Konfigurieren GlobalProtect VPN mit einem externen Root CA

Konfigurieren GlobalProtect VPN mit einem externen Root CA

102368
Created On 10/11/19 16:09 PM - Last Modified 03/26/21 17:49 PM


Symptom


In diesem Dokument werden die Schritte beschrieben, die GlobalProtect VPN mithilfe eines externen Stamms CA wie Windows Server 2012 w/ AD Certificate Services konfiguriert werden sollen.

Wenn eine Zertifizierungsstelle eines Drittanbieters verwendet wird (z. B. GlobalSign, GoDaddy, DigiCert, Symantec usw.), können die folgenden Schritte für die Bereitstellung ausgeführt GlobalProtect werden, aber anstelle jedes Windows Server-Schritts unten (z. B. in Schritt 2 und Schritt 4) verwenden Sie stattdessen den Drittanbieter-Zertifikatsanbieter für jeden dieser Schritte.

Environment


  • Panorama
  • 10.50.1.50
  • Firewall
  • Management-Schnittstelle: 10.50.1.10
  • Schnittstelle nicht vertrauenswürdig: 42.11.45.1/24
  • DMZ Schnittstelle: 172.16.45.1/24
  • Web Server (hinten DMZ ): 172.16.45.50
  • WindowsServer 2012
  • 172.16.45.50
  • Windows 7 PC
  • 192.168.45.10
 
  • Stellen Sie sicher, dass Active Directory auf Windows Server 2012 mit Gruppen und Benutzern installiert ist, die darauf erstellt wurden.
  • Konfigurieren/überprüfen Sie, dass die DNS vollständige Funktion zwischen den folgenden Adressen und Systemen (Vorwärts und Rückwärts) funktioniert IP (d. h. stellen Sie sicher, dass nslookup funktioniert):
  • Windows 7 PC
  • Windows Server 2012
  • PAN Firewall
  • (d. h. Windows 7 PC muss in der Lage sein, die Adresse der Außenschnittstelle des zu nslookup IP und in einem Browser PAN firewall aufzulösen) FQDN firewall

Resolution


  1. Installieren der Zertifikatsdienste unter Windows Server 2012 (d. h. Windows Server 2012 zum CA Stammverzeichnis machen)
  2. Exportieren des CA Stammzertifikats aus dem Windows Server 2012-Stamm CA
  3. Installieren des CA Stammzertifikats auf Windows/Mac-PCs von Mitarbeitern
  4. Importieren Sie CA das Stammzertifikat in firewall , generieren Sie auf , werden Sie von Windows Server CSR firewall CSR 2012 Root signiert CA , und installieren Sie dann das signierte Zertifikat auf dem firewall
  5. Konfigurieren GlobalProtect Sie die Sicherheitsregel, und konfigurieren Sie sie Firewall Policy so, dass Datenverkehr von VPN außerhalb nach innen/DMZ
  6. Herunterladen/Aktivieren von GlobalProtect Client-Software-Images, die Firewall dem Mitarbeiter Windows/Mac-PCs dienen
  7. Herunterladen, Installieren und Herstellen einer Verbindung mit der firewall verwendenden GlobalProtect VPN Clientsoftware auf Windows/Mac-PCs von Mitarbeitern
  8. Fehlerbehebung/Überprüfung/Debugs

Installieren der Zertifikatsdienste unter Windows Server 2012 (d. h. Windows Server 2012 zum CA Stammverzeichnis machen)
  1. Öffnen Sie Server Manager > klicken Sie auf Rollen und Features hinzufügen
Hinzufügen von Rollen und Features
  1. Klicken Sie auf Rollenbasiert und auf Weiter
rollenbasierte oder funktionsbasierte Installation
  1. Wählen Sie den Windows Server aus, und klicken Sie auf Weiter
Hinzufügen von Rollen und Features Vom ausgewählten Zielserver
  1. Wählen Sie Active Directory-Zertifikatsdienste aus, und klicken Sie auf Weiter
Hinzufügen von Rollen und Features von Assistentenserverrollen
  1. Klicken Sie zweimal auf Weiter
Hinzufügen von Rollen und Features auswählen von Features
  1. Wählen Sie Certification Authority Web Enrollment aus, und klicken Sie zweimal auf Weiter
Hinzufügen von Rollen und Features auswählen Ad cs Rollendienste
  1. Klicken Sie auf Weiter
Hinzufügen von Rollen und Features auswählen Webserverrolle
  1. Aktivieren Sie das Kontrollkästchen Zielserver automatisch neu starten, und klicken Sie auf Installieren
Warten Sie, bis die Ladeleiste abgeschlossen ist - Windows Server 2012 wird nicht neu gestartet.
Warnung: Dies führt dazu, dass Windows Server 2012 neu gestartet wird (noch nicht, aber es könnte später in einem nächsten Schritt in diesem Dokument)
 
