GlobalProtect VPN 外部ルートを使用して設定する方法 CA

GlobalProtect VPN 外部ルートを使用して設定する方法 CA

102380
Created On 10/11/19 16:09 PM - Last Modified 03/26/21 17:49 PM


Symptom


このドキュメントでは GlobalProtect VPN 、Windows Server 2012 などの外部ルートを使用して構成する手順について説明 CA AD します。

サードパーティの認証局 (GlobalSign、GoDaddy、DigiCert、シマンテックなど) が使用されている場合は、以下の手順と同じ手順で展開できますが GlobalProtect 、以下の Windows Server の各手順 (手順 2 および手順 4 など) の代わりに、これらの手順ごとにサードパーティ証明書ベンダーを使用します。

Environment


  • Panorama
  • 10.50.1.50
  • Firewall
  • 管理インターフェイス: 10.50.1.10
  • 信頼されていないインターフェイス: 42.11.45.1/24
  • DMZ インターフェイス: 172.16.45.1/24
  • Web サーバー (背後 DMZ ): 172.16.45.50
  • Windows Server 2012
  • 172.16.45.50
  • Windows 7 PC
  • 192.168.45.10
 
  • Windows Server 2012 に Active Directory がインストールされ、グループとユーザーが作成されて実行されていることを確認します。
  • DNS次の IP アドレスとシステム(順方向と逆方向)の間で完全に動作していることを設定/検証します(つまり、nslookupが機能することを確認してください)。
  • Windows 7 PC
  • ウィンドウズ サーバー 2012
  • PAN Firewall
  • (つまり、Windows 7 PC は、ブラウザーの Outside インターフェイス アドレスを nslookup し、 の を解決できる必要があります IP PAN firewall FQDN firewall )

Resolution


  1. 証明書サービスを Windows Server 2012 にインストールする (つまり、Windows Server 2012 をルート CA にする)
  2. CAWindows サーバー 2012 ルートからルート証明書をエクスポートします。 CA
  3. 従業員の CA Windows/Mac PC にルート証明書をインストールする
  4. にルート CA 証明書 firewall をインポート CSR firewall し、 で生成 CSR し、Windows Server 2012 ルートで署名 CA を取得し、 firewall
  5. GlobalProtectで構成 Firewall し、 Policy VPN 外部から内部へのトラフィックを許可するようにセキュリティルールを構成する/DMZ
  6. GlobalProtect Firewall 従業員の Windows/Mac PC に提供されるクライアント ソフトウェア イメージをダウンロード/アクティブ化します。
  7. firewall GlobalProtect VPN 従業員の Windows/Mac PC でクライアント ソフトウェアをダウンロード、インストール、および接続する
  8. トラブルシューティング/検証/デバッグ

証明書サービスを Windows Server 2012 にインストールする (つまり、Windows Server 2012 をルート CA にする)
  1. [サーバー マネージャー]を開>[役割と機能の追加]をクリックします。
役割と機能を追加する
  1. [ロールベース] をクリックし、[次へ] をクリックします。
役割ベースまたは機能ベースのインストール
  1. Windowsサーバーを選択し、[次へ] をクリックします。
役割と機能の追加ウィザードで、移行先サーバーを選択します
  1. [Active Directory 証明書サービス] を選択し、[次へ] をクリックします。
役割と機能ウィザード サーバーの役割の追加
  1. [次へ] を 2 回クリックします。
役割と機能の追加機能の選択
  1. [証明機関 Web 登録] を選択し、[次へ] を 2 回クリックします。
役割と機能を追加する [広告 CS ロール サービス] を選択する
  1. [次へ]をクリックします。
役割と機能を追加する Web サーバーの役割を選択
  1. [ 必要に応じて、対象サーバーを自動的に再起動 する] チェックボックスをオンにし、[インストール] をクリックします
読み込みバーが終了するのを待つ - Windows Server 2012 が再起動しません。
警告: Windows Server 2012 が再起動します (まだ、このドキュメントの次の手順で後で行われる可能性があります)
 
