En plus d'utiliser un portail de protection globale non-HTTPS, vous pouvez accéder à une passerelle associée sur une interface de bouclage configurée. Si vous n'avez qu'une adresse IP publique et que vous souhaitez héberger des applications basées sur SSL, telles qu'OWA sur cette propriété intellectuelle, les informations suivantes fournissent les étapes de configuration pour ce faire.

Veuillez suivre l'article de la base de connaissances Comment configurer la page de portail GlobalProtect à accéder sur n'importe quel port avec une mise en garde. Vous devrez créer une deuxième interface de bouclage en plus de la première interface de bouclage utilisée pour le portail.

Créer une interface de bouclage supplémentaire

Assurez-vous que l'interface de non-confiance peut ping le bouclage.

> ping source 99.7.172.157 hôte 10.1.1.

    PING 10.1.1.2 (10.1.1.2) à partir de 99.7.172.157:56 (84) octets de données.

    64 octets de 10.1.1.2: icmp_seq = 1 TTL = 64 time = 0.126 ms

    64 octets de 10.1.1.2: icmp_seq = 2 TTL = 64 time = 0.068 ms

Attribuer l'interface de bouclage comme adresse de portail

Attribuer l'interface de bouclage. 1 comme adresse de passerelle

Créez les services suivants et ajoutez-les à un groupe de services.

Ces services seront natted à notre interface de bouclage de passerelle. Dans cet exemple, les services ont été créés à destination des ports 500 (IKE/ciscovpn), 4501 (IPSec-ESP-UDP).

Les deux services personnalisés sont ajoutés dans Ajout au profil de service prédéfini-HTTPS du groupe service de passerelle.

Créer les services

Ajouter les services à un objet de groupe de services

Créez les stratégies de sécurité au besoin.

Comme indiqué dans l'article précédent de la KB, une règle est nécessaire pour que la page de portail redirige ce trafic sur un port standard non-SSL vers notre première interface de bouclage.

Ici, le portail GP est accessible sur le port 7000 au lieu du port 443. En dessous de cette règle, une autre règle est créée pour la passerelle autorisant IKE, IPSec, Panos-global-Protect, SSL et la navigation sur le Web respectivement.

Créez la stratégie nat qui acheminera le trafic vers la deuxième interface de bouclage (bouclage. 1).

Dans cet exemple, le groupe de service Gateway est utilisé pour transférer le trafic vers 10.1.1.2, l'interface de bouclage. 1 précédemment configurée.

Configurer iPhone/iPad sur la passerelle.

Activez'X-auth Support'sur la passerelle et créez un nom de groupe et le mot de passe de groupe respectivement. Cela sera utilisé lors de la configuration du profil VPN sur les périphériques mobiles.

Créez le profil VPN sur l'iPhone/iPad en utilisant le secret partagé configuré à l'étape précédente. Le mot de passe dans le profil devra correspondre à la méthode d'Authentification choisie (c.-à-LDAP, Kerberos, LocalDB, etc).

Confirmez l'accès via votre client global Protect ainsi que votre appareil mobile.

> montrer global-protéger-passerelle courant-utilisateur

        GlobalProtect nom: GP-Gateway (2 utilisateurs)

        Nom d'Utilisateur de domaine ordinateur client privé IP public IP ESP SSL login temps logout/expiration TTL INactivité TTL

        ------ ---------      ---------      ----------      ---------      ---    ---    ----------      ----------------- ---      ----------- ---

              \renato PAN01347 Windows 7 (version 6,1 Build 7601 Service Pack 1) 10.10.10.2 64.124.57.5 n'existe pas oct. 02 06:04:01 Nov. 01 06:04:01 2589926 9641

              \renato 64.124.57.5 iPhone OS: 6.0 10.10.10.1 64.124.57.5 n'existe pas oct. 02 06:38:33 oct. 02 07:39:33 3657 10798

propriétaire : rkalugdan