Comment accéder à External GP Portal/GW à partir de L'Intérieur du pare-feu
Resolution
Demande client
Cet exemple utilise une zone réseau invité pour les utilisateurs sans fil qui ne sont autorisés que l'accès www sortant. L'Administrateur souhaite permettre aux utilisateurs du réseau invité d'accéder aux ressources internes, mais ne souhaite pas ouvrir de stratégies de sécurité au réseau Trust pour assurer une isolation complète.
En tant que solution, l'administrateur choisit de permettre aux utilisateurs autorisés au sein du réseau invité de se connecter via leurs clients GlobalProtect au portail externe/GW permettant l'accès aux ressources internes.
Par défaut, la connectivité au portail/GW échouera. La raison étant que les utilisateurs tentant de se connecter au portail traverseront l'interface de non-confiance du pan qui utilisera l'ip attribuée via le NAT dynamique créé pour l'accès sortant (i.e., l'ip de l'interface IP de la non-confiance L3). En conséquence, les compteurs globaux ou les journaux Flow-Basic indiquent généralement une attaque terrestre potentielle/spoof en raison de l'adresse IP source du client demandeur (NATd par l'interface de non-confiance) se connecte également à la même adresse IP comme une destination pour le portail/GW terminaison.
Résolution
Option 1
Créez un NAT séparé (déplacez-vous en haut de la liste des stratégies NAT) en utilisant une adresse IP unique pour un hôte/sous-réseau spécifique (c'est-à-dire un sous-réseau spécifié pour tous les utilisateurs du réseau invité) lors de l'accès au portail. Ce NAT serait similaire au NAT dynamique utilisé pour l'accès Web sortant mais serait légèrement modifié pour définir une adresse IP de destination pour laquelle le NAT sera appliqué (c'est à dire, Portal/GW Address), le sous-réseau source que les utilisateurs résident ainsi que d'une source de traduction ( Dynamic-IP-and-Port) en utilisant une adresse IP unique, séparée de l'ip du portail/GW.
L'extrait suivant montre une connexion réussie à partir du réseau Trust-> non-Trust (IP publique de l'Interface de non-confiance) étant NATd en utilisant une adresse IP unique (i.e., dernier octet dans cet exemple =. 222):
> Show session tous les filtres destination 10.30.6.82
--------------------------------------------------------------------------------
ID application État type Flag SRC [Sport]/Zone/Proto (traduit IP [port]) VSys DST [dport]/zone (traduit IP [port])
--------------------------------------------------------------------------------
55372 navigation sur le Web flux actif * NB 192.168.82.142 [1395]/Trust/6 (10.30.6.222 [21737]) vsys1 10.30.6.82 [443]/Untrust (10.30.6.82 [20077])
55466 ping ACTIVE FLOW NS 192.168.82.142 [512]/Trust/1 (10.30.6.222 [512]) vsys1 10.30.6.82 [39424]/Untrust (10.30.6.82 [39424])
55423 navigation sur le Web flux actif * NB 192.168.82.142 [1435]/Trust/6 (10.30.6.222 [10228]) vsys1 10.30.6.82 [443]/Untrust (10.30.6.82 [20077])
55489 ping ACTIVE FLOW NS 192.168.82.142 [512]/Trust/1 (10.30.6.222 [512]) vsys1 10.30.6.82 [39168]/Untrust (10.30.6.82 [39168])
> Show session ID 55372
Session 55372
C2S flux :
Source: 192.168.82.142 [Trust]
DST: 10.30.6.82
proto: 6
sport: 1395 dport: 443
État: INIT type: FLOW
utilisateur de SRC : inconnu
l’utilisateur DST : inconnu
S2C flux :
Source: 10.30.6.82 [Untrust]
DST: 10.30.6.222
proto: 6
sport: 20077 dport: 21737
État: INIT type: FLOW
utilisateur de SRC : inconnu
l’utilisateur DST : inconnu