役割と機能を追加してインストールの選択を確認する
  1. 上記のロード バーが完了したら、[移動先サーバーで Active Directory 証明書サービスの構成] をクリックします。
役割と機能のインストールの進行状況を追加する
  1. [次へ]をクリックします。
ad cs 構成資格情報
  1. 証明機関証明機関の Web 登録を確認し、[次へ] を 2 回クリックします。
ad cs 構成の役割サービス
  1. ルートをCA選択し、[次へ]をクリックします。
ad cs 構成 ca タイプ
  1. [新しい秘密キーを作成する] を選択し、[次へ] をクリックします。
ad cs コンフィギュレーションの秘密キー
  1. この Windows Server 2012 ルートが証明書の署名に使用するハッシュ アルゴリズムとしてSHA256を選択します CA (最新のブラウザーでは、SHA256 以下の警告が表示されます) - [次へ] をクリックします
ad cs 構成の秘密キー暗号化
  1. メモ帳にこの情報を保存する - 次の手順まで [次へ ] をクリックします (確認画面)
ad cs コンフィギュレーションの秘密キー CA 名
  1. [構成]をクリックします。
ad cs の構成の確認
  1. Web ブラウザーを起動し 、http://172.16.45.50/certsrv に移動 - Windows Server 2012 の管理者資格情報を入力します。
ウィンドウサーバーサインインウィンドウ
  1. 今、Windowsサーバー2012はルートです CA . 今、それに提出されたCSRに署名することができます - Windows Server 2012は、署名 CSR された証明書を受け取り、その代わりに(つまり、証明書がルートであるWindows Server 2012によって署名されます CA )を返します)
マイクロソフト広告ディレクトリ証明書サービスを歓迎します


ルート CA のエクスポートWindows Server 2012 ルートからの証明書 CA
このセクションでは、証明書のルートとして Windows Server 2012 CA を使用します。 クライアント PC は、このルート CA を信頼して、 firewall クライアントソフトウェアを介して安全に接続 GlobalProtect VPN します。 これにより、エンド ユーザーがインターネット経由で安全に接続 firewall し、自宅から内部リソースにアクセスできるようになります。 クライアント PC は、ブラウザとクライアント ソフトウェアで接続を信頼 GlobalProtect VPN します。
  1. [ CA 証明書、証明書チェーンのダウンロード]、または [証明書チェーンのダウンロード]CRLをクリックします。
Microsoft 広告ディレクトリ証明書サービスは、CA 証明書チェーンまたは CRL が強調表示されたダウンロードを歓迎します。
  1. [ CA 証明書のダウンロード] をクリックします。
マイクロソフト広告ディレクトリ証明書サービスは、CA証明書をダウンロードします
  1. 名前をルート CACertに変更する
ルートカセルトに名前を変更


従業員の CA Windows/Mac PC にルート証明書をインストールする
  1. Windows 7 クライアントに RootCACert ファイルを配置 PC し、証明書をインストールするダブルクリックします。
ルートカセルト
注:GlobalProtect VPN 大企業に展開する場合や GlobalProtect 、多数の従業員/ユーザーに展開する場合 PC は、 CA Policy 次のように個別にインストールするのではなく、この方法で Windows Server 2012 グループを使用して従業員の PC にルート証明書をプッシュできます PC 。
 
証明書情報インストール証明書
  1. [次へ]をクリックします。
証明書のインポート ウィザードのようこそ
  1. [証明書をすべて次のストアに配置する] を選択し、[参照] をクリックして[信頼されたルート証明機関] フォルダ選択します。
証明書のインポート ウィザードの信頼されたルート証明機関
 
証明書のインポート ウィザードのインポートは成功しました
注: 中間 CA 証明書も使用/必要とされる場合は、上記と同じプロセスを実行して にインポート PC できますが、代わりに [中間証明機関] フォルダを選択します。


