Cómo configurar GlobalProtect VPN usando una raíz externa CA

Cómo configurar GlobalProtect VPN usando una raíz externa CA

102428
Created On 10/11/19 16:09 PM - Last Modified 03/26/21 17:49 PM


Symptom


Este documento describe los pasos para configurar GlobalProtect VPN usando una raíz externa tal como Windows CA Server 2012 w/ AD Certificate Services que se ejecuta en él.

Si se utiliza una entidad de certificación de terceros (como GlobalSign, GoDaddy, DigiCert, Symantec, etc.), se pueden seguir los mismos pasos a continuación GlobalProtect para implementar, pero en lugar de cada paso de Windows Server a continuación (como en el paso 2 y el paso 4), utilice el proveedor de certificados de terceros para cada uno de esos pasos en su lugar.

Environment


  • Panorama
  • 10.50.1.50
  • Firewall
  • Interfaz de gestión: 10.50.1.10
  • Interfaz de desconfianza: 42.11.45.1/24
  • DMZ interfaz: 172.16.45.1/24
  • Servidor Web DMZ (detrás): 172.16.45.50
  • Windows Server 2012
  • 172.16.45.50
  • Windows 7 PC
  • 192.168.45.10
 
  • Compruebe que Windows Server 2012 tiene Active Directory instalado y ejecutándose con grupos y usuarios creados en él.
  • Configure/verifique que DNS esté funcionando completamente entre las siguientes direcciones y sistemas IP (adelante y atrás) (es decir, asegúrese de que nslookup funciona):
  • Windows 7 PC
  • Windows Server 2012
  • PAN Firewall
  • (es decir, Windows 7 PC debe ser capaz de nslookup la dirección de interfaz exterior de la y resolver a la de un IP PAN firewall FQDN firewall navegador)

Resolution


  1. Instalar servicios de certificados en Windows Server 2012 (es decir, hacer de Windows Server 2012 la CA raíz)
  2. Exporte el certificado raíz CA desde la raíz de Windows Server 2012 CA
  3. Instale el certificado raíz CA en los equipos Windows/Mac de los empleados
  4. Importar certificado raíz CA en , generar en , obtener firmado por raíz de Windows Server firewall CSR firewall CSR 2012 CA y, a continuación, instalar ese certificado firmado en el firewall
  5. Configure en la regla de seguridad y configure para permitir el GlobalProtect tráfico de fuera a Firewall Policy VPN dentro/DMZ
  6. Descargar/Activar GlobalProtect imágenes de software cliente que Firewall servirán a los pcs Windows/Mac de los empleados
  7. Descargue, instale y conéctese al firewall software cliente using en los equipos GlobalProtect VPN Windows/Mac de los empleados
  8. Solución de problemas/Verificación/Depuración

Instalar servicios de certificados en Windows Server 2012 (es decir, hacer de Windows Server 2012 la CA raíz)
  1. Abra el Administrador del servidor > haga clic en Agregar roles y características
añadir roles y características
  1. Haga clic en Basado en roles y haga clic en Siguiente
instalación basada en roles o basadas en características
  1. Seleccione Windows Server y haga clic en Siguiente
agregar roles y asistente de características seleccionar servidor de destino
  1. Seleccione Servicios de certificados de Active Directory y haga clic en Siguiente
agregar roles y características wizard server roles
  1. Haga clic en Siguiente dos veces
añadir roles y características seleccione características
  1. Seleccione Inscripción web de la entidad de certificación y haga clic en Siguiente dos veces
añadir roles y características, seleccione servicios de rol de ad cs
  1. Haga clic en Siguiente
agregar roles y características seleccione el rol de servidor web
  1. Marque la casilla reiniciar el servidor de destino automáticamente si es necesario y haga clic en Instalar
Espere a que finalice la barra de carga: Windows Server 2012 no se reiniciará.
Advertencia: esto hará que Windows Server 2012 se reinicie (aún no, pero podría más adelante en un paso siguiente en este documento)
 