Hinzufügen von Rollen und Features bestätigen die Installationsauswahl
  1. Sobald die Ladeleiste oben ausgeführt wurde, klicken Sie auf dem Zielserver auf Active Directory-Zertifikatsdienste konfigurieren.
Hinzufügen von Rollen und Features installationsweiter
  1. Klicken Sie auf Weiter
Ad-CS-Konfigurationsanmeldeinformationen
  1. Überprüfen Sie die Webregistrierung der Zertifizierungsstelle und der Zertifizierungsstelle, und klicken Sie zweimal auf Weiter
ad cs Konfigurationsrollendienste
  1. Wählen Sie Stamm und CA klicken Sie auf Weiter
ad cs Configuration ca-Typ
  1. Wählen Sie Erstellen eines neuen privaten Schlüssels aus, und klicken Sie auf Weiter
Ad cs Konfiguration privater Schlüssel
  1. Wählen Sie SHA256 als Hashalgorithmus, den dieser Windows Server 2012 Root zum Signieren von CA Zertifikaten verwendet (die meisten modernen Browser zeigen Warnungen für alles unter SHA256 an) - klicken Sie auf Weiter
ad cs Konfiguration private Schlüssel Kryptographie
  1. Speichern dieser Informationen auf einem Notizblock - klicken Sie auf Weiter, bis zum nächsten Schritt (Bestätigungsbildschirm)
ad cs Konfiguration privater Schlüssel ca Name
  1. Klicken Sie auf Konfigurieren
ad cs Konfigurationsbestätigung
  1. Starten eines Webbrowsers und wechseln Sie zu http://172.16.45.50/certsrv - geben Sie die Administratoranmeldeinformationen für Windows Server 2012 ein.
Windows Server-Anmeldefenster
  1. Jetzt ist Windows Server 2012 ein Root CA . Jetzt kann es CSRs signieren, die an sie gesendet werden - Windows Server 2012 nimmt die CSR und gibt ein signiertes Zertifikat im Gegenzug zurück (d. h. dieses Zertifikat wird von Windows Server 2012 signiert, das der Stamm CA ist)
Microsoft Ad Directory-Zertifikatdienste willkommen


Exportieren der Wurzel CA Zertifikat aus dem Windows Server 2012-Stamm CA
In diesem Abschnitt verwenden wir Microsoft Windows Server 2012 als Stamm CA für Zertifikate. Der Client PC vertraut diesem CA Root, um sich sicher mit der firewall GlobalProtect VPN Client-Software zu verbinden. Dadurch wird sichergestellt, dass die Endbenutzer sicher eine Verbindung zum Internet herstellen firewall und von zu Hause aus auf interne Ressourcen zugreifen können. Ihr Kunde PC vertraut der Verbindung in ihrem Browser und in der GlobalProtect VPN Client-Software.
  1. Klicken Sie auf CA Zertifikat, Zertifikatkette oder CRL
Microsoft Ad Directory-Zertifikatsdienste willkommen Laden Sie eine ca Zertifikatskette oder crl hervorgehoben herunter
  1. Klicken Sie auf CA Zertifikat herunterladen
Microsoft Ad Directory-Zertifikatsdienste laden ein ca-Zertifikat herunter
  1. Benennen Sie es in RootCACert um
Umbenennen in rootcacert


Installieren des CA Stammzertifikats auf Windows/Mac-PCs von Mitarbeitern
  1. Legen Sie die RootCACert-Datei auf dem Windows 7-Client ab, PC und doppelklicken Sie, um das Zertifikat zu installieren:
rootcacert
Hinweis: Wenn das GlobalProtect VPN Stammzertifikat in einem großen Unternehmen bereitgestellt oder GlobalProtect für viele Mitarbeiter/Benutzer bereitgestellt PC wird, kann es mithilfe der Windows Server CA 2012-Gruppe über diese Methode auf die Mitarbeiter-PCs übertragen werden, anstatt es einzeln wie folgt zu Policy PC installieren:
 
Zertifikatsinformationen installieren Zertifikat
  1. Klicken Sie auf Weiter
Zertifikatimport-Assistent willkommen
  1. Alle Zertifikate im folgenden Speicher platzieren auswählen - klicken Sie auf Durchsuchen und wählen Sie den Ordner Vertrauenswürdige Stammzertifizierungsstellen aus - klicken Sie auf Ok und Weiter, und klicken Sie auf Fertig stellen
Zertifikatimport-Assistent vertrauenswürdige Stammzertifizierungsstellen
 
Der Import des Zertifikatimports war erfolgreich
Hinweis: Wenn CA ein Zwischenzertifikat ebenfalls verwendet/benötigt wird, kann derselbe Prozess oben ausgeführt werden, um es in den PC Ordner "Zwischenzertifizierungsstellen" zu importieren.