にルート CA 証明書をインポート firewall し CSR firewall 、 で生成し、 Windows Server CSR ルートで署名 CA を取得し、 firewall
  1. http://172.16.45.50/certsrvに移動し、[ CA 証明書、証明書チェーンのダウンロード]、または [証明書チェーンのダウンロードCRL] をクリックします。
Microsoft 広告ディレクトリ証明書サービスは、CA 証明書チェーンまたは CRL が強調表示されたダウンロードを歓迎します。
  1. [Base 64] を選択>[証明書のダウンロード] をクリックします  CA 。
Microsoft 広告ディレクトリ証明書サービスは CA 証明書ベース 64 をダウンロードします
  1. 名前を ルート CA サートフに変更します。
名前を rootcacertfw に変更する
  1. [ Panorama Firewall デバイス>証明書の管理] >証明書に移動し、[インポート] をクリック>
  2. ルート証明書の証明書名を入力します CA 。
  3. ダウンロードした ルート CA サートフの 証明書を選択します
  4. Base64 PEM エンコード証明書としてファイル形式を選択 ( )
  5. [OK] をクリックします。
証明書のインポート先 panorama
 
panorama デバイス証明書

注: 中間ルート証明書がある場合 CA は、ルート証明書の下に今すぐインポート CA します

  1. に移動 Panorama するか、[ Firewall デバイス > 証明書の管理 ] > 証明書 に移動し、[生成] をクリックします
  2. 証明書の 証明書名GPPortalGatewayCert として入力します (このフィールドは後で重要です - 証明書名を覚えておいてください)
  3. の外部アドレスとして 共通名 IP を入力します firewall (または DNS IP 、インターネット上の場合はアドレスの nslookup が参照する名前を任意に指定します)。
  4. [外部機関 ( ) ] として [署名] オプション を選択 CSR します。
  5. [ 追加 ] をクリックして SAN 証明書にフィールド ( ) を追加します - この IP / IP SAN フィールドは firewall 's と一致する必要 FQDN があり、 PC firewall GlobalProtect VPN クライアント経由でポータルとゲートウェイに接続するためには、従業員の 's と一致し、解決可能である必要があります
  6. [生成]をクリックします。
panorama 証明書を生成する
 
警告: ほとんどの最新のブラウザーと firewall それ自体は、エンド ユーザーがブラウザーでポータルに正常に移動するために、 firewall グローバル保護サーバー証明書フィールドが の SAN フィールドと一致する必要があります FQDN firewall VPN GlobalProtect 。 フィールドが SAN 証明書/ に少なくとも 1 つのエントリを持つ場合は CSR 、 FQDN このポータル/ゲートウェイに使用されているフィールド firewall が常にそのリストに存在する必要があります SAN 。 FQDNのは firewall 、ここで見つけることができます:
 
panorama firewall Fqdn
 
FQDN:fw1.panlab.com
panorama 証明書とキーのペアの確認を生成する
  1. のチェックボックスを選択 CSR し、[ 証明書のエクスポート ] をクリックします - 証明書が PC
panorama デバイス証明書 CSR エクスポート
 
それはcert_GPPortalGatewayCert.csr名前が付けられます
panorama csr 名
  1. Web ブラウザを起動して http://172.16.45.50/certsrv
  2. [証明書の要求]をクリックします。
Microsoft 広告ディレクトリ証明書サービスは証明書を要求します
  1. [証明書の要求の詳細設定] をクリックします。
Microsoft アド ディレクトリ証明書サービスは、証明書の高度な証明書要求を要求します。
  1. メモ帳cert_GPPortalGatewayCert.csr開く - コピーし、次のようなフィールドに内容を貼り付けます:
  2. 証明書テンプレートWeb サーバーの選択
  3. [送信]をクリックします。
Microsoft アド ディレクトリ証明書サービスが証明書要求または更新要求を送信します
  1. Base 64 エンコードを選択
  2. [証明書のダウンロード] をクリックします。
Microsoft 広告ディレクトリ証明書サービス証明書が発行され、証明書ベース 64 をダウンロード

これで、現在署名済みの証明書がブラウザにダウンロードされます - GPPortalGatewayCertに名前を変更します。
 
証明書をダウンロードする

注:この署名付き証明書をインポートする場合、上記の CSR Web で生成した (証明書名フィールド) とまったく同じ Firewall 名前を持つ UI 必要があります。
  1. Panoramaもう一度開いて、[デバイス>証明書の管理>証明書] チェックボックス>既存のチェックボックスを CSR オンにして、[インポート] をクリックします。 
  2. 証明書名を入力してください
  3. [参照] をクリックし 、[GP ポータルゲートウェイサート] を選択します.cer
  4. Base64 PEM エンコード証明書としてファイル形式を選択 ( )
  5. [OK] をクリックします。
panorama 証明書のインポート

