Cómo configurar un GlobalProtect cliente para obtener la misma IP dirección
168440
Created On 09/25/18 17:41 PM - Last Modified 03/26/21 16:27 PM
Resolution
Visión general
Este documento describe cómo configurar los IP reservados para GlobalProtect .
Síntoma
Actualmente, no hay forma de crear una reserva para una IP dirección para los usuarios que se conecta a la puerta de GlobalProtect enlace.
Solución
Consulte las siguientes soluciones para resolver el síntoma:
- Utilice el registro para dar la dirección preferida IP al cliente
- Desde webGUI, vaya a > de red GlobalProtect > puertas de enlace y edite la puerta de enlace adecuada.
- Vaya al agente > configuración de cliente > y edite la configuración de cliente adecuada.
- Vaya a la IP pestaña Agrupaciones.
- Al GlobalProtect usuario se le ofrecerá la primera dirección que se define en el grupo de IP IP direcciones.
Para el siguiente escenario, se utiliza la dirección "10.200.200.101": IP
Desde el CLI :
Utilice el siguiente comando para determinar si el usuario obtuvo la dirección como se esperaba:> show global-protect-gateway current-user GlobalProtect Gateway: GP-GW-2 (1 users) Tunnel Name : GP-GW-2-N Domain-User Name : al\emea Computer : ILIJA_WIN7_DMZ Client : Microsoft Windows 7 Enterprise Edition Service Pack 1, 32-bit Mobile ID : Private IP : 10.200.200.101 Public IP : 10.193.83.98 ESP : exist SSL : none Login Time : Dec.31 14:57:36 Logout/Expiration : Jan.30 14:57:36 TTL : 2591981 Inactivity TTL : 10796
La próxima vez que el cliente necesite conectarse notificará a la puerta de enlace, tendrá una IP dirección preferida, si esa dirección es gratuita, puede volver a usarla.
Si el IP grupo es lo suficientemente grande por lo que el preferido siempre está IP disponible, el usuario teóricamente debe obtener lo IP mismo. Esta configuración se puede configurar editando el registro en el equipo del cliente, como se muestra a continuación:
En HKEY_LOCAL_MACHINE\ SOFTWARE \Palo Alto Networks\ GlobalProtect \PanGPS\PreferredIP agregue lo IP deseado:
Modifique la dirección preferida a un IP extremo superior IP (en este caso 10.200.200.150):
En este caso, el grupo es de 50 IP direcciones y no espera que más de 50 usuarios se conecten simultáneamente. El último IP siempre será gratuito en la puerta de enlace y puede ser utilizado por el cliente.
El usuario se conecta y debe ver lo siguiente:> show global-protect-gateway current-user GlobalProtect Gateway: GP-GW-2 (1 users) Tunnel Name : GP-GW-2-N Domain-User Name : al\emea Computer : ILIJA_WIN7_DMZ Client : Microsoft Windows 7 Enterprise Edition Service Pack 1, 32-bit Mobile ID : Private IP : 10.200.200.150 Public IP : 10.193.83.98 ESP : exist SSL : none Login Time : Dec.31 15:00:15 Logout/Expiration : Jan.30 15:00:15 TTL : 2591981 Inactivity TTL : 10798
- Cree una puerta de enlace adicional para ese usuario determinado definiendo el usuario de origen en la GlobalProtect configuración, asigne un grupo a la puerta de enlace. El usuario obtendrá la primera IP dirección del grupo, ya que nadie más compartiría ese grupo.
- Nota: El grupo más pequeño que se puede definir es /30, no es posible agregar una subred con una máscara /32. Esta capacidad existe para el caso de uso más común de la definición de grupos de usuarios específicos que pueden obtener diferentes configuraciones y configuraciones de redes, por lo que no escala a hacer esto para docenas de IPs individuales, pero para un usuario debe funcionar bien.
Si en el ejemplo anterior, el usuario está obteniendo direcciones diferentes IP del grupo, defina un origen estático NAT entre la zona y la zona de SSLVPN confianza, de modo que el tráfico del VPN usuario se vea desde una sola dirección en el lado de IP confianza
Nota: Estas soluciones alternativas son para uso limitado, para una funcionalidad adecuada se debe enviar una solicitud de característica.
Propietario: ialeksov