Comment configurer à GlobalProtect VPN l’aide d’une racine externe CA

Comment configurer à GlobalProtect VPN l’aide d’une racine externe CA

102432
Created On 10/11/19 16:09 PM - Last Modified 03/26/21 17:49 PM


Symptom


Ce document décrit les étapes à configurer à GlobalProtect VPN l’aide d’une racine externe CA telle que Windows Server 2012 w / Certificate Services en cours AD d’exécution sur elle.

Si une autorité de certificat tiers est utilisée (comme GlobalSign, GoDaddy, DigiCert, Symantec, etc.), les mêmes étapes ci-dessous peuvent être suivies pour être GlobalProtect déployées, mais au lieu de chaque étape Windows Server ci-dessous (comme à l’étape 2 et à l’étape 4), utilisez plutôt le fournisseur de certificat tiers pour chacune de ces étapes.

Environment


  • Panorama
  • 10.50.1.50
  • Firewall
  • Interface de gestion: 10.50.1.10
  • Interface de confiance: 42.11.45.1/24
  • DMZ interface: 172.16.45.1/24
  • Serveur Web DMZ (derrière): 172.16.45.50
  • Windows Server 2012
  • 172.16.45.50
  • Windows 7 PC
  • 192.168.45.10
 
  • Vérifiez que windows server 2012 a installé et exécutant active directory avec des groupes et des utilisateurs créés sur elle.
  • Configurer/vérifier qui DNS fonctionne pleinement entre les adresses et les systèmes suivants IP (avant et arrière) (c.-à-d. assurez-vous que le nslookup fonctionne) :
  • Windows 7 PC
  • Serveur Windows 2012
  • PAN Firewall
  • (c.-à-d. Windows 7 PC doit être en mesure de nslookup l’adresse d’interface extérieure de la et résoudre à la de IP PAN firewall FQDN firewall l’dans un navigateur)

Resolution


  1. Installer des services de certificat sur Windows Server 2012 (c’est-à-dire faire de Windows Server 2012 la CA racine)
  2. Exporter le certificat CA root à partir de la racine Windows Server 2012 CA
  3. Installer le certificat CA root sur les PC Windows/Mac des employés
  4. Importer root CA certificate en , générer sur , obtenir signé par Windows Server firewall CSR firewall CSR 2012 Root CA , puis installer ce certificat signé sur le firewall
  5. Configurer GlobalProtect sur la règle de sécurité et Firewall Policy configurer pour permettre le trafic de VPN l’extérieur à l’intérieur /DMZ
  6. Télécharger /Activer GlobalProtect des images logicielles client qui Firewall serviront à l’employé Windows / Mac PC
  7. Téléchargez, installez et connectez-vous au firewall logiciel client utilisant sur les PC GlobalProtect VPN Windows/Mac des employés
  8. Dépannage/vérification/débogage

Installer des services de certificat sur Windows Server 2012 (c’est-à-dire faire de Windows Server 2012 la CA racine)
  1. Open Server Manager > cliquez sur Ajouter des rôles et des fonctionnalités
ajouter des rôles et des fonctionnalités
  1. Cliquez sur Fonction des rôle et cliquez sur Suivant
installation basée sur des fonctions ou des fonctionnalités
  1. Sélectionnez le serveur Windows et cliquez sur Suivant
ajouter des rôles et des fonctionnalités assistant sélectionnez serveur de destination
  1. Sélectionnez Active Directory Certificate Services et cliquez sur Suivant
ajouter des rôles et des fonctionnalités wizard server rôles
  1. Cliquez ensuite deux fois
ajouter des rôles et des fonctionnalités sélectionnez des fonctionnalités
  1. Sélectionnez Certification Authority Web Enrollment et cliquez deux fois sur Suivant
ajouter des rôles et des fonctionnalités sélectionnez les services de rôle ad cs
  1. Cliquez ensuite
ajouter des rôles et des fonctionnalités sélectionnez le rôle du serveur Web
  1. Vérifiez le redémarrage automatique du serveur de destination si nécessaire case à cocher et cliquez sur Installer
Attendez que la barre de chargement se termine - Windows Server 2012 ne redémarrera pas.
Attention: cela va provoquer le Windows Server 2012 à redémarrer (pas encore, mais il pourrait plus tard dans une prochaine étape dans ce document)
 
