如何 GlobalProtect VPN 使用外部根进行配置 CA

如何 GlobalProtect VPN 使用外部根进行配置 CA

102420
Created On 10/11/19 16:09 PM - Last Modified 03/26/21 17:49 PM


Symptom


本文档描述了 GlobalProtect VPN 使用外部根(如 Windows 服务器 CA 2012,上面 AD 运行的证书服务)

进行配置的步骤。如果正在使用第三方证书权限(如 GlobalSign、GoDaddy、DigiCert、赛门铁克等),则可以按照下面的相同步骤进行部署 GlobalProtect ,但请改为以下每个 Windows 服务器步骤(例如第 2 步和第 4 步),而是使用第三方证书供应商执行每个步骤。

Environment


  • Panorama
  • 10.50.1.50
  • Firewall
  • 管理界面: 10.50.1.10
  • 不信任界面: 42.11.45.1/24
  • DMZ 接口: 172.16.45.1/24
  • 网络服务器 (后面 DMZ ): 172.16.45.50
  • Windows 服务器 2012
  • 172.16.45.50
  • Windows 7 PC
  • 192.168.45.10
 
  • 验证 Windows 服务器 2012 已安装活动目录并与上面创建的组和用户一起运行。
  • 配置/验证 DNS 在以下 IP 地址和系统之间完全工作(前向和向后)(即确保 nsookup 工作):
  • Windows 7 PC
  • 视窗服务器 2012
  • PAN Firewall
  • (即 Windows 7 PC 必须能够检查 IP 浏览器中的外部界面地址 PAN firewall 并解决到 FQDN firewall 浏览器中的接口地址)

Resolution


  1. 2012 年 Windows 服务器上安装证书服务 (即使 Windows 服务器 2012 成为根 CA )
  2. CA从 Windows 服务器 2012 根导出根证书 CA
  3. 在 CA 员工视窗/Mac PC 上安装根证书
  4. 导 CA 入根证书到 firewall , CSR 生成 firewall , CSR 由Windows服务器2012根签名 CA ,然后安装该签名证书上的 firewall
  5. 在 GlobalProtect 安全规则上进行配置 Firewall 和配置 Policy ,以便 VPN 从外部到内部/DMZ
  6. 下载/激活 GlobalProtect 将 Firewall 服务于员工 Windows/Mac PC 的客户端软件图像
  7. 下载、安装和连接到 firewall GlobalProtect VPN 员工 Windows/Mac PC 上的使用客户端软件
  8. 故障排除/验证/诊断

2012 年 Windows 服务器上安装证书服务 (即使 Windows 服务器 2012 成为根 CA )
  1. 打开 服务器管理器 >单击 "添加"角色和功能
添加角色和功能
  1. 单击 基于角色的 单击,然后单击 "下一步"
基于角色或基于功能的安装
  1. 选择 视窗服务器 并单击 "下一步"
添加角色和功能向导选择目的地服务器
  1. 选择 活动目录证书服务 并单击 下一个
添加角色和功能向导服务器角色
  1. 单击 "下一个" 两次
添加角色和功能选择功能
  1. 选择 认证机构网络注册 并单击 下一个 两次
添加角色和功能选择广告cs角色服务
  1. 单击 下一步
添加角色和功能选择 Web 服务器角色
  1. 如果需要,请自动检查重新启动目标服务器,然后单击"安装"
等待加载栏完成 - Windows 服务器 2012 不会重新启动。
警告: 这将导致Windows服务器2012重新启动(尚未重新启动,但它可能稍后在此文档的下一步)
 
