按 GlobalProtect 需基本配置
Resolution
随 GlobalProtect 需随到是怎么回事?
正如名称所说,按需(根据用户意愿),用户可以控制何时连接或断开连接 GlobalProtect 。 连接后 GlobalProtect ,用户将看到"断开连接"选项,可在需要时断开连接。
本文档出于 GlobalProtect 以下考虑,解释了按需的基本配置:
- 身份验证-本地数据库
- 相同的接口作为门户和网关。
- 根、中间和服务器证书生成于 PAN
1. 生成 CA CA 本文档中解释的根、中间体和服务器证书:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFoCAK
2. SSL TLS 在 设备>证书管理 SSL >/TLS 服务配置文件下创建/配置文件,引用上述创建的"服务器证书"。
3. 在添加身份验证配置 文件>设备下创建身份验证配置文件>。
名称-给到此身份验证配置文件的名称
类型-选择本地 Database(You may choose ldap,radius etc depending on your requirement)
高级选项卡>允许列表>添加 - 选择所有选项卡(如果您有组,您可以将其限制为所需的组)
单击 OK 以保存。
4. 在 网络>接口下创建隧道接口>隧道。 给一个隧道数量、 虚拟路由器和安全区。 建议创建一个单独的 VPN 交通区域,因为它为为交通创建单独的安全规则提供了更好的灵活性 VPN 。
配置 GlobalProtect 门户
5. 转到 网络 GlobalProtect >>门户>添加。
一般选项卡。 给门户网站的名称,并选择作为门户从下拉列表下的接口。
6. 身份验证选项卡。
a.在 SSL / TLS 服务配置文件下, SSL TLS 从下拉中选择步骤2中创建的/配置文件。
b. 客户身份验证>Ad.给它起任何名字,留下 OS 给'任何',除非你想限制它。 根据身份验证配置文件,选择在步骤 3 中创建的身份验证配置文件。
c. 单击"确定"以保存。
7. 代理选项卡。 添加新的客户端配置。
a.身份验证选项卡:
- 给这个客户端配置的任何名字
- 客户端证书-离开它为 none,如果我们想要将任何客户端证书推送到客户端身份验证目的将只需要这。
- 保存用户凭据-Yes(default)
- (可选)身份验证覆盖:选中"生成用于 身份验证覆盖的 Cookie"和"接受 Cookie 以进行身份验证覆盖"复选框。 此 Cookie 可以使用从"加密/解密 Cookie 证书"的下拉中选择的任何证书进行加密/解密 。
B。 用户/用户组选项卡。 将 OS 用户组留给"任何"组(如有必要,您可以将其限制为所需组)
重要!
外部选项卡。 在"外部网关"下,单击"添加"。给它起任何名称。
地址-输入 IP 地址或 FQDN 在第1步的证书通用名称 CN ()或主题替代名称 SAN ()中引用的地址。 在此示例中,我们输入 ' gp.portal-gw01.local'
d. 应用选项卡。 在"连接方法"下,请选择"按需(手动用户启动连接)"。
注意:要将此 GP 设置从"按需"更改为"用户-登录",只需将"连接方法"从"按需"更改为"用户登录"。
e.单击 OK 以保存。
F。在"可信根 CA "下,选择根 CA 和中间 CA 体。 此外,选择在本地的根证书存储中安装客户端的本地根证书存储中安装这些证书后在客户端成功连接到门户网站第一次。
G。单击 OK 以保存并关闭 GP 门户配置。
配置 GlobalProtect 网关
8. 转到网络 GlobalProtect >>门道>ad。
一般选项卡。 给网关的名称并选择充当网关从下拉列表下的接口。
9. 身份验证选项卡。 这是类似于步骤 6,但这是网关。
a.在 SSL / TLS 服务配置文件下, SSL TLS 从下拉中选择步骤2中创建的/配置文件。
b. 客户身份验证>Ad.给它起任何名字,留下 OS 给'任何',除非你想限制它。 根据身份验证配置文件,选择在步骤 3 中创建的身份验证配置文件。
c. 单击"确定"以保存。
10. 代理标签。
a. 隧道设置。 检查"隧道模式"以启用隧道模式,然后从下拉列表中选择步骤 4 中创建的隧道接口。
b. 启用 IPSec. 选中此框以启用 IPSec, 强烈建议这样做。 启用此设置后, GP 始终会尝试首先通过 IPSec 进行连接,如果失败,则 GP 会回落到 SSL 。
c. 超时设置 - 将它们保留为默认值。 有关此更改的任何更改,请参阅 GP 管理指南。
d. 客户端设置
单击添加 > 名称给身份验证重写选项卡
-(可选) 身份验证覆盖:选中框生成用于身份验证覆盖的曲奇"和"接受曲奇进行身份验证覆盖"。 此 Cookie 可以使用从"加密/解密 Cookie 证书"的下拉中选择的任何证书进行加密/解密 。 注意:如果在门户下选择证书,则需要在网关"加密/解密 Cookie 证书"下在此处选择相同的证书。
e. 配置选择标准选项卡。 将 OS 用户和源用户设置为"任意"(如果需要,您可以将其限制为所需组)。
重要!
如果从下拉中选择组,请确保 GlobalProtect 用户是此组的一部分,如果不是,客户端将从 NOT IP 网关接收地址。 这里的常见问题是,当用户被标识 GlobalProtect 为"域/用户",但 firewall "用户"可能将其识别为"完全合格的域/用户"时,在这些情况下,通过在用户身份识别>群映射中覆盖域字段,确保在这两个地方显示组/用户是相同的。
f. IP 池选项卡。
非常重要 !
- 网 GlobalProtect 关将从此池中向客户分配 IP。 指定 IP DO NOT OVERLAP 组织中任何现有网络的一个或多个池范围。 重叠的子网可以导致网络中断和路由问题。
- (可选但推荐)您可以添加第二个 IP 池范围进行备份,如果用户连接的 wifi 与主池提供相同的池范围,这将非常有用 IP IP 。
g. 拆分隧道选项卡。 这定义了 GP 客户端连接到网关后可以访问哪些子网。
- 将"包括"设置为0.0.0/0,以强制所有流量通过 GP 隧道。
- 拆分隧道:指定所需的内部子网,如 10.0.0.0/8、192.168.x.0/24 等,以便 GP 客户端使用隧道只到达这些子网。 这些子网以外的任何内容都将直接从客户端的本地网络访问, 即称为 拆分隧道。
H。单击 OK 以保存并关闭客户端设置。 再 OK 保存一个并关闭 GP 网关设置。
11. 在设备>本地用户数据库下创建本地用户名/密码>用户进行测试。
12. NAT 为新创建的区域创建安全和政策 VPN ,以便适当允许访问。
13. 提交更改。
在客户端计算机上进行测试
1.从浏览器,转到 https://gp.portal-gw01.local/ 即 https://<portal-ip/fqdn>
2. 输入凭据
3. 下载 GlobalProtect 客户端
4. 在 GlobalProtect 客户端中,输入门户地址和凭据,单击连接。