Importieren Sie CA das Stammzertifikat in firewall , generieren Sie auf , werden Sie von Windows Server Root signiert , und CSR installieren Sie dann das firewall CSR CA signierte Zertifikat auf dem firewall
  1. Wechseln Sie zu http://172.16.45.50/certsrv und klicken Sie auf CA Zertifikat, Zertifikatskette oder CRL
Microsoft Ad Directory-Zertifikatsdienste willkommen Laden Sie eine ca-Zertifikatskette oder crl hervorgehoben 2
  1. Wählen Sie Base 64 > klicken Sie aufZertifikat CA herunterladen 
Microsoft Ad Directory-Zertifikatsdienste laden eine Ca-Zertifikatsbasis herunter 64
  1. Benennen Sie es in RootCACertFW um
Benennen Sie es in rootcacertfw um
  1. Wechseln Sie zu Panorama oder zum und gehen Sie zu Firewall Device > Zertifikatsverwaltung > Zertifikaten > klicken Sie auf Importieren
  2. Geben Sie einen Zertifikatsnamen für das CA Stammzertifikat ein.
  3. Wählen Sie das RootCACertFW-Zertifikat aus, das wir gerade heruntergeladen haben
  4. Wählen Sie das Dateiformat als Base64-codiertes Zertifikat ( PEM )
  5. Klicken Sie auf Ok
Importzertifikat in panorama
 
panorama Gerät zertifiziert

Hinweis: Wenn Sie über ein CA Zwischenstammzertifikat verfügen, importieren Sie es jetzt unter dem CA Stammzertifikat

  1. Wechseln Sie zu Panorama oder zum Device > Firewall Zertifikatsverwaltung > Zertifikaten, und klicken Sie auf Generieren
  2. Geben Sie den Zertifikatsnamen für das Zertifikat als GPPortalGatewayCert ein (dieses Feld wird später wichtig sein - erinnern Sie sich an den Zertifikatsnamen)
  3. Geben Sie den allgemeinen Namen als IP Außenadresse des firewall (oder welchen Namens auch immer DNS die Adresse IP nslookup, wenn im Internet)
  4. Wählen Sie die Option Signiert von als 'Externe Behörde ( CSR )'
  5. Klicken Sie auf Hinzufügen, um dem Zertifikat ein SAN Feld ( ) hinzuzufügen - dieses IP IP SAN /Feld muss mit den firewall 's übereinstimmen FQDN und muss vom Mitarbeiter aufgelöst werden, um über den PC Client eine Verbindung zum Portal und Gateway des firewall 's GlobalProtect VPN herzustellen.
  6. Klicken Sie auf Generieren
panorama Zertifikat generieren
 
Warnung: Sowohl die meisten modernen Browser als auch die firewall selbst erfordern, dass das Zertifikatfeld global protect Server mit dem des übereinstimmen firewall SAN muss, FQDN firewall damit eine erfolgreiche Verbindung über das Portal hergestellt werden kann und VPN Endbenutzer erfolgreich zum Portal navigieren GlobalProtect können. Wenn das SAN Feld überhaupt mit mindestens einem Eintrag im Zertifikat/ vorhanden CSR ist, sollte die für FQDN portal/gateway dafür verwendete Feld immer in dieser Liste vorhanden firewall SAN sein. Die FQDN der finden Sie firewall hier:
 
panorama firewall Fqdn
 
FQDN: fw1.panlab.com
panorama Zertifikat und Schlüsselpaarbestätigung generieren
  1. Aktivieren Sie das Kontrollkästchen für die CSR und klicken Sie auf Zertifikat exportieren - das Zertifikat wird in die PC
panorama Gerätezertifikat csr export
 
Es wird cert_GPPortalGatewayCert.csr
panorama csr-Name
  1. Starten Sie einen Webbrowser, und wechseln Sie zu http://172.16.45.50/certsrv
  2. Klicken Sie auf Zertifikat anfordern
Microsoft Ad Directory-Zertifikatdienste fordern ein Zertifikat an
  1. Klicken Sie auf Erweiterte Zertifikatanforderung
Microsoft Ad Directory-Zertifikatsdienste fordern eine erweiterte Zertifikatanforderung an
  1. Öffnen Sie cert_GPPortalGatewayCert.csr mit Notepad - kopieren Sie den Inhalt und fügen Sie ihn in das Feld wie folgt ein:
  2. Zertifikatvorlagenwebserver auswählen
  3. Klicken Sie auf Senden
Microsoft Ad Directory-Zertifizierungsdienste senden eine Zertifizierungsanforderung oder Erneuerungsanforderung
  1. Wählen Sie Base 64 codiert
  2. Klicken Sie auf Zertifikat herunterladen
Microsoft Ad Directory-Zertifikat-Zertifikat ausgestellt und Downloadzertifikatbasis 64

Dadurch wird das jetzt signierte Zertifikat in den Browser heruntergeladen - in GPPortalGatewayCert umbenennen
 