heure de début: Thu Jul 5 10:16:53 2012
délai d'attente: 60 sec
nombre total d'octets (C2S): 3308
nombre total d'octets (S2C): 10292
nombre de paquets layer7 (C2S): 17
nombre de paquets layer7 (S2C): 21
VSys : vsys1
application: navigation sur le Web
règle: GlobalProtect-Guest
session à consigner à la fin: true
session en session Agere: false
session synchronisée à partir de ha Peer: false
adresse/port translation : source + destination
NAT-Rule: GW-TEST (vsys1)
traitement layer7: terminé
Filtrage d'URL activé: true
Catégorie d'URL: privé-IP-address
session via syn-cookies: false
session terminée sur l’hôte : vrai
session traverse le tunnel : faux
session de portail captive : faux
interface d'infiltration: ethernet1/6
interface de sortie : ethernet1/3
règle de QoS de session : N/D (classe 4)
Option 2
Cette option permet le trafic destiné à l'interface IP de non-confiance strictement comme L3 (pas de NAT). Créez une nouvelle règle NAT (déplacez-vous en haut de la liste des stratégies NAT) définissant l'adresse IP/sous-réseau source de la zone nécessitant un accès GP externe, spécifiez l'adresse IP de destination du GW et laissez la traduction source & destination comme «None». Après la validation, cela permettra aux utilisateurs d'accéder à ces ressources en contournant directement toutes les limitations résultant du trafic d'évacuation étant NATd.
Exemple de sortie de session ci-dessous montrant le trafic comme ayant encore un drapeau ND bien que la règle NAT elle-même est «NON-NAT» permettant un accès réussi à l'adresse publique du portail:
> Show session tous les filtres source 192.168.82.142 destination 10.30.6.82
--------------------------------------------------------------------------------
ID application État type Flag SRC [Sport]/Zone/Proto (traduit IP [port]) VSys DST [dport]/zone (traduit IP [port])
--------------------------------------------------------------------------------
10196 IPSec-ESP-UDP ACTIVE FLOW 192.168.82.142 [4821]/Trust/17 (192.168.82.142 [4821]) vsys1 10.30.6.82 [4501]/Untrust (10.30.6.82 [4501])
10813 navigation sur le Web flux actif * ND 192.168.82.142 [1706]/Trust/6 (192.168.82.142 [1706]) vsys1 10.30.6.82 [443]/Untrust (10.30.6.82 [20077] )
> Show session ID 10813
Session 10813
C2S flux :
Source: 192.168.82.142 [Trust]
DST: 10.30.6.82
proto: 6
sport: 1706 dport: 443
État: type actif: Flow
utilisateur de SRC : inconnu
l’utilisateur DST : inconnu
S2C flux :
Source: 10.30.6.82 [Untrust]
DST: 192.168.82.142
proto: 6
sport: 20077 dport: 1706
État: type actif: Flow
utilisateur de SRC : inconnu
l’utilisateur DST : inconnu
heure de début: Thu Jul 5 15:24:51 2012
délai d'attente: 60 sec
temps de vivre: 52 sec
nombre total d'octets (C2S): 1131
nombre total d'octets (S2C): 816
nombre de paquets layer7 (C2S): 7
nombre de paquets layer7 (S2C): 4
VSys : vsys1
application: navigation sur le Web
règle : règle1
session à consigner à la fin: true
session en session Agere: true
session synchronisée à partir de ha Peer: false
adresse/port translation : source + destination
NAT-Rule: NO-NAT (vsys1)
traitement layer7: terminé
Filtrage d'URL activé: true
Catégorie d'URL: privé-IP-address
session via syn-cookies: false
session terminée sur l’hôte : vrai
session traverse le tunnel : faux
session de portail captive : faux
interface d'infiltration: ethernet1/6
interface de sortie : ethernet1/3
règle de QoS de session : N/D (classe 4)
propriétaire: Bryan