この時点で、 firewall はルート CA 証明書 RootCACertFWを持ち、 firewall その Firewall ルート証明書によって署名されたサーバー証明書 GPPortalGatewayCert を持ちます CA 。
 
この Firewall サーバー証明書は、クライアント PC が 経由で 接続するときにクライアント PC に提示される証明書です firewall GlobalProtect 。 クライアント PC は、 PC CA このドキュメントで前述した手順でルート証明書をインストールした手順に従ってこのルートも信頼するため CA PC

panorama ルート証明書の下にリストされている証明書のインポートが成功しました


GlobalProtect Firewall 、 Policy VPN DMZクライアント PC はこの証明書を信頼します。
  1. デバイス>証明書管理SSL>/ TLS サービス プロファイルに移動し、署名されたサーバー証明書SSL TLS Firewall GPPortalGatewayCertを参照する / サービス プロファイルを作成します。
での証明書 globalprotect の構成 firewall
  1. [デバイス>サーバー プロファイル] >>[ LDAP 追加] をクリックします。
  2. プロファイル名を入力する
  3. [ サーバーの一覧 ] > [ 追加 ] をクリックし IP 、Windows Active Directory ( LDAP サーバー ) のアドレスとポート 389 を入力します。 LDAP
  4. [OK] をクリックします。
LDAP サーバ プロファイルの設定
  1. デバイス>認証プロファイルに移動>追加] をクリックします 
  2. 名前を入力 してください
  3. タイプのLDAP選択
  4. 作成されたサーバー プロファイル を選択します。
  5. sAM アカウント 名としてログイン属性 を入力します。
[LDAP 認証プロファイル認証] タブを設定する
  1. [ 詳細設定 ] タブをクリック>[ 追加 ] をクリックして [すべて ] を追加するか、 GlobalProtect VPN 特定のグループへのアクセスを特定のグループのみに制限する場合は、特定 AD のグループを選択 LDAP します。
LDAP 認証プロファイルの詳細設定タブを設定する
  1. 使用するトンネル インターフェイスを作成 GlobalProtect VPN し、トンネル番号を指定する
  2. 仮想ルータの選択
  3. セキュリティゾーンの選択 - VPN トラフィックのセキュリティを作成する際の柔軟性が高いため、トラフィック用に別のセキュリティ ゾーンを作成することをお勧めします Policy 。 VPN
  4. [OK] をクリックします。
トンネル インターフェイスを作成する
( IP このトンネルインターフェイスに必要なアドレスはありません)
  1. [ネットワーク GlobalProtect >>ポータル] に移動>、[全般追加] タブ>クリックします。
  2. IPクライアントが接続するポータルとなるインターフェイスとアドレス GlobalProtect を選択 PC します。
globalprotect ポータル構成の [全般] タブ
  1. [認証 ] タブから
  2. 上記で作成した SSL TLS サービス プロファイルを 選択します。
  3. [クライアント認証] の下の [追加 ] をクリックします。
  4. 名前を入力 してください
  5. 上記で作成した 認証プロファイル を選択します。
  6. [はい](ユーザー資格情報 OR クライアント証明書が必要) を選択します。
  7. [OK] をクリックします。
globalprotect ポータル構成認証タブ
 
globalprotect ポータル構成認証タブ クライアント認証
  1. [エージェント] タブから
  2. [エージェント] の下の [追加 ] をクリック します。
  3. [ 認証 ] タブに名前を入力します
globalprotect ポータル構成エージェント タブ認証
  1. [外部ゲートウェイ] タブで [追加] をクリックします
  2. 名前を入力 してください
  3. FQDN Firewall このドキュメントの前半の [/SANホスト名] フィールドに入力されたのを入力します(GPPortalGatewayCert)
globalprotect ポータル構成エージェント タブ外部ゲートウェイ
  1. [アプリケーション] タブで、[ 接続方法] ドロップダウンを選択し、[ オンデマンド (手動でユーザーが開始した接続)] を選択します。
globalprotect ポータル構成エージェント タブ アプリ タブの接続方法
  1. [OK] をクリックします。
  2. [追加] をクリックして、ポータルの信頼されたルート CA の一覧にRootCACertFW ( Firewall このドキュメントの前半にインポート) を追加します。 GlobalProtect
globalprotect ポータル構成エージェント タブは、ポータルの信頼されたルート CA のリストにルート CA を追加します globalprotect

