Comment accéder à External GP Portal/GW à partir de L'Intérieur du pare-feu

Demande client

Cet exemple utilise une zone réseau invité pour les utilisateurs sans fil qui ne sont autorisés que l'accès www sortant. L'Administrateur souhaite permettre aux utilisateurs du réseau invité d'accéder aux ressources internes, mais ne souhaite pas ouvrir de stratégies de sécurité au réseau Trust pour assurer une isolation complète.

En tant que solution, l'administrateur choisit de permettre aux utilisateurs autorisés au sein du réseau invité de se connecter via leurs clients GlobalProtect au portail externe/GW permettant l'accès aux ressources internes.

Par défaut, la connectivité au portail/GW échouera. La raison étant que les utilisateurs tentant de se connecter au portail traverseront l'interface de non-confiance du pan qui utilisera l'ip attribuée via le NAT dynamique créé pour l'accès sortant (i.e., l'ip de l'interface IP de la non-confiance L3). En conséquence, les compteurs globaux ou les journaux Flow-Basic indiquent généralement une attaque terrestre potentielle/spoof en raison de l'adresse IP source du client demandeur (NATd par l'interface de non-confiance) se connecte également à la même adresse IP comme une destination pour le portail/GW terminaison.

Résolution

Option 1

Créez un NAT séparé (déplacez-vous en haut de la liste des stratégies NAT) en utilisant une adresse IP unique pour un hôte/sous-réseau spécifique (c'est-à-dire un sous-réseau spécifié pour tous les utilisateurs du réseau invité) lors de l'accès au portail. Ce NAT serait similaire au NAT dynamique utilisé pour l'accès Web sortant mais serait légèrement modifié pour définir une adresse IP de destination pour laquelle le NAT sera appliqué (c'est à dire, Portal/GW Address), le sous-réseau source que les utilisateurs résident ainsi que d'une source de traduction ( Dynamic-IP-and-Port) en utilisant une adresse IP unique, séparée de l'ip du portail/GW.

L'extrait suivant montre une connexion réussie à partir du réseau Trust-> non-Trust (IP publique de l'Interface de non-confiance) étant NATd en utilisant une adresse IP unique (i.e., dernier octet dans cet exemple =. 222):

> Show session tous les filtres destination 10.30.6.82

--------------------------------------------------------------------------------

ID application État type Flag SRC [Sport]/Zone/Proto (traduit IP [port]) VSys DST [dport]/zone (traduit IP [port])

--------------------------------------------------------------------------------

55372 navigation sur le Web flux actif * NB 192.168.82.142 [1395]/Trust/6 (10.30.6.222 [21737]) vsys1 10.30.6.82 [443]/Untrust (10.30.6.82 [20077])

55466 ping ACTIVE FLOW NS 192.168.82.142 [512]/Trust/1 (10.30.6.222 [512]) vsys1 10.30.6.82 [39424]/Untrust (10.30.6.82 [39424])

55423 navigation sur le Web flux actif * NB 192.168.82.142 [1435]/Trust/6 (10.30.6.222 [10228]) vsys1 10.30.6.82 [443]/Untrust (10.30.6.82 [20077])

55489 ping ACTIVE FLOW NS 192.168.82.142 [512]/Trust/1 (10.30.6.222 [512]) vsys1 10.30.6.82 [39168]/Untrust (10.30.6.82 [39168])

> Show session ID 55372

Session 55372

        C2S flux :

                Source: 192.168.82.142 [Trust]

                DST: 10.30.6.82

                proto: 6

                sport: 1395 dport: 443

                État: INIT type: FLOW

                utilisateur de SRC : inconnu

                l’utilisateur DST : inconnu

        S2C flux :

                Source: 10.30.6.82 [Untrust]

