélectionnez SSL le / profil créé à TLS l’étape 2 de la baisse.

b. Authentification du client>Add. Donnez-lui n’importe quel nom, laissez le OS « n’importe quel » à moins que vous ne souhaitez le restreindre. Dans le profil d’authentification, sélectionnez le profil d’auth créé à l’étape 3.

c. Cliquez sur ok pour enregistrer.

 GP-GW-Authentification.png

 

10. Agent Tab.

a. Paramètres du tunnel. Vérifiez le mode Tunnel pour activer le mode tunnel et sélectionnez l’interface tunnel créée à l’étape 4 à partir de la chute.

b. Activer IPSec. Cochez cette case pour activer IPSec, ceci est fortement recommandé. Avec ce paramètre activé, GP sera toujours essayer de se connecter d’abord sur IPSec, si elle échoue, puis GP retombe à SSL .

Gateway-tunnel.png

 

c. Paramètres de délai d’attente - laissez-les par défaut. Pour toute modification à cela, se référer au GP guide admin.

d. Paramètres du client

 

Cliquez sur Ajouter > donner un nom à l’onglet remplacer l’authentification

-(Facultatif) L’authentification l’emporte: Cochez les cases pour ' Générer un cookie pour l’authentification de remplacement » et « Accepter cookie pour l’authentification passer outre ». Ce cookie peut être crypté/décrypté à l’aide de n’importe quel certificat sélectionné à partir de la baisse de 'Certificate to Encrypt/Decrypt Cookie'. Remarque: Si un certificat est sélectionné ici sous portail, le même doit être sélectionné ici sous gateway 'certificat pour chiffrer/décrypter cookie'.

 

Authentication_Override.png

 

e. Onglet Critères de sélection Config. Laissez OS l’utilisateur source et l’utilisateur source définis à « n’importe quel » (Vous pouvez le limiter aux groupes requis si vous le voulez).

 

Important!

Si un groupe est choisi parmi le drop-down, assurez-vous que GlobalProtect l’utilisateur fait partie de ce groupe, sinon le client recevra NOT IP l’adresse de la passerelle. Les problèmes courants ici sont lorsque l’utilisateur est identifié GlobalProtect par comme « domaine \utilisateur », mais firewall le « userid peut l’avoir comme « domaine entièrement qualifié \utilisateur », dans ces cas assurez-vous que le groupe / utilisateur est montré identique aux deux endroits en surécrivant champ de domaine dans l’identification de l’utilisateur>groupe de cartographie.

 

Config_Selection_Criteria.png

 

f. IP Onglet Piscines.

Très Important !

  • La GlobalProtect passerelle attribuera les ADRESSES IP de ce pool aux clients. Spécifiez les plages IP de pool d’un ou plusieurs DO NOT OVERLAP qui avec l’un des réseaux existants dans l’organisation. Chevauchement des sous-réseaux peut causer des problèmes de routage et des pannes de réseau.
  • (Facultatif mais recommandé) Vous pouvez ajouter une deuxième plage IP de pool pour la sauvegarde qui sera utile dans les cas où l’utilisateur connecte un wifi qui fournit la IP même gamme de piscine que votre pool IP principal.

IP_Pools.png

 

g. Onglet Split Tunnel. Cela définit les sous-réseaux qui peuvent être atteints par les clients une fois GP qu’ils sont connectés à la passerelle.

  • Ensemble « Inclure » à 0.0.0.0/0 pour forcer tout le trafic à passer par le GP tunnel.
  • Pour le creusement de tunnelsfractionné : Spécifiez les sous-réseaux internes requis comme 10.0.0.0/8, 192.168.x.0/24 etc. afin GP que le client utilise le tunnel pour atteindre uniquement ces sous-réseaux. Tout ce qui se trouve en dehors de ces sous-réseaux sera accessible directement à partir du réseau local du client, c’est cequ’on appelle le tunnelage fractionné.

Split_Tunnel.png
 

h. Cliquez OK pour enregistrer et fermer les paramètres du client. Un de plus OK pour enregistrer et fermer les paramètres de GP passerelle.

 

11. Créez un nom d’utilisateur/mot de passe local sous la base de données utilisateur device>Local>utilisateurs pour les tests.

12. Créer des politiques de sécurité NAT et de sécurité pour que la zone VPN nouvellement créée donne accès de manière appropriée.

13. Engagez les modifications.

 

Pour tester sur une machine cliente

 

1. À partir du navigateur, aller à https://gp.portal-gw01.local/ c’est à dire https://<portal-ip/fqdn>

2. Entrez les informations d’identification

3. Télécharger le GlobalProtect client

4. Dans le GlobalProtect client, entrez l’adresse portail et les informations d’identification, cliquez sur connectez-vous.

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClH2CAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language