Downloadzertifikat

Hinweis: Beim Importieren dieses signierten Zertifikats muss es genau denselben Namen wie das CSR (Feld Zertifikatsname) haben, das wir im obigen Web generiert haben, Firewall UI d. h. es muss GPPortalGatewayCert genannt werden.
  1. Öffnen Panorama Sie erneut, und wechseln Sie zu Device > Certificate Management > Certificates > Aktivieren Sie das vorhandene CSR Kontrollkästchen, und klicken Sie auf Importieren 
  2. Geben Sie den Zertifikatsnamen ein
  3. Klicken Sie auf Durchsuchen und wählen Sie GPPortalGatewayCert.cer
  4. Wählen Sie das Dateiformat als Base64-codiertes Zertifikat ( PEM )
  5. Klicken Sie auf Ok
panorama Importzertifikat

Zu diesem Zeitpunkt verfügt der über firewall ein CA Stammzertifikat RootCACertFW, und das firewall verfügt über ein Firewall Serverzertifikat GPPortalGatewayCert, das von diesem Stammzertifikat signiert CA ist.
 
Dieses Firewall Serverzertifikat ist das Zertifikat, das den Client-PCs präsentiert wird, wenn sie eine Verbindung mit der firewall via GlobalProtect herstellen. Die Client-PCs vertrauen diesem Zertifikat, da der Client PC diesem Stamm aufgrund des Schritts, den wir zuvor in diesem Dokument gemacht haben, in dem wir das Stammzertifikat auf dem Windows 7-Client installiert haben, die CA CA PC

panorama Erfolgreicher Zertifikatimport, der unter dem Stammzertifikat aufgeführt ist


Sicherheitsregel konfigurieren und GlobalProtect Firewall konfigurieren, um den Datenverkehr von Policy VPN außerhalb nach Innen/ zuzulassen.DMZ
  1. Gehen Sie zu Device > Certificate Management > / SSLService TLS Profile und erstellen Sie ein SSL/ TLS Dienstprofil, das auf das signierte Firewall Serverzertifikat GPPortalGatewayCertverweist, das wir im obigen Schritt signiert und importiert haben:
Zertifikat für globalprotect auf der firewall
  1. Gehen Sie zu Geräte- > Serverprofile> LDAP klicken Sie > auf Hinzufügen
  2. Eingeben eines Profilnamens
  3. Klicken Sie unter Serverliste > auf Hinzufügen klicken, und geben Sie die IP Adresse von Windows Active Directory LDAP (Server) und Port 389 für LDAP
  4. Klicken Sie auf Ok
Konfigurieren des Ldap-Serverprofils
  1. Navigieren sie zum Geräte->-Authentifizierungsprofil > klicken Sie auf Hinzufügen  
  2. Geben Sie einen Namen ein
  3. Typ LDAP auswählen
  4. Serverprofil auswählen, das über panlabDCldapserverprof erstellt wurde
  5. Login-Attribut als sAMAccountName eingeben
Konfigurieren der Registerkarte Ldap-Authentifizierungsprofilauthentifizierung
  1. Klicken Sie auf die Registerkarte Erweitert > klicken Sie auf Hinzufügen und Hinzufügen von "alle" oder wählen Sie bestimmte Gruppen aus, wenn der Zugriff nur auf bestimmte GlobalProtect VPN AD /gruppen eingeschränkt werden soll. LDAP
Konfigurieren der erweiterten Registerkarte ldap-Authentifizierungsprofil
  1. Erstellen einer Tunnelschnittstelle, für die eine Tunnelnummer verwendet werden soll, GlobalProtect VPN und geben Sie ihr eine Tunnelnummer.
  2. Wählen Sie den virtuellen Router
  3. Wählen Sie eine Sicherheitszone aus – Es wird empfohlen, eine separate Sicherheitszone für den Datenverkehr zu erstellen, VPN da sie mehr Flexibilität beim Erstellen von Sicherheit für den Policy Datenverkehr bietet. VPN
  4. Klicken Sie auf Ok
Erstellen einer Tunnelschnittstelle
(keine IP Adresse für diese Tunnel.2-Schnittstelle erforderlich)
  1. Gehen Sie zu Netzwerk > GlobalProtect > Portals > klicken Sie auf > allgemeine Registerkarte hinzufügen
  2. Wählen Sie aus, welche Schnittstelle und IP Adresse das Portal sein GlobalProtect soll, mit dem der Client eine PC Verbindung herstellt.
globalprotect Allgemeine Registerkarte der Portalkonfiguration
  1. Über die Registerkarte Authentifizierung
  2. Wählen Sie das oben erstellte SSL TLS / Serviceprofil aus
  3. Klicken Sie unter Clientauthentifizierung auf Hinzufügen
  4. Geben Sie einen Namen ein
  5. Wählen Sie das Authentifizierungsprofil aus, das wir oben erstellt haben.
  6. Wählen Sie Ja (Benutzeranmeldeinformationen OR Clientzertifikat erforderlich)
  7. Klicken Sie auf Ok
globalprotect Registerkarte "Portalkonfigurationsauthentifizierung"
 