agregar roles y características confirman las selecciones de instalación
  1. Una vez que la barra de carga se realiza arriba, haga clic en Configurar servicios de certificados de Active Directory en el servidor de destino
añadir roles y características progreso de la instalación
  1. Haga clic en Siguiente
credenciales de configuración de ad cs
  1. Compruebe la inscripción web de la entidad de certificación y la entidad de certificación y haga clic en Siguiente dos veces
servicios de rol de configuración de ad cs
  1. Seleccionar raíz CA y haga clic en Siguiente
tipo ca de configuración de ad cs
  1. Seleccione Crear una nueva clave privada y haga clic en Siguiente
ad cs configuración clave privada
  1. Seleccione SHA256 como el algoritmo hash que esta raíz de Windows Server 2012 CA usará para firmar certificados (la mayoría de los navegadores modernos mostrarán advertencias para cualquier cosa debajo de SHA256) - haga clic en Siguiente
ad cs configuración criptografía de clave privada
  1. Guarde esta información en un bloc de notas : haga clic en Siguiente hasta el paso siguiente (pantalla Confirmación)
ad cs configuración nombre ca privado
  1. Haga clic en Configurar
confirmación de configuración de ad cs
  1. Inicie un explorador web y vaya a http://172.16.45.50/certsrv - escriba las credenciales de administrador para Windows Server 2012
ventana de inicio de sesión del servidor de Windows
  1. Ahora Windows Server 2012 es una raíz CA . Ahora, puede firmar CSR enviados a él - Windows Server 2012 tomará el y devolverá un certificado firmado a CSR cambio (es decir, ese certificado será firmado por Windows Server 2012 que es la CA raíz)
servicios de certificados de directorio de anuncios de Microsoft bienvenidos


Exportar la raíz CA Certificado de la raíz de Windows Server 2012 CA
En esta sección, usaremos Microsoft Windows Server 2012 como nuestra raíz CA para certificados. El Cliente PC 's confiará en esta raíz CA para conectarse de forma segura al software del firewall GlobalProtect VPN cliente. Esto asegurará que los usuarios finales puedan conectarse de forma segura a firewall través de Internet y acceder a los recursos internos desde casa. Su cliente PC confiará en la conexión en su navegador y en el software del GlobalProtect VPN cliente.
  1. Haga clic en Descargar un CA certificado, una cadena de certificados o CRL
Los servicios de certificados de directorio de anuncios de Microsoft acogen con satisfacción la descarga de una cadena de certificados de ca o crl resaltado
  1. Haga clic en Descargar CA certificado
los servicios de certificados de directorio de anuncios de Microsoft descargan un certificado ca
  1. Cambiarle el nombre a RootCACert
cambio de nombre a rootcacert


Instale el certificado raíz CA en los equipos Windows/Mac de los empleados
  1. Coloque el archivo RootCACert en el cliente de Windows 7 PC y haga doble clic para instalar el certificado:
rootcacert
Nota: Si se implementa GlobalProtect VPN en una empresa grande o si se implementa GlobalProtect en muchos PC empleados 's/usuarios, el certificado raíz CA se puede insertar en los equipos empleados mediante Windows Server 2012 Group Policy a través de este método en lugar de instalarlo en cada PC uno individualmente como lo hacemos a continuación:
 
certificado de instalación de información
  1. Haga clic en Siguiente
bienvenida al asistente de importación de certificados
  1. Seleccione Colocar todos los certificados en el siguiente almacén - haga clic en Examinar y seleccione la carpeta Entidades de certificación raíz de confianza - haga clic en Aceptar y siguiente y haga clic en Finalizar
asistente de importación de certificados de confianza en las entidades de certificación raíz
 
importación del asistente de importación de certificados se realizó correctamente
Nota: Si CA también se utiliza/necesita un certificado intermedio, se puede realizar el mismo proceso anterior para importarlo a la carpeta , pero elija la carpeta PC "Entidades de certificación intermedias" en su lugar


