Cómo configurar global Protect Gateway en la interfaz de bucle invertido con acceso a iPhone
Resolution
Además de utilizar un portal de protección global no HTTPS, puede tener acceso a una puerta de enlace asociada en una interfaz de bucle invertido configurada. Si sólo tiene una dirección IP con orientación pública y desea hospedar aplicaciones basadas en SSL, como OWA en esa IP, la siguiente información proporciona los pasos de configuración para hacerlo.
Por favor, siga el artículo de Knowledge base Cómo configurar la página del portal GlobalProtect para que sea accesada en cualquier puerto con una advertencia. Necesitará crear una segunda interfaz de bucle invertido además de la primera interfaz de bucle invertido utilizada para el portal.
Crear interfaz de bucle invertido adicional
Asegúrese de que la interfaz Untrust puede hacer ping en el bucle invertido.
> ping Source 99.7.172.157 host 10.1.1.
PING 10.1.1.2 (10.1.1.2) de 99.7.172.157:56 (84) bytes de datos.
64 bytes de 10.1.1.2: icmp_seq = 1 TTL = 64 Time = 0.126 MS
64 bytes de 10.1.1.2: icmp_seq = 2 TTL = 64 Time = 0.068 MS
Asignar la interfaz de bucle invertido como dirección del portal
Asignar la interfaz de bucle invertido. 1 como dirección de puerta de enlace
Cree los siguientes servicios y añádalos a un grupo de servicios.
Estos servicios serán natted a nuestra interfaz de pasarela de bucle. En este ejemplo, los servicios se crearon destinados a los puertos 500 (IKE/ciscovpn), 4501 (IPsec-ESP-UDP).
Los dos servicios personalizados se agregan en addtion al servicio predefinido-https al perfil del grupo de servicios de Gateway.
Crear los servicios
Agregar los servicios a un objeto de grupo de servicios
Cree las directivas de seguridad según sea necesario.
Como se indicó en el artículo del KB anterior, se necesita una regla para que la página del portal redirija ese tráfico en un puerto estándar no SSL a nuestra primera interfaz de bucle invertido.
Aquí se accede al portal de GP en el puerto 7000 en lugar del puerto 443. Debajo de esta regla, se crea otra regla para la puerta de enlace que permite IKE, IPSec, Panos-global-Protect, SSL y navegación web, respectivamente.
Cree la Directiva NAT que reenviará el tráfico a la segunda interfaz de bucle invertido (bucle invertido. 1).
En este ejemplo, el grupo de servicios de Gateway se utiliza y se utiliza para reenviar el tráfico a 10.1.1.2, la interfaz de bucle invertido. 1 previamente configurada.
Configure el iPhone/iPad en la pasarela.
Habilite ' X-auth support ' en la pasarela y cree un nombre de grupo y la contraseña de grupo respectivamente. Esto se utilizará al configurar el perfil VPN en los dispositivos móviles.
Crear el perfil VPN en el iPhone/iPad utilizando el secreto compartido configurado en el paso anterior. La contraseña en el perfil tendrá que coincidir con el método de autenticación elegido (es decir, LDAP, Kerberos, LocalDB, etc).
Confirme el acceso a través de su cliente global Protect, así como su dispositivo móvil.
> Mostrar usuario actual global-proteger-gateway
Nombre GlobalProtect: GP-Gateway (2 usuarios)
Dominio nombre de usuario computadora cliente IP privada Public IP ESP SSL login tiempo de inicio de sesión/expiración TTL inactividad TTL
------ --------- --------- ---------- --------- --- --- ---------- ----------------- --- ----------- ---
\renato PAN01347 de Windows 7 (versión 6,1 Build 7601 Service Pack 1) 10.10.10.2 64.124.57.5 existen None Oct. 02 06:04:01 Nov. 01 06:04:01 2589926 9641
\renato 64.124.57.5 iPhone OS: 6.0 10.10.10.1 64.124.57.5 existen ninguno Oct. 02 06:38:33 Oct. 02 07:39:33 3657 10798
Propietario: rkalugdan