ajouter des rôles et des fonctionnalités pour confirmer les sélections d’installations
  1. Une fois la barre de chargement terminée ci-dessus, cliquez sur Configurer les services de certificat d’annuaire actif sur le serveur de destination
ajouter des rôles et des fonctionnalités progrès d’installation
  1. Cliquez ensuite
informations d’identification de configuration des cœurs d’annonce
  1. Vérifiez l’inscription web de l’Autorité de certification et de l’Autorité de certification et cliquez deux fois sur Suivant
services de rôle de configuration ad cs
  1. Sélectionnez Racine CA et cliquez sur Suivant
ad cs configuration ca type
  1. Sélectionnez Créer une nouvelle clé privée et cliquez sur Suivant
clé privée de configuration ad cs
  1. Sélectionnez SHA256 comme algorithme de hachage que cette racine Windows Server 2012 CA utilisera pour signer des certificats (la plupart des navigateurs modernes afficheront des avertissements pour tout ce qui se passe en dessous de SHA256) - cliquez sur Suivant
cryptographie de clé privée de configuration de cs d’annonce
  1. Enregistrez ces informations sur un bloc-notes - cliquez ensuite jusqu’à l’étape suivante (écran de confirmation)
ad cs configuration private key ca name
  1. Cliquez sur Configurer
confirmation de configuration ad cs
  1. Lancez un navigateur Web et passez à http://172.16.45.50/certsrv - tapez les informations d’identification de l’administrateur pour Windows Server 2012
signe de serveur windows dans la fenêtre
  1. Maintenant, le Serveur Windows 2012 est une racine CA . Maintenant, il peut signer les RSE qui lui sont soumis - Windows Server 2012 prendra le CSR et rendre un certificat signé en retour (c’est-à-dire que le certificat sera signé par Windows Server 2012 qui est la racine CA )
microsoft ad directory certificate services bienvenue


Exporter la racine CA Certificat de la racine Windows Server 2012 Dans CA
cette section, nous utiliserons Microsoft Windows Server 2012 comme racine CA pour les certificats. Le Client PC fera confiance à cette Root pour se connecter en toute sécurité à CA firewall l’via le GlobalProtect VPN logiciel client. Cela permettra de s’assurer que les utilisateurs finaux peuvent se connecter en toute sécurité firewall à l’Internet et accéder aux ressources internes de la maison. Leur client PC fera confiance à la connexion dans son navigateur et dans le logiciel GlobalProtect VPN client.
  1. Cliquez sur Télécharger un CA certificat, une chaîne de certificats ou CRL
microsoft ad directory certificate services bienvenue télécharger une chaîne de certificat ca ou crl mis en évidence
  1. Cliquez sur Certificat de CA téléchargement
les services de certificat d’annuaire d’annonce microsoft téléchargent un certificat ca
  1. Renommez-le en RootCACert
renommer en rootcacert


Installer le certificat CA root sur les PC Windows/Mac des employés
  1. Mettez le fichier RootCACert sur le client Windows 7 PC et double-cliquez pour installer le certificat :
rootcacert (rootcacert)
Note: Si vous vous GlobalProtect VPN déployez dans une grande entreprise ou si vous le déployez GlobalProtect sur de nombreux employés/utilisateurs, le certificat Root peut être poussé vers les PC des employés en utilisant Windows Server PC CA 2012 Group Policy via cette méthode au lieu de l’installer sur chacun individuellement comme nous le faisons PC ci-dessous :
 
certificat d’installation d’information de certificat
  1. Cliquez ensuite
certificat d’importation assistant bienvenue
  1. Sélectionnez Placez tous les certificats dans le magasin suivant - cliquez sur Parcourir et sélectionnez le dossier Trusted Root Certification Authorities - cliquez sur Ok et Suivant et cliquez sur Terminer
certificat d’importation assistant confiance autorités de certification racine
 
certificat importation assistant importation a été un succès
Note: Si un certificat CA intermédiaire est également utilisé/nécessaire, le même processus ci-dessus peut être effectué pour l’importer dans PC le dossier « Autorités intermédiaires de certification » à la place.