Importar certificado raíz CA en , generar en , obtener firmado por raíz de Windows Server y, a firewall CSR firewall CSR CA continuación, instalar ese certificado firmado en el firewall
  1. Vaya a http://172.16.45.50/certsrv y haga clic en Descargar un CA certificado, una cadena de certificados o CRL
Los servicios de certificados de directorio de anuncios de Microsoft acogen con beneplácito la descarga de una cadena de certificados de ca o crl highlighted 2
  1. Seleccionar Base 64 > haga clic enDescargar CA certificado 
Los servicios de certificados de directorio de anuncios de Microsoft descargan una base de certificados ca 64
  1. Cámbiele el nombre a RootCACertFW
cambiarle el nombre a rootcacertfw
  1. Vaya Panorama a o Firewall vaya a Certificados de > administración de certificados de > de dispositivos > haga clic en Importar
  2. Escriba un nombre de certificado para el certificado raíz CA
  3. Seleccione el certificado RootCACertFW que acabamos de descargar
  4. Seleccione el formato de archivo como certificado codificado base64 ( PEM )
  5. Haga clic en Aceptar
certificado de importación a panorama
 
panorama dispositivo certificado

Nota: Si tiene un certificado raíz CA intermedio, impórtelo aquí ahora bajo el certificado raíz CA

  1. Vaya Panorama a o Firewall vaya a Certificados de > de administración de certificados de > de dispositivos y haga clic en Generar
  2. Escriba el nombre del certificado para el certificado como GPPortalGatewayCert (este campo será importante más adelante - recuerde el nombre del certificado)
  3. Escriba el nombre común como la dirección externa IP del firewall (o cualquier nombre que dirección DNS IP nslookup's a si en Internet)
  4. Seleccione la opción Firmado por como 'Autoridad externa ( CSR )'
  5. Haga clic en Agregar para agregar un SAN campo ( ) al certificado - este / campo debe coincidir IP con el IP SAN firewall 's FQDN y debe ser resoluble por el empleado PC 's para conectarse al portal firewall 's y puerta de enlace a través del GlobalProtect VPN cliente
  6. clic Generar
panorama generar certificado
 
Advertencia: La mayoría de los navegadores modernos, así como el firewall propio requieren que el campo de certificado del servidor de protección global debe coincidir con el firewall SAN FQDN de firewall la conexión con éxito a través VPN y para que los usuarios finales naveguen GlobalProtect al Portal en su navegador con éxito. Si el SAN campo existe en absoluto con al menos una entrada en el certificado/ CSR , el que se utiliza para el FQDN portal/puerta de enlace para esto firewall siempre debe estar presente en esa SAN lista. El FQDN de los se puede encontrar firewall aquí:
 
panorama firewall Fqdn
 
FQDN: fw1.panlab.com
panorama generar confirmación de certificado y par de claves
  1. Seleccione la casilla de verificación para el CSR y haga clic en Exportar certificado - el certificado se descargará a la PC
panorama certificado de dispositivo csr exportación
 
Se llamará cert_GPPortalGatewayCert.csr
panorama nombre csr
  1. Inicie un navegador web y vaya a http://172.16.45.50/certsrv
  2. clic Solicite un certificado
los servicios de certificados de directorio de anuncios de Microsoft solicitan un certificado
  1. Haga clic en Solicitud avanzada de certificado
Los servicios de certificados de directorio de anuncios de Microsoft solicitan una solicitud de certificado avanzada de certificado
  1. Abra cert_GPPortalGatewayCert.csr con el Bloc de notas - copie y pegue el contenido en el campo como se muestra a continuación:
  2. Seleccione Servidor web de plantilla de certificado
  3. haga clic en Enviar
los servicios de certificados de directorio de anuncios de Microsoft envían una solicitud de certificado o una solicitud de renovación
  1. Seleccione Base 64 codificada
  2. Haga clic en Descargar certificado
certificado de servicios de certificados de directorio de anuncios de Microsoft emitido y descarga la base de certificados 64

Esto descargará el certificado ahora firmado en el navegador - cambiarle el nombre a GPPortalGatewayCert
 
certificado de descarga

Nota: Al importar este certificado firmado, debe tener exactamente el mismo nombre que el CSR (campoNombre de certificado) que generamos en la Firewall Web UI anterior, es decir, debe denominarse GPPortalGatewayCert
  1. Abra Panorama de nuevo y vaya a La administración de certificados de > dispositivos > certificados > casilla de verificación existente y haga clic CSR en Importar 
  2. Escriba el nombre del certificado
  3. Haga clic en Examinar y seleccione GPPortalGatewayCert.cer
  4. Seleccione el formato de archivo como certificado codificado base64 ( PEM )
  5. Haga clic en Aceptar
panorama certificado de importación

En este momento, el firewall tiene un certificado raíz CA RootCACertFW, y el firewall tiene un certificado de servidor Firewall GPPortalGatewayCert que está firmado por ese CA certificado raíz.
 