注: 中間証明書がある場合 CA は、ルート証明書の下に追加 CA します。
  1. [OK] をクリックします。
  2. GlobalProtect ゲートウェイの構成から
  3. 名前を入力 してください
globalprotect ポータル構成の全般タブ 2
  1. /SSL TLS サービスプロファイルを選択
  2. [クライアント認証] で[追加]をクリックします
globalprotect ポータル構成認証タブ
  1. 名前を入力 してください
  2. 上記の手順で作成した 認証プロファイル を選択します。
  3. [はい](ユーザー資格情報 OR クライアント証明書が必要) を選択します。
globalprotect ポータル構成認証タブ クライアント認証
  1. [OK] をクリックします。
  2. GlobalProtectこのドキュメントの前のこの構成用に作成されたトンネル インターフェイスを選択します。
  3. [IPSec を 有効にする] チェック ボックスをオンにします - GlobalProtect オーバー IPSec への接続に失敗した場合 Firewall は、次の SSL
globalprotect ポータル構成認証タブ クライアント認証トンネル設定
  1. [クライアント設定] タブで [追加] をクリックします
59- globalprotect ポータル構成認証タブ クライアント認証クライアント設定
  1. 名前を入力 してください
globalprotect ポータル構成認証タブ クライアント認証クライアント設定構成選択基準
  1. IPクライアントがエージェント経由で IP GlobalProtect PC IP 接続するときに、アダプタのアドレスとして受信するアドレスのプール GlobalProtect VPN PC を入力します。 GlobalProtect VPN
globalprotect ポータル構成認証タブ クライアント認証クライアント設定 IP プール
注: このアドレス プール IP が重複していないか、組織/会社の既存のネットワーク内のどこにも既に使用されていないか確認してください。
  1. [OK] をクリックします。

GlobalProtect Firewall 従業員の Windows/Mac PC に提供されるクライアント ソフトウェア イメージをダウンロード/アクティブ化します。
  1. /Web に移動 Panorama Firewall UI し、[ Panorama デバイス展開] タブ>移動>[GlobalProtectクライアント] をクリックします。
  2. [ダウンロード] をクリック し、エンド ユーザーが使用するソフトウェアのバージョンを アクティブに GlobalProtect する をクリックします。 これは、 Firewall PC 使用するポータルページにアクセスしてダウンロードした場合に、クライアントに提供するバージョンでもあります Firewall GlobalProtect 。
panorama globalprotectクライアント ソフトウェア イメージのダウンロード
 
panorama globalprotectクライアント ソフトウェア イメージのアクティブ化
 
例: エンド ユーザーが [Windows 64 ビット エージェントのダウンロード] をクリックすると GlobalProtect GlobalProtect 、5.0.4 インストーラがダウンロードされ、バージョン 5.0.4 の GlobalProtect ソフトウェアがクライアントにインストールされます PC 。
 
globalprotect ポータルの取得ソフトウェア ページ

Activateがクリックされると、エンドユーザーはブラウザhttps://fw1.panlab.comに移動し GlobalProtect 、現在アクティブ化されているバージョンをダウンロードするか、すでにインストールされている場合は、ソフトウェアが提供している/アクティブになっている GlobalProtect GlobalProtect VPN GlobalProtect PC ものにバージョンをアップグレードするように促します firewall 。


firewall GlobalProtect VPN 従業員の Windows/Mac PC でクライアント ソフトウェアをダウンロード、インストール、および接続する
  1. エンドユーザーが https://fw1.panlab.com にアクセスし、資格情報を使用してログインするようにする
注:GlobalProtect PC エンドユーザーがこのステップをスキップしてラップトップとConnectで開くことができるように、ソフトウェアをそれぞれにプッシュすることができます GlobalProtect 。
 