Importer le CA certificat root sur , générer sur , obtenir signé par Windows Server Root , firewall puis installer ce certificat signé sur CSR firewall CSR CA le firewall
  1. Rendez-vous http://172.16.45.50/certsrv et cliquez sur Télécharger un CA certificat, une chaîne de certificats ouCRL
microsoft ad directory certificate services bienvenue télécharger une chaîne de certificat ca certificat ou crl mis en évidence 2
  1. Sélectionnez Base 64 > cliquez sur Certificatde CA téléchargement 
les services de certificat d’annuaire d’annonce microsoft téléchargent une base de certificat ca 64
  1. Renommez-le en RootCACertFW
renommer rootcacertfw
  1. Allez à Panorama ou le et allez à Firewall l’appareil > certificat de gestion > certificats > cliquez sur Importation
  2. Tapez un nom de certificat pour le certificat CA racine
  3. Sélectionnez le certificat RootCACertFW que nous venons de télécharger
  4. Sélectionnez le format de fichier comme certificat codé Base64 ( PEM )
  5. Cliquez sur Ok
certificat d’importation à panorama
 
panorama dispositif certifié

Note: Si vous avez un certificat racine CA intermédiaire, importez-le ici maintenant en vertu du certificat CA root

  1. Allez à Panorama ou le et allez à Firewall l’appareil > certificat de gestion > certificats et cliquez sur Générer
  2. Tapez le nom du certificat pour le certificat comme GPPortalGatewayCert (ce domaine sera important plus tard - rappelez-vous le nom du certificat)
  3. Tapez le nom commun comme l’adresse extérieure de la (ou quel que soit le nom qui adresse IP firewall DNS IP nslookup à si sur Internet)
  4. Sélectionnez l’option Signée par option comme « Autorité externe » CSR
  5. Cliquez sur Ajouter pour ajouter un champ ( ) au certificat - ce / champ doit correspondre à la SAN IP IP SAN firewall « s et FQDN doit être resoluble par PC l’employé afin de se connecter au firewall portail et la passerelle via le GlobalProtect VPN client
  6. Cliquez sur Générer
panorama générer un certificat
 
Avertissement: La plupart des navigateurs modernes ainsi que le firewall lui-même exigent que le champ de certificat Global Protect Server doit correspondre à la de firewall SAN FQDN l’afin de se firewall connecter avec succès via et pour les utilisateurs VPN finaux de naviguer vers le portail dans GlobalProtect leur navigateur avec succès. Si le SAN champ existe à tous avec au moins une entrée dans le certificat / , alors CSR FQDN l’être utilisé pour portail / passerelle pour cela firewall doit toujours être présent dans cette SAN liste. Le FQDN de firewall l’on peut trouver ici:
 
panorama firewall Fqdn
 
FQDN: fw1.panlab.com
panorama générer la confirmation du certificat et de la paire clé
  1. Sélectionnez la case à cocher pour CSR le certificat d’exportation et cliquez - le certificat sera téléchargé sur le PC
panorama certificat d’appareil csr export
 
Il sera nommé cert_GPPortalGatewayCert.csr
panorama nom csr
  1. Lancez un navigateur Web et allez à http://172.16.45.50/certsrv
  2. Cliquez sur Demander un certificat
les services de certificat d’annuaire d’annonce microsoft demandent un certificat
  1. Cliquez sur Demande de certificat avancé
les services de certificat d’annuaire d’annonce microsoft demandent une demande de certificat avancé de certificat
  1. Ouvrez cert_GPPortalGatewayCert.csr à l’aide de Bloc-notes - copier et coller le contenu dans le champ comme ci-dessous:
  2. Sélectionnez Certificate Template Web Server
  3. Cliquez sur Soumettre
microsoft ad directory cert services soumettre une demande de cert ou de renouvellement
  1. Sélectionnez Base 64 codée
  2. Cliquez sur Certificat de téléchargement
certificat de certificat d’annuaire d’annonce microsoft délivré et base de certificat de téléchargement 64

