如何使用 iPhone 访问配置环回接口上的全局保护网关
Resolution
除了使用非 https 全局保护门户之外, 您还可以访问配置的环回接口上的关联网关。如果您只有一个面向公共的 ip 地址, 并且希望在该 ip 上承载基于 SSL 的应用程序 (如 OWA), 则下面的信息提供了这样做的配置步骤。
请遵循知识库文章如何配置 GlobalProtect 门户页面, 以便在任何端口上都可以使用一个警告来访问. 除了用于门户的第一个环回接口之外, 还需要创建第二个环回接口。
创建其他环回接口
请确保不信任接口可以 ping 环回。
>> ping 源99.7.172.157 主机10.1.1。
PING 10.1.1.2 (10.1.1.2) 来自 99.7.172.157:56 (84) 字节的数据。
10.1.1.2 64 个字节: icmp_seq=1 ttl=64 时间 = 0.126 毫秒
10.1.1.2 64 个字节: icmp_seq=2 ttl=64 时间 = 0.068 毫秒
将环回接口指定为门户地址
将环回1接口指定为网关地址
创建以下服务并将其添加到服务组中。
这些服务将 natted 到我们的网关环回接口。在此示例中, 为端口 500 (ike/ciscovpn)、4501 (ipsec esp-udp) 创建了服务。
这两个自定义服务在百货商店中添加到预定义的服务-https 到网关服务组配置文件中。
创建服务
将服务添加到服务组对象
根据需要创建安全策略。
如前面的知识库文章所述, 门户页面需要一个规则, 将非 ssl 标准端口上的通信重定向到第一个环回接口。
这里在端口7000而不是端口443上访问 GP 门户。在这个规则下面, 另一个规则被创建到网关, 允许 ike, ipsec, 帕诺斯全局保护, ssl 和 web 浏览分别。
创建将通信转发到第二个环回 (环回 1) 接口的 NAT 策略。
在此示例中, 网关服务组被使用并用于将通信转发到以前配置的环回. 1 接口的10.1.1.2。
在网关配置 iPhone/iPad。
在网关上启用 "X 认证支持", 并分别创建组名和组密码。这将在配置移动设备上的 VPN 配置文件时使用。
使用上一步中配置的共享密钥在 iPhone/iPad 上创建 VPN 配置文件。配置文件中的密码将需要与所选的身份验证方法 (即 ldap、kerberos、localdb 等) 相匹配。
确认通过您的全球保护客户端和移动设备的访问。
> 显示全球保护通道的当前用户
GlobalProtect 名称: gp 网关 (2 名用户)
域用户名计算机客户端专用 ip 公共 ip ESP SSL 登录时间注销/过期 ttl 不活动 ttl
------ --------- --------- ---------- --------- --- --- ---------- ----------------- --- ----------- ---
\n 雷纳多 PAN01347 Windows 7 (版本6.1 生成7601服务包 1) 10.10.10.2 64.124.57.5 存在无 10月02日 06:04:01 11月01日 06:04:01 2589926 9641
\ 雷纳多 64.124.57.5 iPhone 操作系统: 6.0 10.10.10.1 64.124.57.5 存在无 10月02日 06:38:33 10月02日 07:39:33 3657 10798
所有者: rkalugdan