Este Firewall certificado de servidor es el certificado que se presentará a los equipos de cliente cuando se conecten a la firewall GlobalProtect vía. Los EQUIPOS de cliente confiarán en este certificado porque el cliente PC también confía en esta raíz debido al paso que hicimos CA anteriormente en este documento donde instalamos el certificado raíz CA en la configuración del cliente de Windows 7 PC

panorama importación exitosa de certificados que se enumeran debajo del certificado raíz


en la regla de seguridad y configurar para permitir el tráfico de fuera al GlobalProtect Firewall Policy VPN interior/DMZ
  1. Vaya al > de administración de certificados > / perfil de SSL TLS servicio y cree un SSLperfil / TLS servicio haciendo referencia al certificado de servidor firmado Firewall GPPortalGatewayCert, que nos firmaron e importaron en el paso anterior:
configurar el certificado para globalprotect en el firewall
  1. Vaya a Perfiles de servidor de > dispositivo > > haga clic LDAP en Agregar
  2. Escriba un nombre de perfil
  3. En Lista de servidores > haga clic en Agregar y escriba la dirección de Windows Active IP Directory LDAP (servidor) y el puerto 389 para LDAP
  4. Haga clic en Aceptar
configurar el perfil del servidor ldap
  1. Navegue al perfil de autenticación del dispositivo > > haga clic en Agregar 
  2. Escriba un nombre
  3. Seleccionar tipo LDAP
  4. Seleccione Perfil del servidor creado anteriormente panlabDCldapserverprof
  5. Escriba Atributo de inicio de sesión como sAMAccountName
configurar la pestaña de autenticación de perfil de autenticación ldap
  1. Haga clic en la pestaña Avanzadas > haga clic en Agregar y agregue "todos" o seleccione ciertos grupos si GlobalProtect VPN debe restringir el acceso a ciertos AD / grupos LDAP solamente
configurar el perfil de autenticación ldap pestaña avanzada
  1. Cree una interfaz de túnel para usar GlobalProtect VPN y déle un número de túnel
  2. Seleccione el router virtual
  3. Seleccione una zona de seguridad: se recomienda crear una zona de seguridad independiente para VPN el tráfico, ya que proporciona más flexibilidad en la creación de seguridad Policy para el VPN tráfico
  4. Haga clic en Aceptar
crear una interfaz de túnel
(no IP se necesita ninguna dirección para esta interfaz tunnel.2)
  1. Vaya a Network > GlobalProtect > Portals > haga clic en agregar > pestaña General
  2. Seleccione la interfaz y IP la dirección que va a ser el Portal al que se GlobalProtect conectará el cliente PC
globalprotect pestaña general de configuración del portal
  1. Desde la pestaña Autenticación
  2. Seleccione el SSL TLS / Perfil de servicio creado anteriormente
  3. Haga clic en Agregar en Autenticación de cliente
  4. Escriba un nombre
  5. Seleccione el perfil de autenticación que hicimos anteriormente
  6. Seleccionar sí OR (se requiere certificado de cliente de credenciales de usuario)
  7. Haga clic en Aceptar
globalprotect pestaña de autenticación de configuración del portal
 
globalprotect autenticación de cliente de la pestaña de autenticación de configuración del portal
  1. Desde la pestaña Agente
  2. Haga clic en Agregar en Agente
  3. En la pestaña Autenticación escriba un nombre
globalprotect autenticación de pestaña del agente de configuración del portal
  1. En la pestaña Puertas de enlace externas, haga clic en Agregar
  2. Escriba un nombre
  3. Escriba el FQDN que se puso en el campo Firewall SAN/Nombre de host del certificado anteriormente en este documento (en GPPortalGatewayCert)
globalprotect puerta de enlace externa del agente de configuración del portal
  1. En la pestaña Aplicación, seleccione Conectar método desplegable y seleccione Bajo demanda (Conexión manual iniciada por el usuario)
globalprotect método de conexión de la pestaña del agente de configuración del portal
  1. Haga clic en Aceptar
  2. Haga clic en Agregar para agregar RootCACertFW (importado en el Firewall anterior en este documento) a la lista de CA raíz de confianza para el GlobalProtect portal
globalprotect la pestaña del agente de configuración del portal agrega la ca raíz a la lista de ca raíz de confianza para el globalprotect portal