Cela va télécharger le certificat maintenant signé dans le navigateur - le renommer à GPPortalGatewayCert
 
certificat de téléchargement

Note: Lors de l’importation de cert signé, il doit avoir exactement le même nom que CSR le(champ nom de certificat) que nous avons généré dans Firewall le Web UI ci-dessus, c’est-à-dire qu’il doit être nommé GPPortalGatewayCert
  1. Ouvrez Panorama à nouveau et allez à Device > Certificate Management > Certificates > case à cocher l’existant CSR et cliquez sur Importation 
  2. Tapez le nom du certificat
  3. Cliquez sur Parcourir et sélectionnez GPPortalGatewayCert.cer
  4. Sélectionnez le format de fichier comme certificat codé Base64 ( PEM )
  5. Cliquez sur Ok
panorama certificat d’importation

À ce stade, le firewall a un root certificate CA RootCACertFW, et firewall le dispose Firewall d’un certificat serveur GPPortalGatewayCert qui est signé par ce certificat CA racine.
 
Ce Firewall certificat serveur est le certificat qui sera présenté aux PC clients lorsqu’ils se connecteront à l’via firewall GlobalProtect . Les PC clients feront confiance à ce certificat parce que le client fait PC également confiance à cette racine en raison de l’étape que nous avons fait plus tôt dans ce CA document où nous avons installé le certificat racine CA sur le client Windows 7 Configurer sur la règle de sécurité et PC

panorama importation de certificat réussie énumérée ci-dessous le cert racine


GlobalProtect Firewall configurer Policy pour permettre le trafic VPN de l’extérieur à l’intérieur /DMZ
  1. Rendez-vous sur Device > Certificate Management > / Profil SSLde TLS service et créez SSLun / Profil de TLS service faisant référence au Firewall certificat serveur signé GPPortalGatewayCert, que nous avons signé et importé dans l’étape ci-dessus:
configurer le certificat globalprotect pour le firewall
  1. Aller à Device > Server Profiles > > cliquez sur LDAP Ajouter
  2. Tapez un nom de profil
  3. Sous liste de > cliquez sur Ajouter et taper IP l’adresse du Répertoire Actif Windows LDAP (serveur) et du port 389 pour LDAP
  4. Cliquez sur Ok
configurer le profil du serveur ldap
  1. Accédez au profil d’authentification >'> pour cliquer sur Ajouter 
  2. Tapez un nom
  3. Sélectionnez Type LDAP
  4. Sélectionnez Profil serveur créé ci-dessus panlabDCldapserverprof
  5. Type Login Attribut comme sAMAccountName
configurer l’onglet d’authentification du profil d’authentification ldap
  1. Cliquez sur onglet avancé > cliquez sur Ajouter et ajouter « tous » ou sélectionnez certains groupes si cela doit restreindre GlobalProtect VPN l’accès à certains / groupes AD LDAP seulement
configurer ldap profil d’authentification onglet avancé
  1. Créez une interface tunnel à utiliser et GlobalProtect VPN donnez-lui un numéro de tunnel
  2. Sélectionnez le routeur virtuel
  3. Sélectionnez une zone de sécurité - il est recommandé de créer une zone de sécurité distincte pour le trafic car elle donne plus de flexibilité dans la création de sécurité pour le VPN Policy VPN trafic
  4. Cliquez sur Ok
créer une interface tunnel
(aucune IP adresse nécessaire pour cette interface tunnel.2)
  1. Aller à Network > GlobalProtect > Portals > cliquez sur Ajouter > onglet Général
  2. Sélectionnez IP l’interface et l’adresse qui doivent GlobalProtect être le portail auquel le Client se PC connectera
globalprotect onglet général de configuration du portail
  1. De l’onglet Authentification
  2. Sélectionnez le SSL/ Profil de service TLS créé ci-dessus
  3. Cliquez sur Ajouter sous l’authentification client
  4. Tapez un nom
  5. Sélectionnez le profil d’authentification que nous avons fait ci-dessus
  6. Sélectionnez Oui (Certificat client des informations OR d’identification utilisateur requis)
  7. Cliquez sur Ok
globalprotect onglet d’authentification de configuration du portail
 
