So konfigurieren Sie einen GlobalProtect Client, um dieselbe Adresse abzubekommen IP
168448
Created On 09/25/18 17:41 PM - Last Modified 03/26/21 16:27 PM
Resolution
Übersicht
In diesem Dokument wird beschrieben, wie reservierte IP-Speicher dateienfür GlobalProtect konfiguriert werden.
Symptom
Derzeit gibt es keine Möglichkeit, eine Reservierung für eine Adresse für die Benutzer zu erstellen, die eine IP Verbindung mit dem Gateway GlobalProtect herstellen.
Problemumgehung
Sehen Sie sich die folgenden Problemumgehungen an, um das Symptom zu beheben:
- Verwenden der Registrierung, um dem Client die bevorzugte IP Adresse anzugeben
- Wechseln Sie in der WebGUI zu Netzwerk- > GlobalProtect > Gateways, und bearbeiten Sie das entsprechende Gateway.
- Wechseln Sie zu Agent > Clienteinstellungen > und bearbeiten Sie die entsprechende Client-Config.
- Wechseln Sie zur IP Registerkarte Pools.
- Dem GlobalProtect Benutzer wird die erste Adresse IP angeboten, die im Adresspool definiert IP ist.
Für das folgende Szenario wird die Adresse "10.200.200.101" IP verwendet:
Aus der CLI :
Verwenden Sie den folgenden Befehl, um zu bestimmen, ob der Benutzer die Adresse wie erwartet erhalten hat:> show global-protect-gateway current-user GlobalProtect Gateway: GP-GW-2 (1 users) Tunnel Name : GP-GW-2-N Domain-User Name : al\emea Computer : ILIJA_WIN7_DMZ Client : Microsoft Windows 7 Enterprise Edition Service Pack 1, 32-bit Mobile ID : Private IP : 10.200.200.101 Public IP : 10.193.83.98 ESP : exist SSL : none Login Time : Dec.31 14:57:36 Logout/Expiration : Jan.30 14:57:36 TTL : 2591981 Inactivity TTL : 10796
Wenn der Client das nächste Mal eine Verbindung herstellen muss, benachrichtigt er das Gateway, er hat eine bevorzugte IP Adresse, wenn diese Adresse frei ist, können sie es erneut verwenden.
Wenn der Pool groß genug ist, so dass IP der bevorzugte immer verfügbar IP ist, sollte der Benutzer theoretisch die gleiche IP erhalten. Diese Einstellung kann durch Bearbeiten der Registrierung auf dem Computer des Clients konfiguriert werden, wie unten gezeigt:
Unter HKEY_LOCAL_MACHINE - Palo SOFTWARE Alto Networks" GlobalProtect -PanGPS-PreferredIP hinzufügen die gewünschte IP :
Ändern Sie die bevorzugte Adresse zu IP einem High-End IP (in diesem Fall 10.200.200.150):
In diesem Fall ist der Pool 50 IP Adressen und erwarten nicht, dass mehr als 50 Benutzer gleichzeitig eine Verbindung herstellen. Die letzte IP ist immer frei auf dem Gateway und kann vom Client verwendet werden.
Der Benutzer stellt eine Verbindung her und sollte Folgendes sehen:> show global-protect-gateway current-user GlobalProtect Gateway: GP-GW-2 (1 users) Tunnel Name : GP-GW-2-N Domain-User Name : al\emea Computer : ILIJA_WIN7_DMZ Client : Microsoft Windows 7 Enterprise Edition Service Pack 1, 32-bit Mobile ID : Private IP : 10.200.200.150 Public IP : 10.193.83.98 ESP : exist SSL : none Login Time : Dec.31 15:00:15 Logout/Expiration : Jan.30 15:00:15 TTL : 2591981 Inactivity TTL : 10798
- Erstellen Sie ein zusätzliches Gateway für diesen bestimmten Benutzer, indem Sie den Quellbenutzer in der GlobalProtect Konfiguration definieren, weisen Sie dem Gateway einen Pool zu. Der Benutzer erhält die erste IP Adresse aus dem Pool, da niemand sonst diesen Pool freigeben würde.
- Hinweis: Der kleinste Pool, der definiert werden kann, ist /30, es ist nicht möglich, ein Subnetz mit einer /32-Maske hinzuzufügen. Diese Fähigkeit besteht für den gängigeren Anwendungsfall der Definition bestimmter Benutzergruppen, die unterschiedliche Konfigurationen und Netzwerkeinstellungen erhalten könnten, so dass es nicht darauf skalieren, dies für Dutzende von einzelnen IPs zu tun, aber für einen Benutzer sollte es gut funktionieren.
Wenn der Benutzer im obigen Beispiel andere IP Adressen aus dem Pool erhält, definieren Sie eine statische Quelle zwischen der Zone und der NAT SSLVPN Vertrauenszone, sodass der Datenverkehr vom VPN Benutzer von einer einzelnen Adresse auf der Vertrauensseite angezeigt werden soll. IP
Hinweis: Diese Problemumgehungen sind für eine eingeschränkte Verwendung, für die ordnungsgemäße Funktionalität muss eine Feature-Anforderung gesendet werden.
Besitzer: Ialeksov