Nota: Si tiene un CA Certificado Intermedio, agréguelo aquí debajo del Certificado Raíz CA
  1. Haga clic en Aceptar
  2. Desde Configurar puerta de GlobalProtect enlace
  3. Escriba un nombre
globalprotect configuración del portal pestaña general 2
  1. Seleccione un SSLperfil / TLS servicio
  2. En Autenticación de cliente, haga clic en Agregar
globalprotect pestaña de autenticación de configuración del portal
  1. Escriba un nombre
  2. Seleccione el perfil de autenticación creado anteriormente en el paso anterior
  3. Seleccionar sí OR (se requiere certificado de cliente de credenciales de usuario)
globalprotect autenticación de cliente de la pestaña de autenticación de configuración del portal
  1. Haga clic en Aceptar
  2. Seleccione la interfaz del túnel creada para esta GlobalProtect configuración anterior en este documento
  3. Seleccione la casilla de verificación 'Habilitar IPSec' - si GlobalProtect no se conecta al Firewall IPSec de más, volverá a SSL
globalprotect configuración del portal autenticación tabulación configuración del túnel de autenticación de cliente
  1. En la pestaña Configuración del cliente, haga clic en Agregar
59- globalprotect Configuración del portal configuración tabulación configuración del cliente de autenticación cliente configuración
  1. Escriba un nombre
globalprotect configuración del portal de autenticación tabulador configuración del cliente de configuración de cliente config criterios de selección
  1. Escriba un grupo de IP direcciones que serán las direcciones que el Cliente recibirá como dirección en su IP adaptador cuando se GlobalProtect PC IP GlobalProtect VPN PC conecten a través del GlobalProtect VPN Agente
globalprotect configuración del portal de autenticación tabulador configuración del cliente de autenticación ip pools
Nota: Asegúrese de que este grupo de IP direcciones no se superponga o no esté ya en uso en ningún lugar de la red existente de la organización/empresa.
  1. Haga clic en Aceptar

Descargar/Activar GlobalProtect imágenes de software cliente que Firewall servirán a los pcs Windows/Mac de los empleados
  1. Vaya a Panorama / Web y vaya a la pestaña > Implementación de Firewall dispositivos > haga clic en UI Panorama GlobalProtectCliente
  2. Haga clic en Descargar y haga clic en Activar en cualquier versión del software que utilicen los GlobalProtect usuarios finales. Esta será también la versión que el Firewall cliente le da si van a la página del Portal de la y descarga para su PC Firewall GlobalProtect uso.
panorama descargar globalprotect imágenes de software cliente
 
panorama activar globalprotect imágenes de software cliente
 
Ejemplo: Cuando el usuario final haga clic en Descargar agente de Windows de 64 GlobalProtect bits, ahora descargará el GlobalProtect instalador 5.0.4, que instalará la versión 5.0.4 del GlobalProtect software en su PC cliente:
 
globalprotect portal obtener página de software

Una vez que se hace clic en Activar, el usuario final puede ir https://fw1.panlab.com en su navegador y descargar la versión de la GlobalProtect que se ha activado actualmente, o si ya se han GlobalProtect instalado, y tratan de conectarse a través GlobalProtect VPN de, el GlobalProtect software en su les pedirá que actualicen su versión a la que el es ofrecer / ha PC firewall activado.