globalprotect Portalkonfiguration Authentifizierung Registerkarte Clientauthentifizierung
  1. Auf der Registerkarte Agent
  2. Klicken Sie unter Agent hinzufügen
  3. Geben Sie unter Registerkarte Authentifizierung einen Namen ein
globalprotect Portalkonfigurations-Agent-Registerkartenauthentifizierung
  1. Klicken Sie unter Registerkarte Externe Gateways auf Hinzufügen
  2. Geben Sie einen Namen ein
  3. Geben Sie das FQDN Firewall Feld SAN/HostName des Zertifikats früher in diesem Dokument ein (in GPPortalGatewayCert)
globalprotect Portalkonfigurations-Agent-Registerkarte externes Gateway
  1. Wählen Sie unter der Registerkarte App Dropdown-Liste Methode verbinden aus und wählen Sie On-Demand (Manuelle vom Benutzer initiierte Verbindung)
globalprotect Portal-Konfigurations-Agent-Registerkarte-App-Registerkartenverbindungsmethode
  1. Klicken Sie auf Ok
  2. Klicken Sie auf Hinzufügen, um RootCACertFW (in den Firewall älteren Teil dieses Dokuments importiert) zur Liste der vertrauenswürdigen Stammzertifizierungsstellen für das Portal hinzuzufügen. GlobalProtect
globalprotect Portalkonfigurations-Agent-Registerkarte hinzufügen Root Ca zur Liste der vertrauenswürdigen Stamm-CA für das globalprotect Portal

Hinweis: Wenn Sie über ein CA Zwischenzertifikat verfügen, fügen Sie es hier unter dem CA Stammzertifikat hinzu.
  1. Klicken Sie auf Ok
  2. Von Configure GlobalProtect Gateway
  3. Geben Sie einen Namen ein
globalprotect Portalkonfiguration allgemeine Registerkarte 2
  1. Wählen Sie ein SSL/ TLS Dienstprofil
  2. Klicken Sie unter Clientauthentifizierung auf Hinzufügen
globalprotect Registerkarte "Portalkonfigurationsauthentifizierung"
  1. Geben Sie einen Namen ein
  2. Wählen Sie das Authentifizierungsprofil aus, das weiter oben im obigen Schritt erstellt wurde.
  3. Wählen Sie Ja (Benutzeranmeldeinformationen OR Clientzertifikat erforderlich)
globalprotect Portalkonfiguration Authentifizierung Registerkarte Clientauthentifizierung
  1. Klicken Sie auf Ok
  2. Wählen Sie die Tunnelschnittstelle aus, die für diese GlobalProtect Konfiguration weiter oben in diesem Dokument erstellt wurde.
  3. Aktivieren Sie das Kontrollkästchen 'IPSec aktivieren' - Wenn keine Verbindung mit dem über IPSec hergestellt GlobalProtect werden Firewall kann, SSL
globalprotect Portalkonfiguration Authentifizierung Registerkarte Clientauthentifizierung Tunneleinstellungen
  1. Klicken Sie unter Registerkarte Clienteinstellungen auf Hinzufügen
59- globalprotect Portalkonfiguration Authentifizierung Registerkarte Client-Authentifizierung Client-Einstellungen
  1. Geben Sie einen Namen ein
globalprotect Portalkonfiguration Authentifizierung Registerkarte Clientauthentifizierung Clienteinstellungen Konfigurationsauswahlkriterien
  1. Geben Sie einen Pool von Adressen ein, bei denen es sich um die Adressen handelt, IP die der Client als Adresse auf seinem Adapter IP GlobalProtect PC IP GlobalProtect VPN PC erhält, wenn er eine Verbindung über den GlobalProtect Agenten herstellt. VPN
globalprotect Portalkonfiguration Authentifizierung Registerkarte Clientauthentifizierung Clienteinstellungen IP-Pools
Hinweis: Stellen Sie sicher, dass sich dieser IP Adresspool nicht überschneidet/nicht bereits überall im vorhandenen Netzwerk der Organisation/des Unternehmens verwendet wird.
  1. Klicken Sie auf Ok