                DST: 10.30.6.222

                proto: 6

                sport: 20077 dport: 21737

                État: INIT type: FLOW

                utilisateur de SRC : inconnu

                l’utilisateur DST : inconnu

        heure de début: Thu Jul 5 10:16:53 2012

        délai d'attente: 60 sec

        nombre total d'octets (C2S): 3308

        nombre total d'octets (S2C): 10292

        nombre de paquets layer7 (C2S): 17

        nombre de paquets layer7 (S2C): 21

        VSys : vsys1

        application: navigation sur le Web

        règle: GlobalProtect-Guest

        session à consigner à la fin: true

        session en session Agere: false

        session synchronisée à partir de ha Peer: false

        adresse/port translation : source + destination

        NAT-Rule: GW-TEST (vsys1)

        traitement layer7: terminé

        Filtrage d'URL activé: true

        Catégorie d'URL: privé-IP-address

        session via syn-cookies: false

        session terminée sur l’hôte : vrai

        session traverse le tunnel : faux

        session de portail captive : faux

        interface d'infiltration: ethernet1/6

        interface de sortie : ethernet1/3

        règle de QoS de session : N/D (classe 4)

Option 2

Cette option permet le trafic destiné à l'interface IP de non-confiance strictement comme L3 (pas de NAT). Créez une nouvelle règle NAT (déplacez-vous en haut de la liste des stratégies NAT) définissant l'adresse IP/sous-réseau source de la zone nécessitant un accès GP externe, spécifiez l'adresse IP de destination du GW et laissez la traduction source & destination comme «None». Après la validation, cela permettra aux utilisateurs d'accéder à ces ressources en contournant directement toutes les limitations résultant du trafic d'évacuation étant NATd.

Exemple de sortie de session ci-dessous montrant le trafic comme ayant encore un drapeau ND bien que la règle NAT elle-même est «NON-NAT» permettant un accès réussi à l'adresse publique du portail:

> Show session tous les filtres source 192.168.82.142 destination 10.30.6.82

--------------------------------------------------------------------------------

ID application État type Flag SRC [Sport]/Zone/Proto (traduit IP [port]) VSys DST [dport]/zone (traduit IP [port])

--------------------------------------------------------------------------------

10196 IPSec-ESP-UDP ACTIVE FLOW 192.168.82.142 [4821]/Trust/17 (192.168.82.142 [4821]) vsys1 10.30.6.82 [4501]/Untrust (10.30.6.82 [4501])

10813 navigation sur le Web flux actif * ND 192.168.82.142 [1706]/Trust/6 (192.168.82.142 [1706]) vsys1 10.30.6.82 [443]/Untrust (10.30.6.82 [20077] )

> Show session ID 10813

Session 10813

        C2S flux :

                Source: 192.168.82.142 [Trust]

                DST: 10.30.6.82

                proto: 6

                sport: 1706 dport: 443

                État: type actif: Flow

                utilisateur de SRC : inconnu

                l’utilisateur DST : inconnu

        S2C flux :

                Source: 10.30.6.82 [Untrust]

                DST: 192.168.82.142

                proto: 6

                sport: 20077 dport: 1706

                État: type actif: Flow

                utilisateur de SRC : inconnu

                l’utilisateur DST : inconnu

        heure de début: Thu Jul 5 15:24:51 2012

        délai d'attente: 60 sec

        temps de vivre: 52 sec

        nombre total d'octets (C2S): 1131

        nombre total d'octets (S2C): 816

        nombre de paquets layer7 (C2S): 7

        nombre de paquets layer7 (S2C): 4

        VSys : vsys1

        application: navigation sur le Web

        règle : règle1

        session à consigner à la fin: true

        session en session Agere: true

        session synchronisée à partir de ha Peer: false

        adresse/port translation : source + destination

        NAT-Rule: NO-NAT (vsys1)

        traitement layer7: terminé

        Filtrage d'URL activé: true

        Catégorie d'URL: privé-IP-address

        session via syn-cookies: false

        session terminée sur l’hôte : vrai

        session traverse le tunnel : faux

        session de portail captive : faux

        interface d'infiltration: ethernet1/6

        interface de sortie : ethernet1/3

        règle de QoS de session : N/D (classe 4)

propriétaire: Bryan