除了使用非 https 全局保护门户之外, 您还可以访问配置的环回接口上的关联网关。如果您只有一个面向公共的 ip 地址, 并且希望在该 ip 上承载基于 SSL 的应用程序 (如 OWA), 则下面的信息提供了这样做的配置步骤。

请遵循知识库文章如何配置 GlobalProtect 门户页面, 以便在任何端口上都可以使用一个警告来访问. 除了用于门户的第一个环回接口之外, 还需要创建第二个环回接口。

创建其他环回接口

请确保不信任接口可以 ping 环回。

>> ping 源99.7.172.157 主机10.1.1。

    PING 10.1.1.2 (10.1.1.2) 来自 99.7.172.157:56 (84) 字节的数据。

    10.1.1.2 64 个字节: icmp_seq=1 ttl=64 时间 = 0.126 毫秒

    10.1.1.2 64 个字节: icmp_seq=2 ttl=64 时间 = 0.068 毫秒

将环回接口指定为门户地址

将环回1接口指定为网关地址

创建以下服务并将其添加到服务组中。

这些服务将 natted 到我们的网关环回接口。在此示例中, 为端口 500 (ike/ciscovpn)、4501 (ipsec esp-udp) 创建了服务。

这两个自定义服务在百货商店中添加到预定义的服务-https 到网关服务组配置文件中。

创建服务

将服务添加到服务组对象

根据需要创建安全策略。

如前面的知识库文章所述, 门户页面需要一个规则, 将非 ssl 标准端口上的通信重定向到第一个环回接口。

这里在端口7000而不是端口443上访问 GP 门户。在这个规则下面, 另一个规则被创建到网关, 允许 ike, ipsec, 帕诺斯全局保护, ssl 和 web 浏览分别。

创建将通信转发到第二个环回 (环回 1) 接口的 NAT 策略。

在此示例中, 网关服务组被使用并用于将通信转发到以前配置的环回. 1 接口的10.1.1.2。

在网关配置 iPhone/iPad。

在网关上启用 "X 认证支持", 并分别创建组名和组密码。这将在配置移动设备上的 VPN 配置文件时使用。

使用上一步中配置的共享密钥在 iPhone/iPad 上创建 VPN 配置文件。配置文件中的密码将需要与所选的身份验证方法 (即 ldap、kerberos、localdb 等) 相匹配。

确认通过您的全球保护客户端和移动设备的访问。

> 显示全球保护通道的当前用户

        GlobalProtect 名称: gp 网关 (2 名用户)

        域用户名计算机客户端专用 ip 公共 ip ESP SSL 登录时间注销/过期 ttl 不活动 ttl

        ------ ---------      ---------      ----------      ---------      ---    ---    ----------      ----------------- ---      ----------- ---

              \n 雷纳多 PAN01347 Windows 7 (版本6.1 生成7601服务包 1) 10.10.10.2 64.124.57.5 存在无 10月02日 06:04:01 11月01日 06:04:01 2589926 9641

              \ 雷纳多 64.124.57.5 iPhone 操作系统: 6.0 10.10.10.1 64.124.57.5 存在无 10月02日 06:38:33 10月02日 07:39:33 3657 10798

所有者： rkalugdan