globalprotect authentification de l’authentification de la configuration du portail
  1. De l’onglet Agent
  2. Cliquez sur Ajouter sous Agent
  3. Sous l’onglet Authentification tapez un nom
globalprotect authentification de l’onglet agent de configuration du portail
  1. Sous l’onglet Passerelles externes cliquez sur Ajouter
  2. Tapez un nom
  3. Entrez FQDN le de ce qui a été mis dans le domaine du certificat / Nom de Firewall SANl’hôte plus tôt dans ce document (dans GPPortalGatewayCert)
globalprotect passerelle externe d’onglet d’agent de configuration de portail
  1. Sous l’onglet App, sélectionnez Connect Method drop-down et sélectionnez On-demand (Connexion manuelle initiée par l’utilisateur)
globalprotect méthode de connexion d’onglet d’onglet d’agent de configuration de portail
  1. Cliquez sur Ok
  2. Cliquez sur Ajouter pour ajouter RootCACertFW (importé dans le plus tôt dans ce Firewall document) à la liste des CA racine de confiance pour le GlobalProtect portail
globalprotect onglet agent de configuration de portail ajouter root ca à la liste des ca racine de confiance pour le globalprotect portail

Note: Si vous avez un certificat CA intermédiaire, ajoutez-le ici en dessous du certificat CA root
  1. Cliquez sur Ok
  2. À partir de Configure GlobalProtect Gateway
  3. Tapez un nom
globalprotect configuration du portail onglet général 2
  1. Sélectionnez un SSL/ TLS Profil de service
  2. Sous Authentification client, cliquez sur Ajouter
globalprotect onglet d’authentification de configuration du portail
  1. Tapez un nom
  2. Sélectionnez le profil d’authentification créé plus tôt dans l’étape ci-dessus
  3. Sélectionnez Oui (Certificat client des informations OR d’identification utilisateur requis)
globalprotect authentification de l’authentification de la configuration du portail
  1. Cliquez sur Ok
  2. Sélectionnez l’interface tunnel créée pour cette GlobalProtect configuration plus tôt dans ce document
  3. Sélectionnez la case à cocher 'Enable IPSec' - GlobalProtect si elle ne se Firewall connecte pas à l’IPSec sur, elle SSL
globalprotect paramètres du tunnel d’authentification de l’onglet d’authentification du client de configuration du portail
  1. Sous l’onglet Paramètres clients cliquez sur Ajouter
59- configuration portail globalprotect authentification onglet authentification client paramètres client
  1. Tapez un nom
globalprotect portail configuration authentification onglet authentification client paramètres clients config critères de sélection
  1. Tapez un pool IP d’adresses qui seront les adresses que le Client recevra en IP GlobalProtect tant PC IP qu’adresse sur son GlobalProtect VPN adaptateur lorsqu’il se PC connecte via GlobalProtect VPN l’agent
globalprotect configuration portail authentification onglet authentification client paramètres clients ip pools
Note: Assurez-vous que ce pool IP d’adresses ne se chevauche pas/n’est déjà utilisé nulle part dans le réseau existant de l’organisation ou de l’entreprise.
  1. Cliquez sur Ok

Télécharger /Activer GlobalProtect des images logicielles client qui Firewall serviront à l’employé Windows / Mac PC
  1. Allez sur Panorama / Web et allez à Firewall UI Panorama l’onglet > déploiement de l'> cliquez sur GlobalProtect Client
  2. Cliquez sur Télécharger et cliquez activer sur n’importe quelle version du logiciel que les GlobalProtect utilisateurs finaux utiliseront. Ce sera également la version que le Firewall donne au client PC s’ils vont à la page portail de la Firewall et télécharger pour une GlobalProtect utilisation.
panorama télécharger des globalprotect images logicielles client
 
panorama activer les globalprotect images logicielles des clients
 
Exemple: Lorsque l’utilisateur final clique télécharger Windows 64 GlobalProtect bit agent, ils vont maintenant télécharger GlobalProtect l’installateur 5.0.4, qui installera la version 5.0.4 GlobalProtect du logiciel sur leur PC client:
 
globalprotect portail obtenir page logicielle

Une fois activé est cliqué, l’utilisateur final peut alors aller https://fw1.panlab.com dans leur navigateur et télécharger la version dont a été actuellement activé, ou si elles ont déjà installé, et ils essaient de se connecter via , le logiciel sur leur volonté les inciter à mettre à niveau leur version à celui que GlobalProtect GlobalProtect GlobalProtect VPN GlobalProtect PC firewall l’offre / a activé.