Herunterladen/Aktivieren von GlobalProtect Client-Software-Images, die Firewall dem Mitarbeiter Windows/Mac-PCs dienen
  1. Gehen Sie zu Panorama / Web und gehen Sie zur Registerkarte > Firewall UI Panorama Gerätebereitstellung > klicken Sie auf GlobalProtect Client
  2. Klicken Sie auf Herunterladen und klicken Sie auf Aktivieren der GlobalProtect Software, die die Endbenutzer verwenden. Dies wird auch die Version sein, die der Firewall Client PC gibt, wenn sie auf die Portal-Seite des gehen und downloaden für die Firewall GlobalProtect Verwendung.
panorama globalprotectClient-Software-Images herunterladen
 
panorama globalprotectClient-Software-Images aktivieren
 
Beispiel: Wenn der Endbenutzer auf Windows 64-Bit-Agent herunterladen GlobalProtect klickt, wird er jetzt das GlobalProtect 5.0.4-Installationsprogramm herunterladen, das Version 5.0.4 der GlobalProtect Software auf seinem Client PC installiert:
 
globalprotect Portal erhalten Software-Seite

Sobald auf Aktivieren geklickt wurde, kann der Endbenutzer in seinem Browser https://fw1.panlab.com gehen und die Version GlobalProtect herunterladen, deren aktuell aktiviert wurde, oder wenn sie bereits GlobalProtect installiert sind, und sie versuchen, eine Verbindung über GlobalProtect VPN herzustellen, wird die Software auf ihrer GlobalProtect PC aufgefordert, ihre Version auf die Version zu aktualisieren, die firewall das Bietet/hat aktiviert.


Herunterladen, Installieren und Herstellen einer Verbindung mit der firewall verwendenden GlobalProtect VPN Clientsoftware auf Windows/Mac-PCs von Mitarbeitern
  1. Lassen Sie den Endbenutzer zu https://fw1.panlab.com gehen und sich mit seinen Anmeldeinformationen anmelden
Hinweis: Denken Sie daran, die GlobalProtect Software könnte auf jeden verschoben PC werden, so dass Endbenutzer diesen Schritt überspringen und einfach auf ihrem Laptop öffnen und verbinden können GlobalProtect
 
globalprotect Portal-Anmeldeseite
  1. Der Endbenutzer wird einen Bildschirm wie diesen sehen, wo er wählen kann, welche GlobalProtect Software er herunterladen und installieren möchte:
globalprotect Portal Software Seite 2 abrufen
  1. Klicken Sie auf Verbinden
globalprotect verbinden
  1. Lassen Sie den Endbenutzer seine Anmeldeinformationen eingeben und klicken Sie auf Anmelden
globalprotect Login
  1. Der Client PC ist nun erfolgreich mit dem Unternehmensnetzwerk verbunden GlobalProtect VPN über:
globalprotect verbundene Bestätigung
  1. Der Client PC ist über das Internet mit dem Internet GlobalProtect VPN firewall verbunden, und der Client kann einen PC Webserver hinter der DMZ Schnittstelle/Zone des firewall erfolgreichen jetzt erreichen, da er VPN 'd:
globalprotect vernetzte Cli-Überprüfung

Fehlerbehebung/Überprüfung/Debugs
Vom Kunden PC
  1. Stellen Sie sicher, dass die Desaußerhalb des Endbenutzers die Außenschnittstelle von der PC Endoberfläche erreichen kann - und dass firewall sie sich an die richtige FQDN Adresse auflöst. IP
Fehlerbehebung fqdn und löst die richtige IP-Adresse auf
  1. Öffnen Sie GlobalProtect auf dem Client > klicken Sie auf das Symbol oben rechts mit drei PC Balken in > klicken Sie GlobalProtect auf Einstellungen
Fehlerbehebung globalprotect auf Client-PC allgemeine Registerkarte
 
Fehlerbehebung auf der globalprotect Registerkarte Client-PC-Verbindung
 
Fehlerbehebung auf der globalprotect Registerkarte Client-PC-Hostprofil

Vom GlobalProtect Agenten
  1. Wechseln Sie zur Registerkarte Einstellungen > Fehlerbehebung, > Protokolle sammeln > entpacken und > PanGPA öffnen.log
  2. Protokolle der neuen GlobalProtect 5.0.4 Software zum Herunterladen und Installieren:
(T1216) 09/16/19 13:26:17:197 Debug( 642): PanClient sent successful with 3088 bytes
(T3192) 09/16/19 13:26:20:519 Debug(  93): Received data from Pan Service
(T3192) 09/16/19 13:26:20:519 Debug( 332): ### Download parameters ###: m_dwLatestDownlaod=1568658367, m_bDownloadStarted=0, bCheckTunnelOK=1, m_bOnDemandRead=0, bUsingCachedPortal=0, lastfaileddownload=0, m_nUpgradeMethod=2
(T3192) 09/16/19 13:26:20:519 Debug( 430): CPanClient::startUpgradeProcess, the download package is h
(T3192) 09/16/19 13:26:20:519 Debug(  25): create thread 0x1d0 with thread ID 2844
(T3192) 09/16/19 13:26:20:519 Info (1238): CSessionPage::URMMsiDownload - update dialog thread started