Descargue, instale y conéctese al firewall software cliente using en los equipos GlobalProtect VPN Windows/Mac de los empleados
  1. Pida al usuario final que vaya a https://fw1.panlab.com e inicie sesión con sus credenciales
Nota: Recuerde, el GlobalProtect software podría ser empujado a cada uno para que los usuarios finales puedan omitir este paso y simplemente PC abrir en su computadora portátil y GlobalProtect conectarse
 
globalprotect página de inicio de sesión del portal
  1. El usuario final verá una pantalla como esta donde puede elegir qué GlobalProtect software le gustaría descargar e instalar:
globalprotect portal obtener la página de software 2
  1. Haga clic en Conectar
globalprotect comunicar
  1. Pida al usuario final que escriba sus credenciales y haga clic en Iniciar sesión
globalprotect Inicio de sesión
  1. El Cliente PC ahora está conectado con éxito a la red corporativa a través GlobalProtect VPN de:
globalprotect confirmación conectada
  1. El Cliente PC está conectado a través de GlobalProtect VPN firewall Internet, y el Cliente puede llegar PC a un servidor web detrás de la DMZ interfaz/zona del firewall con éxito ahora que es VPN 'd:
globalprotect verificación cli conectada

Solución de problemas/Verificación/Depuración
Desde el cliente PC
  1. Asegúrese de que el usuario final PC puede llegar a la interfaz exterior por su - y que se resuelve a la firewall FQDN dirección correcta IP
solución de problemas fqdn y resuelve a la dirección IP correcta
  1. Abra GlobalProtect en el cliente > haga clic en el icono superior derecho de tres PC barras en > haga clic en GlobalProtect Configuración
solución de problemas globalprotect en la pestaña general del PC del cliente
 
solución de problemas globalprotect en la pestaña de conexión del pc cliente
 
solución de problemas globalprotect en la pestaña de perfil de host de pc cliente

Del GlobalProtect agente
  1. Vaya a Configuración > pestaña Solución de problemas > Recopilar registros > descomprimirlos y abrir > PanGPA.log
  2. Registros del nuevo GlobalProtect software 5.0.4 descargando e instalando:
(T1216) 09/16/19 13:26:17:197 Debug( 642): PanClient sent successful with 3088 bytes
(T3192) 09/16/19 13:26:20:519 Debug(  93): Received data from Pan Service
(T3192) 09/16/19 13:26:20:519 Debug( 332): ### Download parameters ###: m_dwLatestDownlaod=1568658367, m_bDownloadStarted=0, bCheckTunnelOK=1, m_bOnDemandRead=0, bUsingCachedPortal=0, lastfaileddownload=0, m_nUpgradeMethod=2
(T3192) 09/16/19 13:26:20:519 Debug( 430): CPanClient::startUpgradeProcess, the download package is h
(T3192) 09/16/19 13:26:20:519 Debug(  25): create thread 0x1d0 with thread ID 2844
(T3192) 09/16/19 13:26:20:519 Info (1238): CSessionPage::URMMsiDownload - update dialog thread started

(T2844) 09/16/19 13:28:30:639 Info (1137): CPanDownloadProgress::OnInitDialog - downloadproc thread started
(T1480) 09/16/19 13:28:30:795 Info (1040): Download started.
(T1480) 09/16/19 13:28:30:826 Debug( 433): winhttp SetSecureProtocol, hSession=02f07aa0, bAllProtocol=0, gbFips=0
(T1480) 09/16/19 13:28:30:826 Debug( 433): winhttp SetSecureProtocol, hSession=02f08360, bAllProtocol=0, gbFips=0
(T1480) 09/16/19 13:28:39:484 Info ( 154): DownloadURLToFile: HTTP 200 OK
(T1480) 09/16/19 13:28:39:484 Debug( 369): Duración del contenido: 32768000
(T3192) 09/16/19 13:28:40:311 Debug( 977): Recibir mensaje inactivo.
(T3192) 09/16/19 13:28:42:433 Debug( 977): Recibir mensaje inactivo.
(T1480) 09/16/19 13:28:42:464 Info (1087): Descargar completado. tiempo total = 12 (seg).
(T1480) 09/16/19 13:28:42:464 Info (1089): Actualización iniciada: de la versión 5.0.3-29 a la versión 5.0.4-16.
(T1216) 09/16/19 13:28:52:495 Debug( 563): Enviar comando a Pan Service
(T1216) 09/16/19 13:28:52:495 Debug ( 590): Comando = <request> <type>software-actualización</type><command-line> C :\Users\jsmith\AppData\Local\Temp\_temp3120.msi</command-line></request>
(T1216) 09/16/19 13:28:52:495 Debug( 642): PanClient enviado correctamente con 144 bytes 