globalprotect ポータル ログイン ページ
  1. エンド ユーザーには、ダウンロードしてインストールするソフトウェアを選択できる画面が表示 GlobalProtect されます。
globalprotect ポータルはソフトウェアの取得ページ 2
  1. [接続]をクリックします。
globalprotect 接続
  1. エンド ユーザーに資格情報を入力し、[サインイン] をクリックします。
globalprotect ログイン
  1. クライアント PC は、次の方法で企業ネットワークに正常に接続されました GlobalProtect VPN 。
globalprotect 接続された確認
  1. クライアント PC は GlobalProtect VPN firewall インターネット経由で接続され、クライアントは、彼が PC DMZ firewall 'dである今、正常にインターフェイス/ゾーンの背後にあるWebサーバーに到達することができます VPN 。
globalprotect 接続された cli 検証

トラブルシューティング/検証/デバッグ
クライアントから PC
  1. エンド ユーザーが Outside PC インターフェイスにアクセスできること firewall FQDN 、および正しいアドレスに解決されることを確認します。 IP
トラブルシューティング FQDN と解決して正しい IP アドレスに解決する
  1. GlobalProtectクライアントで開く PC >、>設定] で右上の 3 つから横のアイコン GlobalProtect をクリックします
globalprotectクライアント PC の [全般] タブでのトラブルシューティング
 
globalprotect[クライアント PC 接続] タブでのトラブルシューティング
 
globalprotectクライアント PC ホスト プロファイル タブでのトラブルシューティング

エージェントから GlobalProtect
  1. ログを収集>ログを収集>[トラブルシューティング]タブ>設定に移動 >し、PanGPA>開きます.log
  2. 新しい GlobalProtect 5.0.4 ソフトウェアのダウンロードとインストールのログ:
(T1216) 09/16/19 13:26:17:197 Debug( 642): PanClient sent successful with 3088 bytes
(T3192) 09/16/19 13:26:20:519 Debug(  93): Received data from Pan Service
(T3192) 09/16/19 13:26:20:519 Debug( 332): ### Download parameters ###: m_dwLatestDownlaod=1568658367, m_bDownloadStarted=0, bCheckTunnelOK=1, m_bOnDemandRead=0, bUsingCachedPortal=0, lastfaileddownload=0, m_nUpgradeMethod=2
(T3192) 09/16/19 13:26:20:519 Debug( 430): CPanClient::startUpgradeProcess, the download package is h
(T3192) 09/16/19 13:26:20:519 Debug(  25): create thread 0x1d0 with thread ID 2844
(T3192) 09/16/19 13:26:20:519 Info (1238): CSessionPage::URMMsiDownload - update dialog thread started

(T2844) 09/16/19 13:28:30:639 Info (1137): CPanDownloadProgress::OnInitDialog - downloadproc thread started
(T1480) 09/16/19 13:28:30:795 Info (1040): Download started.
(T1480) 09/16/19 13:28:30:826 デバッグ(433): winhttp SetSecureProtocol, hSession=02f07aa0, bAllProtocol=0, gbFips=0
(T1480) 09/16/19 13:28:30:826デバッグプロトコル433 hSession=02f08360, bAllProtocol=0, gbFips=0
(T1480) 09/16/19 13:28:39:484 情報 ( 154): ダウンロードURLToFile : HTTP 200 OK
(T1480) 09/16/19 13:28:39:484 デバッグ(369): コンテンツ長: 32768000
(T3192) 09/16/19 13:28:40:311 デバッグ(977): 非アクティブメッセージを受信します。
(T3192) 09/16/19 13:28:42:433 デバッグ(977): 非アクティブメッセージを受信します。
(T1480) 09/16/19 13:28:42:464 情報 (1087): ダウンロード完了時刻合計 = 12 (秒)
(T1480) 09/16/19 13:28:42:464 Info (1089): 更新開始: バージョン 5.0.3-29 からバージョン 5.0.4-16 へ。
(T1216) 09/16/19 13:28:52:495 デバッグ(563): パンサービスにコマンドを送信
(T1216) 09/16/19 13:28:52:495 デバッグ( 590): コマンド =<request><type>ソフトウェア アップグレード</type><command-line> C :\Users\jsmith\AppData\ローカル\Temp\_temp3120.msi</command-line></request>
(T1216) 09/16/19 13:28:52:495 デバッグ( 642): PanClient は 144 バイトで正常に送信されました 