Téléchargez, installez et connectez-vous au firewall logiciel client utilisant sur les PC GlobalProtect VPN Windows/Mac des employés
  1. Que l’utilisateur final aille au https://fw1.panlab.com et se connecte à l’aide de ses informations d’identification
Note: Rappelez-vous, GlobalProtect le logiciel pourrait être poussé vers chacun afin que les utilisateurs PC finaux peuvent sauter cette étape et juste ouvrir GlobalProtect sur leur ordinateur portable et Connect
 
globalprotect page de connexion du portail
  1. L’utilisateur final verra un écran comme celui-ci où ils peuvent choisir GlobalProtect quel logiciel ils aimeraient télécharger et installer:
globalprotect portail obtenir la page logicielle 2
  1. Cliquez sur Connect
globalprotect Connecter
  1. Que l’utilisateur final tape ses informations d’identification et clique sur Connexion
globalprotect ouverture de session
  1. Le Client est PC désormais connecté avec succès au réseau d’entreprise via GlobalProtect VPN :
globalprotect confirmation connectée
  1. Le client PC est connecté via GlobalProtect VPN firewall internet, et le Client peut atteindre PC un serveur Web derrière DMZ l’interface / zone de la firewall avec succès maintenant qu’il VPN est 'd:
globalprotect vérification cli connectée

Dépannage/vérification/débogage
Du client PC
  1. Assurez-vous que l’utilisateur PC final peut atteindre firewall l’interface extérieure par son FQDN - et qu’il se résout à la bonne IP adresse
dépannage fqdn et se résout à l’adresse IP correcte
  1. Ouvrez GlobalProtect sur le client > cliquez sur PC l’icône trois barres en haut à droite > cliquez sur GlobalProtect Paramètres
dépannage sur globalprotect l’onglet général pc client
 
dépannage sur globalprotect l’onglet connexion PC client
 
dépannage sur globalprotect l’onglet profil de l’hôte pc client

De GlobalProtect l’agent
  1. Passez à l’onglet Paramètres > dépannage > collecter les journaux > les dézip et ouvrez > PanGPA.log
  2. Journaux du nouveau logiciel GlobalProtect 5.0.4 téléchargement et installation :
(T1216) 09/16/19 13:26:17:197 Debug( 642): PanClient sent successful with 3088 bytes
(T3192) 09/16/19 13:26:20:519 Debug(  93): Received data from Pan Service
(T3192) 09/16/19 13:26:20:519 Debug( 332): ### Download parameters ###: m_dwLatestDownlaod=1568658367, m_bDownloadStarted=0, bCheckTunnelOK=1, m_bOnDemandRead=0, bUsingCachedPortal=0, lastfaileddownload=0, m_nUpgradeMethod=2
(T3192) 09/16/19 13:26:20:519 Debug( 430): CPanClient::startUpgradeProcess, the download package is h
(T3192) 09/16/19 13:26:20:519 Debug(  25): create thread 0x1d0 with thread ID 2844
(T3192) 09/16/19 13:26:20:519 Info (1238): CSessionPage::URMMsiDownload - update dialog thread started

(T2844) 09/16/19 13:28:30:639 Info (1137): CPanDownloadProgress::OnInitDialog - downloadproc thread started
(T1480) 09/16/19 13:28:30:795 Info (1040): Download started.
(T1480) 16/09/19 13:28:30:826 Debug( 433): winhttp SetSecureProtocol, hSession=02f07aa0, bAllProtocol=0, gbFips=0
(T1480) 09/16/19 13:28:30:826 Debug( 433): winhttp SetSecureProtocol, hSession=02f08360, bAllProtocol=0, gbFips=0
(T1480) 09/16/19 13:28:39:484 Info ( 154): DownloadURLToFile: HTTP 2 OK
(T1480) 16/09/19 13:28:39:484 Debug( 369): Durée du contenu: 32768000
(T3192) 09/16/19 13 :28:40:311 Debug( 977): Recevez un message inactif.
(T3192) 16/09/19 13:28:42:433 Debug( 977): Recevez un message inactif.
(T1480) 16/09/19 13:28:42:464 Info (1087): Téléchargement terminé. temps total = 12 (sec).
(T1480) 16/09/19 13:28:42:464 Info (1089): Mise à jour commencée: de la version 5.0.3-29 à la version 5.0.4-16.
(T1216) 16/09/19 13:28:52:495 Debug( 563): Envoyer le commandement au Service pan
(T1216) 16/09/19 13:28:52:495 Debug( 590): Commande = <request> <type>mise à niveau</type>logicielle<command-line> C :\Users\jsmith\AppData\Local\Temp\_temp3120.msi</command-line></request>
(T1216) 09/16/19 13:28:52:495 Debug( 642): PanClient envoyé avec succès avec 144 octets 