(T2844) 09/16/19 13:28:30:639 Info (1137): CPanDownloadProgress::OnInitDialog - downloadproc thread started
(T1480) 09/16/19 13:28:30:795 Info (1040): Download started.
(T1480) 16.09.09/19 13:28:30:826 Debug( 433): winhttp SetSecureProtocol, hSession=02f07aa0, bAllProtocol=0, gbFips=0
(T1480) 09/16/19 13:28:30:826 Debug( 433): winhttp SetSecureProtocol, 09/16/19 13:28:30:826 Debug( 433): winhttp SetSecureProtocol, hSession=02f08360, bAllProtocol=0, gbFips=0
(T1480) 09/16/19 13:28:39:484 Info ( 154): DownloadURLToFile: HTTP 200 OK
(T1480) 16.09.19 13:28:39:484 Debug( 369): Inhaltslänge: 32768000
(T3192) 09/16/19 13:28:40:311 Debug( 977): Inaktive Nachricht empfangen.
(T3192) 16.09.19 13:28:42:433 Debug( 977): Inaktive Nachricht empfangen.
(T1480) 16.09.19 13:28:42:464 Info (1087): Download abgeschlossen. Gesamtzeit = 12 (Sek.).
(T1480) 16.09.19 13:28:42:464 Info (1089): Update gestartet: von Version 5.0.3-29 auf Version 5.0.4-16.
(T1216) 16.09.19 13:28:52:495 Debug( 563): Befehl an Pan Service
senden (T1216) 16.09.19 13:28:52:495 Debug( 590): Befehl = <request> <type>Software-Upgrade</type><command-line> C : 'Users'jsmith'AppData'Local'temp'_temp3120.msi</command-line></request>
(T1216) 09/16/19 13:28:52:495 Debug( 642): PanClient wurde erfolgreich mit 144 Bytes gesendet 

 
Von der Firewall
  1. Wechseln sie zum Überwachen > Protokolle > Systemprotokollen
Fehlerbehebung globalprotect auf firewall

admin@ PA- VM2(active)> zeigen global-protect-gateway gateway name panlab_Gateway
GlobalProtect Gateway: panlab_Gateway (1 Benutzer)
Tunneltyp : Remote User Tunnel Name :
panlab_Gateway- : N
VSYS vsys1 (id 1)
Tunnel : 3 Tunnel Interface : ID
tunnel.2
Tunnel IPv6 Enabled : no
Encap Interface : ethernet1'4
vr-id : 0
Vererbung von :
Lokale Adresse (IPv4) : 42. 11.45.1
SSL Server-Port : 443
IPSec Encap : ja
Tunnel-Aushandlung :
HTTP ssl-Umleitung :
UDP kein Port : 4501
Max Benutzer : 0 Ausschließen
Videoverkehr : keine
Gateway-Level IP Pool Bereiche:
Gateway-Level IP Pool Index: 0
Gateway-Level IPv6 Pool Ranges:
Gateway-Level IPv6 Pool Index: 0
config Name : panlab_GWClientSettings
Benutzergruppen : any;
OS                         : beeinen;
IP Poolbereiche : 192.168.1.50 - 192.168.1.250(192.168.1.51);
IP Poolindex : 0
IPv6 Pool Bereiche :
IPv6 Pool index : 0
Kein direkter Zugriff auf lokales Netzwerk: kein Abrufen
IP gerahmte Adresse : keine
Auth Server Pool Bereiche : IP
Auth Server IPv6 Pool Bereiche:
Zugriffsrouten : 0.0.0.0/0
Ausschließen Zugriffsrouten : Server : Server
DNS :
DNS Suffix : Server : Server
DNS Cert
WINS
SSL : GPPortalGatewayCert
Client Authentication : Auth Name : panlab_GwClientAuth
Auth : Any OS
Auth Profile : panlabLDAP_authprof
Allow User Credentials Client OR Cert: yes Client Cert Profile :
Lifetime :
2592000 seconds
Idle Timeout : 108 00 Sekunden
Disconnect On Idle : 10800 Sekunden
Automatische Wiederherstellung nicht zulassen: keine
IP Quellprüfung : keine
Verschlüsselung : aes-128-cbc
Authentifizierung : sha1

admin@ PA- VM2(active)> zeigen global-protect-gateway current-user gateway panlab_Gateway
admin@ PA- VM2(active)> zeigen global-protect-gateway current-user user jsmith
2019-09-15 11:15:49
GlobalProtect Gateway: panlab_Gateway (1 Benutzer)
Tunnelname : panlab_Gateway- N
Domain-Benutzername :
'jsmith Computer : COMP- WIN7-2
Primary Username           : jsmith
Region for Config          : KR
Source Region              : KR
Client                     : Microsoft Windows 7 Enterprise Edition Service Pack 1, 64-bit
VPN Type                   : Device Level VPN
Mobile ID :
Client OS : Windows
Private IP : 192.168.1.50
Private IPv6               : ::
Public IP (connected)      : 42.11.45.10
Public IPv6                : ::
Client IP : 42.11.45.10
ESP : exist
SSL : none
Login Time                 : Sep.15 11:07:18
Logout/Expiration          : Oct.15 11:07:18
TTL : 2591489
Inactivity TTL : 10302
Request - Login            : 2019-09-15 11:07:18.254 (1568570838254), 42.11.45.10
Request - GetConfig        : 2019-09-15 11:07:18.396 (1568570838396), 42.11.45.10
Request - SSLVPNCONNECT :  (0), ::