 
De la Firewall
  1. Vaya a Supervisar registros de > > registros del sistema
solución de problemas globalprotect en firewall

admin@ PA- VM2(active)> mostrar el nombre de la puerta de enlace global-protect-gateway panlab_Gateway
GlobalProtect Gateway: panlab_Gateway (1 usuarios)
Tipo de túnel : nombre del túnel del usuario remoto :
panlab_Gateway- : N
VSYS vsys1 (id 1)
Túnel : ID 3 Interfaz del túnel : túnel

IPv6 habilitado : sin
interfaz Encap : ethernet1/4
vr-id : 0
Herencia de : Dirección local
(IPv4) : 42.11.45.1
SSL Puerto del servidor : 443
IPSec Encap : sí
Negociación de túnel :
HTTP redirección ssl : sin
UDP puerto : 4501 Usuarios máximos :
0 Excluir tráfico de
vídeo : sin
rangos de grupo de nivel de puerta de IP enlace: Índice de grupo
de nivel de puerta de IP enlace: 0
Rangos de grupo IPv6 de
nivel de puerta de enlace: 0
nombre de configuración: panlab_GWClientSettings grupos de
usuarios: cualquiera;
OS                         : cualquiera;
IP Rangos de piscina : 192.168.1.50 - 192.168.1.250(192.168.1.51);
IP Índice de grupo : 0
Rangos de grupo IPv6 :
Índice de grupo IPv6 : 0
Sin acceso directo a la red local: sin recuperar dirección enmarcada : sin rangos de grupo de servidores de autenticación :
IP
IP
Rangos de grupo IPv6 del servidor de autenticación:
Rutas de acceso : 0.0.0.0/0 Excluir rutas de acceso : Servidores :

DNS
DNS Suffix : Servidores : Servidores : Server
DNS
WINS
SSL Cert : GPPortalGatewayCert Autenticación de cliente : Nombre de autenticación : panlab_GwClientAuth autenticación : Cualquier perfil de autenticación : panlabLDAP_authprof Permitir credenciales de usuario
Client
OS

OR Cert: yes
Client Cert Profile : Lifetime :
2592000 segundos
Tiempo de espera inactivo : 10800 segundos
Desconectar en inactivo : 10800 segundos
Desautorizar la restauración automática: sin
comprobación de origen : sin cifrado : IP
aes-128-cbc
Autenticación : sha1 admin@

PA- VM2 (activo)> mostrar puerta de enlace de usuario actual de puerta de enlace global-proteger-gateway panlab_Gateway admin@ VM2 (activo)> mostrar la puerta de enlace de usuario actual de puerta de enlace global-proteger
panlab_Gateway admin@ PA- VM2 (activo)> admin@ admin@ VM2 (activo)> <6> mostrar global-protect-gateway usuario actual-usuario jsmith
2019-09-15 11:15:49
GlobalProtect Puerta de enlace: panlab_Gateway (1 usuarios)
Nombre del túnel : panlab_Gateway- N
Dominio-Nombre de usuario : \jsmith
Computer : COMP- WIN7-2
Nombre de usuario principal           : jsmith
Region for Config          : KR
Source Region              : KR
Client                     : Microsoft Windows 7 Enterprise Edition Service Pack 1, 64-bit
VPN Type                   : Device Level VPN
Mobile ID :
Client OS : Windows
Private IP : 192.168.1.50
Private IPv6               : ::
Public IP (connected)      : 42.11.45.10
Public IPv6                : ::
Client IP : 42.11.45.10
ESP : exist
SSL : none
Login Time                 : Sep.15 11:07:18
Logout/Expiration          : Oct.15 11:07:18
TTL : 2591489
Inactivity TTL : 10302
Request - Login            : 2019-09-15 11:07:18.254 (1568570838254), 42.11.45.10
Request - GetConfig        : 2019-09-15 11:07:18.396 (1568570838396), 42.11.45.10
Request - SSLVPNCONNECT :  (0), ::