 
De la Firewall
  1. Aller à Monitor > Journaux > journaux système
dépannage globalprotect sur firewall

admin@ PA- VM2(active)> afficher le nom de passerelle global-protect-gateway panlab_Gateway
GlobalProtect Gateway: panlab_Gateway (1 utilisateurs)
Tunnel Type : tunnel utilisateur distant Tunnel Nom :
panlab_Gateway- : N
VSYS vsys1 (id 1)
Tunnel : ID 3 Interface tunnel :
tunnel.2
Tunnel IPv6 Activé :
pas d’interface Encap : ethernet1/4
vr-id : 0
Héritage de : Adresse locale
(IPv4) : 42.11.45.1
SSL Port serveur : 443
IPSec Encap : oui
Tunnel Negotiation : ssl
HTTP Redirect : no Port
UDP : 4501
Max Users : 0 Exclusion Video Traffic :
no
Gateway-Level IP Pool Ranges:
Gateway-Level IP Pool index: 0
Gateway-Level IPv6 Pool Ranges:
Gateway-Level IPv6 Pool index: 0
nom config : panlab_GWClientSettings Users Groups :
any;
OS                         : n’importe quel;
IP Gammes de piscine : 192.168.1.50 - 192.168.1.250 (192.168.1.51);
IP Indice de pool : 0
gammes de piscine iPv6 :
indice de pool IPv6 : 0
Pas d’accès direct au réseau local : pas
d’adresse encadrée de récupération : IP pas de plages de pool serveur
IP Auth : Plages de pool
IPv6 d’Auth Server :
Itinéraires d’accès : 0,0,0/0
Exclure les itinéraires d’accès :
DNS Serveurs :
DNS Suffixe : Serveurs :
DNS Serveurs :
WINS Server
SSL Cert : GPPortalGatewayCert Client
Auth Authentication : Auth Name : panlab_GwClientAuth
Auth : Any OS
Auth Profile : panlabLDAP_authprof Allow
User Credentials OR Client Cert: yes
Client Cert Profile : Lifetime :
2592000 seconds
Idle Timeout : 10800 secondes
Disconnect On Idle : 10800 secondes
Disallow Automatic Restoration: no
Source Check : no Encryption : IP
aes-128-cbc
Authentification : sha1

admin@ PA- VM2 (active)> show global-protect-gateway current-user gateway panlab_Gateway
admin@ PA- VM2 (active). > afficher global-protect-gateway utilisateur courant jsmith
2019-09-15 11:15:49
GlobalProtect Passerelle: panlab_Gateway (1 utilisateurs)
Nom du tunnel : panlab_Gateway- Nom N
d’utilisateur de domaine : \jsmith
Computer : COMP- WIN7-2
Nom d’utilisateur principal           : jsmith
Region for Config          : KR
Source Region              : KR
Client                     : Microsoft Windows 7 Enterprise Edition Service Pack 1, 64-bit
VPN Type                   : Device Level VPN
Mobile ID :
Client OS : Windows
Private IP : 192.168.1.50
Private IPv6               : ::
Public IP (connected)      : 42.11.45.10
Public IPv6                : ::
Client IP : 42.11.45.10
ESP : exist
SSL : none
Login Time                 : Sep.15 11:07:18
Logout/Expiration          : Oct.15 11:07:18
TTL : 2591489
Inactivity TTL : 10302
Request - Login            : 2019-09-15 11:07:18.254 (1568570838254), 42.11.45.10
Request - GetConfig        : 2019-09-15 11:07:18.396 (1568570838396), 42.11.45.10
Request - SSLVPNCONNECT :  (0), ::

