どのように iPhone のアクセスを使用してループバックインターフェイス上のグローバル保護ゲートウェイを構成する

どのように iPhone のアクセスを使用してループバックインターフェイス上のグローバル保護ゲートウェイを構成する

103602
Created On 09/25/18 17:50 PM - Last Modified 05/05/20 23:33 PM


Resolution


https 以外のグローバル保護ポータルを使用するだけでなく、構成されたループバックインターフェイス上の関連するゲートウェイにアクセスすることもできます。パブリック ip アドレスが1つしかない場合に、その ip で OWA などの SSL ベースのアプリケーションをホストする場合は、次の情報に従って構成手順を実行します。

GlobalProtect ポータルページを構成して、 1 つの警告を持つ任意のポートでアクセスできるようにする方法については、サポート技術情報をご覧ください。ポータルで使用される最初のループバックインタフェースに加えて、2つ目のループバックインタフェースを作成する必要があります。

追加のループバックインターフェイスを作成する

untrust インターフェイスがループバックに ping を行うことができることを確認します。

> ping ソース99.7.172.157 ホスト10.1.1。

    99.7.172.157 からの PING 10.1.1.2 (10.1.1.2):56 (84) バイトのデータ。

    10.1.1.2 から64バイト: icmp_seq = 1 ttl = 64 時間 = 0.126 ミリ秒

    10.1.1.2 から64バイト: icmp_seq = 2 ttl = 64 時間 = 0.068 ミリ秒

    ループバック

ポータルアドレスとしてループバックインタフェースを割り当てる

ポータル. png

ゲートウェイアドレスとしてループバック1インターフェイスを割り当てる

ゲートウェイ .png

次のサービスを作成し、サービスグループに追加します。

これらのサービスは、ゲートウェイループバックインターフェイスに natted されます。この例では、サービスはポート 500 (ike/ciscovpn)、4501 (ipsec-esp-udp) 宛てに作成されました。

2つのカスタムサービスは、加えで定義済みのサービス-https にゲートウェイサービスグループプロファイルに追加されます。

サービスの作成

  サービス .png

サービスグループオブジェクトへのサービスの追加

ゲートウェイ .png

必要に応じてセキュリティポリシーを作成します。

前の KB 資料に記載されているように、ポータルページでは、非 ssl 標準ポートのトラフィックを最初のループバックインターフェイスにリダイレクトするためのルールが必要です。

ここでは、ポート443の代わりにポート7000で GP ポータルにアクセスします。この規則の下に、別のルールがゲートウェイに作成され、ike、ipsec、パノス、ssl、および web ブラウジングがそれぞれ許可されます。

secpolicy

2番目のループバック (ループバック 1) インターフェイスにトラフィックを転送する NAT ポリシーを作成します。

この例では、ゲートウェイサービスグループが利用され、以前に構成されたループバック10.1.1.2 インターフェイスにトラフィックを転送するために使用されます。

natpolicy

ゲートウェイ上で iPhone/iPad を設定します。

ゲートウェイで ' X-Auth サポート ' を有効にし、グループ名とグループパスワードをそれぞれ作成します。これは、モバイルデバイスで VPN プロファイルを構成するときに使用されます。

vpn. png

前の手順で構成した共有シークレットを使用して、iPhone/iPad で VPN プロファイルを作成します。プロファイル内のパスワードは、選択した認証方法 (すなわち ldap、kerberos、localdb など) と一致する必要があります。

Iphone。Png

お使いのモバイルデバイスだけでなく、グローバル保護クライアントを介してアクセスを確認します。

> グローバル保護ゲートウェイの現在のユーザーを表示

        GlobalProtect 名: gp ゲートウェイ (2 ユーザー)

        ドメインユーザー名コンピュータクライアントプライベート ip パブリック ip ESP SSL ログイン時間ログアウト/有効期限 ttl アクティブ ttl

        ------ ---------      ---------      ----------      ---------      ---    ---    ----------      ----------------- ---      ----------- ---

              \renato PAN01347 Windows 7 (バージョン6.1 ビルド7601サービスパック 1) 10.10.10.2 64.124.57.5 が存在なし10月2日 06:04:01 11 月 01 日 06:04:01 2589926 9641

              \renato 64.124.57.5 の iPhone の OS: 6.0 10.10.10.1 64.124.57.5 が存在なし10月 2 06:38:33 10 月 02 07:39:33 3657 10798

所有者: rkalugdan
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClKPCA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language