Neben der Nutzung eines nicht-HTTPS Global Protect Portals können Sie auf ein zugehöriges Gateway auf einer konfigurierten Loopback-Schnittstelle zugreifen. Wenn Sie nur eine öffentlich gerichtete IP-Adresse haben und SSL-basierte Anwendungen wie OWA auf dieser IP hosten möchten, bieten die folgenden Informationen die Konfigurationsschritte dafür.

Bitte befolgen Sie den Knowledge-Base-Artikel , wie Sie die Globalprotect-Portal Seite konfigurieren können, die auf jedem Port mit einem Vorbehalt abgerufen werden kann. Zusätzlich zur ersten Loopback-Schnittstelle, die für das Portal verwendet wird, müssen Sie eine zweite Loopback-Schnittstelle erstellen.

Zusätzliche Loopback-Schnittstelle erstellen

Vergewissern Sie sich, dass die Untrust-Schnittstelle den Loopback Ping kann.

> Ping Source 99.7.172.157 Host 10.1.1.

    PING 10.1.1.2 (10.1.1.2) aus 99.7.172.157:56 (84) Bytes Daten.

    64 Bytes von 10.1.1.2: icmp_seq = 1 TTL = 64 time = 0.126 MS

    64 Bytes von 10.1.1.2: icmp_seq = 2 ttl = 64 time = 0.068 MS

Loopback-Schnittstelle als Portal Adresse zuweisen

Loopback zuweisen. 1 Schnittstelle als Gateway-Adresse

Erstellen Sie die folgenden Dienste und fügen Sie diese in eine Servicegruppe ein.

Diese Dienste werden auf unserer Gateway-Loopback-Schnittstelle angezeigt. In diesem Beispiel wurden Dienstleistungen für Ports 500 (IKE/ciscovpn), 4501 (IPSec-ESP-UDP) erstellt.

Die beiden kundenspezifischen Dienste werden in Ergänzung zum vordefinierten Service-HTTPS zum Gateway-Service-Gruppenprofil hinzugefügt.

Die Dienste schaffen

Fügen Sie die Dienste zu einem Objekt der Servicegruppe hinzu

Die Sicherheitsrichtlinien nach Bedarf erstellen.

Wie im vorherigen KB-Artikel erwähnt, ist eine Regel für die Portal Seite erforderlich, um diesen Traffic auf einem nicht-SSL-Standard-Port auf unsere erste Loopback-Schnittstelle umzuleiten.

Hier wird das GP-Portal auf Port 7000 anstelle von Port 443 aufgerufen. Unterhalb dieser Regel wird eine weitere Regel für das Gateway erstellt, die IKE, IPSec, PANOS-Global-Protect, SSL und Web-Browsing erlaubt.

Erstellen Sie die NAT-Richtlinie, die den Verkehr auf die zweite Loopback (Loopback. 1)-Schnittstelle weiterleiten wird.

In diesem Beispiel wird die Gateway-Service-Gruppe genutzt und verwendet, um den Traffic auf 10.1.1.2, die Loopback. 1-Schnittstelle zu leiten, die zuvor konfiguriert wurde.

IPhone/iPad auf dem Gateway konfigurieren.

Aktivieren Sie die ' X-auth-UnterStützung ' auf dem Gateway und erstellen Sie einen GruppenNamen bzw. das GruppenPasswort. Dies wird bei der Konfiguration des VPN-Profils auf den mobilen Endgeräten genutzt.

Erstellen Sie das VPN-Profil auf dem iPhone/iPad mit dem gemeinsamen Geheimnis, das im vorherigen Schritt konfiguriert wurde. Das Passwort im Profil muss mit der gewählten Authentifizierungsmethode übereinstimmen (dh LDAP, Kerberos, localdb, etc.).

Bestätigen Sie den Zugriff über Ihren Global Protect Client und Ihr mobiles Gerät.

> zeigen die aktuellen globalen schützen Gateway Benutzer

        GlobalProtect Name: GP-Gateway (2 Benutzer)

        Domain-Benutzer Name Computer-Client private IP Public IP ESP SSL Login Zeit Logout/Ablauf TTL INAKTIVITÄT TTL

        ------ ---------      ---------      ----------      ---------      ---    ---    ----------      ----------------- ---      ----------- ---

              \renato PAN01347 Windows 7 (Version 6,1 Build 7601 Service Pack 1) 10.10.10.2 64.124.57.5 exist No Oct. 02 06:04:01 Nov. 01 06:04:01 2589926 9641

              \renato 64.124.57.5 iPhone OS: 6.0 10.10.10.1 64.124.57.5 exist No Oct. 02 06:38:33 Okt. 02 07:39:33 3657 10798

Besitzer: Rkalugdan