 
から、 Firewall
  1. システム ログの>ログ>監視に移動します。
トラブルシューティング globalprotect の上 firewall

admin@ PA-VM2(active)>グローバル保護ゲートウェイゲートウェイ名panlab_Gateway
GlobalProtectゲートウェイ: panlab_Gateway (1 ユーザー)
トンネルタイプ : リモートユーザ
トンネル名 : panlab_Gateway: N
VSYS vsys1 (id 1)
トンネル ID : 3 トンネル インタフェース :
トンネル
IPv6 :
encap インターフェイス : ethernet1/4
vr-id : 0
継承 : ローカル アドレス
(IPv4) : 42.. 11.45.1
SSL サーバー ポート : 443
IPSec Encap : はい
トンネル ネゴシエーション : ssl Redirect : no
HTTP Port
UDP : 4501
最大ユーザー数 : 0
最大ユーザー数 : 0 除外ビデオ トラフィック :
ゲートウェイ レベル IP のプール範囲:
ゲートウェイ レベルの IP
IPv6 プール範囲: 0 ゲートウェイ
レベル IPv6 プール範囲: 0
構成名 : panlab_GWClientSettings ユーザー グループ :
any;
OS                        : 任意;
IPプール範囲: 192.168.1.50 - 192.168.1.250(192.168.1.51);
IPプールインデックス : 0
IPv6 プール範囲 :
IPv6 プールインデックス : 0
ローカルネットワークへの直接アクセスなし:
フレーム IP 付きアドレスの取得なし :
認証サーバー IP プール範囲なし : Auth サーバー
IPv6 プール範囲:
アクセスルート : 0.0.0.0/0
除外アクセスルート :
DNS サーバー 接
DNS 尾辞 : サーバー :
DNS サーバー
WINS :
SSL サーバー証明書 : GPPortalGatewayCert クライアント認証 : 認証 panlab_GwClientAuth : 認証 :

OS 任意の認証 : 任意
の認証 : panlabLDAP_authprof
ユーザー資格情報 OR クライアント証明書を許可します: はい
クライアント証明書プロファイル :
ライフタイム : 2592000 秒
アイドルタイムアウト : 1 0800 秒
切断 アイドル時 : 10800 秒
自動復元を禁止
: ソース チェックなし : 暗号化なし : IP
aes-128-cbc
認証 : sha1 admin@

PA- VM2(アクティブ)>、グローバル保護ゲートウェイの現在のユーザー ゲートウェイ
panlab_Gateway admin@ PA- VM2( active)>グローバルプロテクトゲートウェイの現在のユーザーjsmith
2019-09-15 11:15:49
GlobalProtect ゲートウェイ: panlab_Gateway (1 ユーザー)
トンネル名 : panlab_Gateway - ドメイン N
ユーザー名 : \jsmith
コンピュータ : COMP- WIN7-2
プライマリ ユーザー名          : jsmith
Region for Config          : KR
Source Region              : KR
Client                     : Microsoft Windows 7 Enterprise Edition Service Pack 1, 64-bit
VPN Type                   : Device Level VPN
Mobile ID :
Client OS : Windows
Private IP : 192.168.1.50
Private IPv6               : ::
Public IP (connected)      : 42.11.45.10
Public IPv6                : ::
Client IP : 42.11.45.10
ESP : exist
SSL : none
Login Time                 : Sep.15 11:07:18
Logout/Expiration          : Oct.15 11:07:18
TTL : 2591489
Inactivity TTL : 10302
Request - Login            : 2019-09-15 11:07:18.254 (1568570838254), 42.11.45.10
Request - GetConfig        : 2019-09-15 11:07:18.396 (1568570838396), 42.11.45.10
Request - SSLVPNCONNECT :  (0), ::