admin@ PA- VM2(active)> less mp-log rasmgr.log
2019-09-15 11:07:18.208 -0700 req->portal address 0x7fffdc096250
2019-09-15 11:07:18.251 -0700 192.168.1.50 is framed ip? no
2019-09-15 11:07:18.251 -0700 retrieve-framed-ip-address(no);  is-preferred-ip-a-framed-ip(nein); retrieve-framed-ip-address-v6(nein);  is-preferred-ip-a-framed-ipv6(nein);
2019-09-15 11:07:18.252 -0700 req->portal adresse 0x7fffd8064ca0
2019-09-15 11:07:18.254 -0700 neue Cookie: ******
2019-09-15 11:07:1 8.254 -0700 rasmgr_sslvpn_client_register Speicherplatz panlab_Gateway- N Domain-Benutzer jsmith Computer COMP- WIN7-2 Ergebnis 0
2019-09-15 11:07:18.396 -0700 Client vorhandene Adresse 42.11.45.10/24; bevorzugte ip 192.168.1.50; Adresse-v6 2002::/16,1234:1234:2d0a::1234:1234/128; bevorzugte ipv6 Keine; Client exclude video support yes; gw license no
2019-09-15 11:07:18.397 -0700 Hinzufügen von Infos in usr info zu haremoteusr info for:jsmith
2019-09-15 11:07:18.397 -0700 GW Installationstunnel, zeigen Sie keymgr... exclude_video_traffic_enable=0 [0 0]
2019-09-15 11:07:31.066 -0700 Adding info in usr info to haremoteusr info for:jsmith

admin@ PA- VM2(active)> less appweb-log sslvpn-access.log
42.11.45.1 - - [Sun Sep 15 11:07:18 2019 PDT ] " POST /ssl-vpn/prelogin.esp?kerberos-support=yes&tmp=tmp&clientVer=4100&host-id=433474f9-7a92-4f6f-9990-43731e8697fe&clientos=Windows&os-version=Microsoft+Windows+7+Enterprise+Edition+Service+Pack+1%2c+64-bit&ipv6-support=yes HTTP /1.1" 200 968
42.11.45.1 - - [Sun Sep 15 11:07:18 2019 PDT ] " POST /ssl-vpn/login.esp HTTP /1.1" 200 2840
42.11.45.1 - - [Sun Sep 15 11:07:18 2019 PDT ] " POST /ssl-vpn/getconfig.esp HTTP /1.1" 200 1809
42.11.45.1 - - [Sun Sep 15 11:07:31 2019 PDT ] " POST /ssl-vpn/hipreportcheck.esp HTTP /1.1" 200 561
127.0.0.1 - - [Sun Sep 15 11:08:06 2019 PDT ] " GET /robots.txt HTTP /1.1" 200 250

admin@ PA- VM2(active)> show global-protect-gateway flow
total GlobalProtect -Gateway tunnel shown:                     2
id    name                  local-i/f         local-ip                      tunnel-i/f
--    ----                  ---------         --------                      ----------
3     panlab_Gateway- N ethernet1/4       42.11.45.1                    tunnel.2

admin@ PA- VM2(active)> show global-protect-gateway flow name panlab_Gateway
2019-09-15 11:18:38
id : 3
Typ: GlobalProtect -Gateway
local ip: 42.11.45.1
innere Schnittstelle: tunnel.2 äußere Schnittstelle: ethernet1'4
ssl cert: GPPortalGatewayCert
aktive Benutzer: 1
assigned-ip remote-ip-Verkapselung MTU ---------------------------------------------------------------------------------------------------------------------- 1

92.168.1.50 42.11.45.10 1420 IPSec SPI 4311646B (Kontext 619)

admin@ PA- VM2(aktiv)> global-protect-anzeigen Gateway-Flow-Tunnel-id 3-Tunnel-panlab_Gateway-ID:
N
3
Typ: GlobalProtect -Gateway local
ip: 42.11.45.1
innere Schnittstelle: tunnel.2 äußere Schnittstelle: ethernet1'4
ssl cert: GPPortalGatewayCert
aktive Benutzer: 1
assigned-ip MTU remote-ip-Encapsulation
----------------------------------------------------------------------------------------------------------------------
192.168.1.50 42.11.45.10 1420 IPSec SPI 4311646B (Kontext 619)                                                                                                                                      

 

Additional Information


Um nur die Verwendung selbstsignierter Zertifikate auf der zu konfigurieren GlobalProtect VPN firewall (anstatt einen internen/externen CA Stammausstellen zu haben), kann das folgende Dokument folgen: Grundlegende Konfiguration mit GlobalProtect Benutzeranmeldung
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PMyGCAW&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language