Comment configurer un GlobalProtect client pour obtenir la même IP adresse
168462
Created On 09/25/18 17:41 PM - Last Modified 03/26/21 16:27 PM
Resolution
Aperçu
Ce document décrit comment configurer les adresses IP réservées pour GlobalProtect .
Symptôme
Actuellement, il n’y a aucun moyen de créer une réservation pour IP une adresse pour les utilisateurs qui se GlobalProtect connecte à la passerelle.
Contournement
Consultez les solutions de contournement suivantes pour résoudre le symptôme :
- Utilisez le registre pour donner IP l’adresse préférée au client
- À partir du WebGUI, passez au réseau > GlobalProtect > passerelles et modifiez la passerelle appropriée.
- Rendez-vous sur les paramètres >'agent > clients et modifiez le Config client approprié.
- Allez à IP l’onglet Piscines.
- GlobalProtectL’utilisateur se voit offrir la première adresse définie dans le pool IP d’adresses. IP
Pour le scénario suivant, l’adresse « 10.200.200.101 » IP est utilisée :
À partir de CLI :
Utilisez la commande suivante pour déterminer si l’utilisateur a obtenu l’adresse comme prévu :> show global-protect-gateway current-user GlobalProtect Gateway: GP-GW-2 (1 users) Tunnel Name : GP-GW-2-N Domain-User Name : al\emea Computer : ILIJA_WIN7_DMZ Client : Microsoft Windows 7 Enterprise Edition Service Pack 1, 32-bit Mobile ID : Private IP : 10.200.200.101 Public IP : 10.193.83.98 ESP : exist SSL : none Login Time : Dec.31 14:57:36 Logout/Expiration : Jan.30 14:57:36 TTL : 2591981 Inactivity TTL : 10796
La prochaine fois que le client a besoin de le connecter informera la passerelle, ils ont une adresse IP préférée, si cette adresse est gratuite, ils peuvent l’utiliser à nouveau.
Si le IP pool est assez grand pour que le préféré soit toujours IP disponible, l’utilisateur devrait théoriquement obtenir le même IP . Ce paramètre peut être configuré en modifiant le registre sur la machine du client, comme indiqué
ci-dessous: Under HKEY_LOCAL_MACHINE\ SOFTWARE \Palo Alto Networks\ GlobalProtect \PanGPS\PreferredIP ajouter IP le souhaité: Modifier
l’adresse préférée à un haut de gamme (dans ce cas
IP IP 10.200.200.150):
Dans ce cas, le pool est de 50 IP adresses et ne s’attendent pas à plus de 50 utilisateurs de se connecter simultanément. Le dernier IP sera toujours gratuit sur la passerelle et peut être utilisé par le client.
L’utilisateur se connecte et doit voir ce qui suit :> show global-protect-gateway current-user GlobalProtect Gateway: GP-GW-2 (1 users) Tunnel Name : GP-GW-2-N Domain-User Name : al\emea Computer : ILIJA_WIN7_DMZ Client : Microsoft Windows 7 Enterprise Edition Service Pack 1, 32-bit Mobile ID : Private IP : 10.200.200.150 Public IP : 10.193.83.98 ESP : exist SSL : none Login Time : Dec.31 15:00:15 Logout/Expiration : Jan.30 15:00:15 TTL : 2591981 Inactivity TTL : 10798
- Créez une passerelle supplémentaire pour cet utilisateur particulier en définissant l’utilisateur source dans la GlobalProtect configuration, attribuez un pool à la passerelle. L’utilisateur recevra la première IP adresse du pool, car personne d’autre ne partagerait ce pool.
- Note: Le plus petit pool qui peut être défini est /30, il n’est pas possible d’ajouter un sous-réseau avec un masque /32. Cette fonctionnalité existe pour le cas d'utilisation plus courante de la définition de groupes d'utilisateurs spécifiques qui peuvent obtenir des configurations différentes et des paramètres de réseaux, de sorte qu'il n'est pas à l'échelle de le faire pour des dizaines d'IPs individuels, mais pour un utilisateur, il devrait fonctionner correctement.
Si dans l’exemple ci-dessus, l’utilisateur reçoit différentes IP adresses du pool, définir une source statique NAT entre la zone et la zone de SSLVPN confiance, de sorte que le trafic de VPN l’utilisateur doit être vu à partir d’une IP seule adresse sur le côté confiance
Note: Ces solutions de contournement sont pour une utilisation limitée, pour une fonctionnalité appropriée une demande de fonctionnalité doit être soumis.
propriétaire : ialeksov