admin@ PA- VM2(active)> less mp-log rasmgr.log
2019-09-15 11:07:18.208 -0700 req->portal address 0x7fffdc096250
2019-09-15 11:07:18.251 -0700 192.168.1.50 is framed ip? no
2019-09-15 11:07:18.251 -0700 retrieve-framed-ip-address(no);  is-preferred-ip-a-framed-ip(no); récupérer-encadré-ip-adresse-v6(no);  is-preferred-ip-a-framed-ipv6(no);
2019-09-15 11:07:18.252 -0700 req->portal address 0x7fffd8064ca0
2019-09-15 11:07:18.254 -0700 new cookie:  ******
2019-09-15 11:07:18.254 -0700 rasmgr_sslvpn_client_register space panlab_Gateway- N domain  user jsmith computer COMP- WIN7-2 result 0
2019-09-15 11:07:18.396 -0700 client existing address 42.11.45.10/24; preferred ip 192.168.1.50; address-v6 2002::/16,1234:1234:2d0a::1234:1234/128; preferred ipv6 None; client exclude video support yes; gw license no
2019-09-15 11:07:18.397 -0700 Adding info in usr info to haremoteusr info for:jsmith
2019-09-15 11:07:18.397 -0700 Installing GW Tunnel, indicate to keymgr... exclude_video_traffic_enable=0 [0 0]
2019-09-15 11:07:31.066 -0700 Adding info in usr info to haremoteusr info for:jsmith

admin@ PA- VM2(active)> less appweb-log sslvpn-access.log
42.11.45.1 - - [Sun Sep 15 11:07:18 2019 PDT ] " POST /ssl-vpn/prelogin.esp?kerberos-support=yes&tmp=tmp&clientVer=4100&host-id=433474f9-7a92-4f6f-9990-43731e8697fe&clientos=Windows&os-version=Microsoft+Windows+7+Enterprise+Edition+Service+Pack+1%2c+64-bit&ipv6-support=yes HTTP /1.1" 200 968
42.11.45.1 - - [Sun Sep 15 11:07:18 2019 PDT ] " POST /ssl-vpn/login.esp HTTP /1.1" 200 2840
42.11.45.1 - - [Sun Sep 15 11:07:18 2019 PDT ] " POST /ssl-vpn/getconfig.esp HTTP /1.1" 200 1809
42.11.45.1 - - [Sun Sep 15 11:07:31 2019 PDT ] " POST /ssl-vpn/hipreportcheck.esp HTTP /1.1" 200 561
127.0.0.1 - - [Sun Sep 15 11:08:06 2019 PDT ] " GET /robots.txt HTTP /1.1" 200 250

admin@ PA- VM2(active)> show global-protect-gateway flow
total GlobalProtect -Gateway tunnel shown:                     2
id    name                  local-i/f         local-ip                      tunnel-i/f
--    ----                  ---------         --------                      ----------
3     panlab_Gateway- N ethernet1/4       42.11.45.1                    tunnel.2

admin@ PA- VM2(active)> show global-protect-gateway flow name panlab_Gateway
2019-09-15 11:18:38
id : 3
type: GlobalProtect -Passerelle
ip locale: 42.11.45.1
interface intérieure: tunnel.2 interface externe: ethernet1/4
ssl cert: GPPortalGatewayCert
utilisateurs actifs: 1
assigned-ip remote-ip MTU encapsulation
----------------------------------------------------------------------------------------------------------------------
192.168.1.50 42.11.45.10 1420 IPSec SPI 4311646B (contexte 619)

admin@ PA- VM2 (actif)> montrent global--protect-gateway flow tunnel-id 3
tunnel panlab_Gateway- N
id: 3
type: GlobalProtect -Gateway local
ip: 42.11.45.1
interface intérieure: tunnel.2 interface extérieure: ethernet1/4
ssl cert: GPPortalGatewayCert
utilisateurs actifs: 1
assignation ip remote-ip MTU encapsulation
----------------------------------------------------------------------------------------------------------------------
192.168.1.50 42.11.45.10 1420 IPSec SPI 4311646B (contexte 619)                                                                                                                                      

 

Additional Information


Pour configurer GlobalProtect VPN simplement en utilisant des certificats auto-signés firewall sur le (au lieu d’avoir un problème racine interne / CA externe les certificats), le document ci-dessous peut être suivi: Configuration de base avec GlobalProtect l’utilisateur-logon
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PMyGCAW&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language