admin@ PA- VM2(active)> less mp-log rasmgr.log
2019-09-15 11:07:18.208 -0700 req->portal address 0x7fffdc096250
2019-09-15 11:07:18.251 -0700 192.168.1.50 is framed ip? no
2019-09-15 11:07:18.251 -0700 retrieve-framed-ip-address(no);  es preferido-ip-a-enmarcado-ip (no); retrieve-framed-ip-address-v6(no);  es preferido-ip-a-enmarcado-ipv6(no);
2019-09-15 11:07:18.252 -0700 req->portal address 0x7fffd8064ca0
2019-09-15 11:07:18.254 -0700 new cookie:  ******
2019-09-15 11:07:18.254 -0700 rasmgr_sslvpn_client_register space panlab_Gateway- N domain  user jsmith computer COMP- WIN7-2 result 0
2019-09-15 11:07:18.396 -0700 client existing address 42.11.45.10/24; preferred ip 192.168.1.50; address-v6 2002::/16,1234:1234:2d0a::1234:1234/128; preferred ipv6 None; client exclude video support yes; gw license no
2019-09-15 11:07:18.397 -0700 Adding info in usr info to haremoteusr info for:jsmith
2019-09-15 11:07:18.397 -0700 Installing GW Tunnel, indicate to keymgr... exclude_video_traffic_enable=0 [0 0]
2019-09-15 11:07:31.066 -0700 Adding info in usr info to haremoteusr info for:jsmith

admin@ PA- VM2(active)> less appweb-log sslvpn-access.log
42.11.45.1 - - [Sun Sep 15 11:07:18 2019 PDT ] " POST /ssl-vpn/prelogin.esp?kerberos-support=yes&tmp=tmp&clientVer=4100&host-id=433474f9-7a92-4f6f-9990-43731e8697fe&clientos=Windows&os-version=Microsoft+Windows+7+Enterprise+Edition+Service+Pack+1%2c+64-bit&ipv6-support=yes HTTP /1.1" 200 968
42.11.45.1 - - [Sun Sep 15 11:07:18 2019 PDT ] " POST /ssl-vpn/login.esp HTTP /1.1" 200 2840
42.11.45.1 - - [Sun Sep 15 11:07:18 2019 PDT ] " POST /ssl-vpn/getconfig.esp HTTP /1.1" 200 1809
42.11.45.1 - - [Sun Sep 15 11:07:31 2019 PDT ] " POST /ssl-vpn/hipreportcheck.esp HTTP /1.1" 200 561
127.0.0.1 - - [Sun Sep 15 11:08:06 2019 PDT ] " GET /robots.txt HTTP /1.1" 200 250

admin@ PA- VM2(active)> show global-protect-gateway flow
total GlobalProtect -Gateway tunnel shown:                     2
id    name                  local-i/f         local-ip                      tunnel-i/f
--    ----                  ---------         --------                      ----------
3     panlab_Gateway- N ethernet1/4       42.11.45.1                    tunnel.2

admin@ PA- VM2(active)> show global-protect-gateway flow name panlab_Gateway
2019-09-15 11:18:38
id : 3
tipo: GlobalProtect -Gateway
ip local: interfaz interna 42.11.45.1:
interfaz exterior tunnel.2: ethernet1/4
ssl cert: GPPortalGatewayCert
usuarios activos: 1
encapsulación remote-ip asignada MTU ----------------------------------------------------------------------------------------------------------------------

192.168.1.50 42.11.45.10 1420 IPSec SPI 4311646B (contexto 619)

admin@ PA- VM2 (activo)> mostrar global-túnel de flujo de puerta de enlace de red-id 3
panlab_Gateway- N
id: 3
tipo: GlobalProtect -Gateway ip
local: 42.11.45.1
interfaz interna: interfaz exterior tunnel.2: ethernet1/4
ssl cert: GPPortalGatewayCert
usuarios activos: 1 1
encapsulación ip remota asignada ---------------------------------------------------------------------------------------------------------------------- MTU

192.168.1.50 42.11.45.10 1420 IPSec SPI 4311646B (contexto 619)                                                                                                                                      

 

Additional Information


Para configurar GlobalProtect VPN con solo usar certificados autofirmados en el firewall (en lugar de tener un problema raíz interno/externo CA los certificados), se puede seguir el siguiente documento: Configuración básica con inicio de sesión de GlobalProtect usuario
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PMyGCAW&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language