admin@ PA- VM2(active)> less mp-log rasmgr.log
2019-09-15 11:07:18.208 -0700 req->portal address 0x7fffdc096250
2019-09-15 11:07:18.251 -0700 192.168.1.50 is framed ip? no
2019-09-15 11:07:18.251 -0700 retrieve-framed-ip-address(no); が優先される ip-a フレーム ip(いいえ)。取得フレーム ip アドレス v6(いいえ) が優先される ip-a フレーム-ipv6(いいえ)。
2019-09-15 11:07:18.252 -0700 req-252 -0700 req->ポータルアドレス 0x7fffd8064ca0
2019-09-15 11:07:18.28.25-0700 新しいクッキー:
*********2019-09-15 11:07:18.. 254 -0700 rasmgr_sslvpn_client_registerスペースpanlab_Gateway - N ドメインユーザーjsmithコンピュータ COMP- WIN7-2結果0
2019-09-15 11:07:18.396 -0700クライアント既存アドレス42.11.45.10/24;優先ip 192.168.1.50; アドレスv6 2002::/16,1234:1234:2d0a::1234:1234/128; 優先 ipv6 なし; クライアント除外ビデオサポートはい;gwライセンスいいえ
2019-09-15 11:07:18.397 -0700 sr infoに情報をハモネタの情報に追加する:jsmith
2019-09-15 11:07:18.397 -070 00 トンネル GW をインストールし、keymgr..exclude_video_traffic_enable=0 [0 0]
2019-09-15 11:07:31.066 -0700 Adding info in usr info to haremoteusr info for:jsmith

admin@ PA- VM2(active)> less appweb-log sslvpn-access.log
42.11.45.1 - - [Sun Sep 15 11:07:18 2019 PDT ] " POST /ssl-vpn/prelogin.esp?kerberos-support=yes&tmp=tmp&clientVer=4100&host-id=433474f9-7a92-4f6f-9990-43731e8697fe&clientos=Windows&os-version=Microsoft+Windows+7+Enterprise+Edition+Service+Pack+1%2c+64-bit&ipv6-support=yes HTTP /1.1" 200 968
42.11.45.1 - - [Sun Sep 15 11:07:18 2019 PDT ] " POST /ssl-vpn/login.esp HTTP /1.1" 200 2840
42.11.45.1 - - [Sun Sep 15 11:07:18 2019 PDT ] " POST /ssl-vpn/getconfig.esp HTTP /1.1" 200 1809
42.11.45.1 - - [Sun Sep 15 11:07:31 2019 PDT ] " POST /ssl-vpn/hipreportcheck.esp HTTP /1.1" 200 561
127.0.0.1 - - [Sun Sep 15 11:08:06 2019 PDT ] " GET /robots.txt HTTP /1.1" 200 250

admin@ PA- VM2(active)> show global-protect-gateway flow
total GlobalProtect -Gateway tunnel shown:                     2
id    name                  local-i/f         local-ip                      tunnel-i/f
--    ----                  ---------         --------                      ----------
3     panlab_Gateway- N ethernet1/4       42.11.45.1                    tunnel.2

admin@ PA- VM2(active)> show global-protect-gateway flow name panlab_Gateway
2019-09-15 11:18:38
id: 3
タイプ: GlobalProtect -ゲートウェイ
ローカル IP: 42.11.45.1
内部インターフェイス: tunnel.2 外部インターフェイス: ethernet1/4
ssl 証明書: GPPortalGatewayCert
アクティブ ユーザー: 1
割り当て ip リモート IP MTU カプセル化
----------------------------------------------------------------------------------------------------------------------
192.168.1.50 42.11.45.10 1420 IPSec SPI 4311646B (コンテキスト 619)

admin@ PA- VM2(アクティブ)>グローバルプロテクトを示す ゲートウェイ フロー トンネル ID 3 トンネル
id 3 トンネル panlab_Gateway- N
ID: 3
タイプ: GlobalProtect -ゲートウェイ ローカル
IP: 42.11.45.1
内部インターフェイス: tunnel.2 外部インターフェイス: ethernet1/4
ssl 証明書: GPPortalGatewayCert
アクティブ ユーザー: 1
割り当て ip リモート IP MTU カプセル化 ----------------------------------------------------------------------------------------------------------------------

192.168.1.50 42.11.45.10 1420 IPSec SPI 4311646B (コンテキスト 619)                                                                                                                                      

 

Additional Information


GlobalProtect VPN で自己署名証明書を使用して構成する場合 firewall (内部/外部ルートが証明書を発行する代わりに CA )、以下のドキュメントに従うことができます。 GlobalProtect
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PMyGCAW&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language