添加角色和功能确认安装选择
  1. 完成上述加载栏后,单击 目的地服务器上的"配置活动目录证书服务"
添加角色和功能安装进度
  1. 单击 下一步
广告cs配置凭据
  1. 检查 认证机构认证机构网络注册 并单击 下一次 两次
广告cs配置角色服务
  1. 选择 根 CA 并单击 下一个
广告cs配置ca类型
  1. 选择 创建新的私钥 并单击 "下一步"
广告cs配置私钥
  1. 选择 SHA256 作为此Windows服务器2012根 CA 将用于签署证书的哈希算法(大多数现代浏览器将显示任何低于SHA256的警告) - 单击 下一页
广告cs配置私钥加密
  1. 将此信息保存到记事本 - 单击 下一步 直到下一步(确认屏幕)
广告cs配置私钥ca名称
  1. 单击 配置
广告cs配置确认
  1. 启动 Web 浏览器并 转到http://172.16.45.50/certsrv - 键入 2012 年 Windows 服务器管理员凭据
窗口服务器登录窗口
  1. 现在的Windows服务器2012年是一个根 CA 。 现在,它可以签署提交给它的CSR-Windows服务器2012年将采取 CSR 并回馈签名证书作为回报(即该证书将由Windows服务器2012这是根 CA 签署)
微软广告目录证书服务欢迎


导出根 CA 来自 Windows 服务器 2012 根的证书 CA
在此部分,我们将使用微软 Windows 服务器 2012 作为我们的根 CA 的证书。 客户端 PC 将信任此根 CA firewall 通过 GlobalProtect VPN 客户端软件安全地连接到该根。 这将确保最终用户可以通过互联网安全地连接到 firewall 互联网,并从家中访问内部资源。 他们的客户 PC 端将信任其浏览器和 GlobalProtect VPN 客户端软件中的连接。
  1. 单击 "下载 CA "证书、证书链或 CRL
微软广告目录证书服务欢迎下载ca证书链或crl突出显示
  1. 单击 下载 CA 证书
微软广告目录证书服务下载ca证书
  1. 将其重命名为 根卡塞特
重命名为根卡塞特


在 CA 员工视窗/Mac PC 上安装根证书
  1. RootCACert 文件放在 Windows 7 客户端上 PC ,然后双击以安装证书:
根卡塞特
注意:如果 GlobalProtect VPN 部署在大型企业中,或者部署 GlobalProtect 到许多员工 PC /用户,则 CA 根证书可以通过此方法推入使用 Windows 服务器 2012 Group 的员工 PC, Policy 而不是 PC 像下面那样单独安装在每个员工电脑上:
 
证书信息安装证书
  1. 单击 下一步
证书导入向导欢迎
  1. 选择 在以下商店中放置所有证书 - 单击 "浏览 "并选择 "受信任的根认证机构 "文件夹 - 单击 "确定 "和 "下一步" 并单击"完成"
证书导入向导信任根认证机构
 
证书导入向导导导成功
注意: 如果 CA 中间证书也使用/需要,则可以执行上述相同的过程将其导入 PC 其中,但请选择"中间认证机构"文件夹


导入根 CA 证书上 firewall ,生成 CSR firewall , CSR 由Windows服务器根签名 CA ,然后安装该签名证书上的 firewall
  1. 转到 http://172.16.45.50/certsrv 并单击 "下载 CA 证书"、证书链或 CRL
微软广告目录证书服务欢迎下载ca证书链或crl突出显示2
  1. 选择 基础 64 >单击 下载 CA 证书
微软广告目录证书服务下载ca证书基地64
  1. 将其重命名为 根卡斯特夫
将其重命名为根卡塞夫
  1. 转到 Panorama 或 Firewall 转到 设备 > 证书管理 > 证书 >单击 "导入"
  2. 为根证书键入证书名称 CA
  3. 选择我们刚刚下载的 根卡斯特夫 证书
  4. 选择文件格式作为 基础64编码证书 ( PEM )
  5. 单击 "确定"
进口证书到 panorama
 
panorama 设备认证

注意:如果您有中间根 CA 证书,现在根据根证书在这里导入 CA

  1. 转到 Panorama 或 Firewall 转到 设备 > 证书管理 > 证书 ,然后单击 "生成"
  2. 证书的证书名称 键入为 GPPortal 盖特威证书 (此字段以后很重要 - 记住 证书名称
  3. 键入 共同名称 作为外部 IP 地址 firewall 的(或任何 DNS 名称, IP 地址nsookup的,如果在互联网上)
  4. 选择 通过选项签名"外部授权 ( CSR )
  5. 单击 "添加 " SAN IP 以向证书添加字段()-此 IP/ SAN 字段必须与 firewall "字段"匹配 FQDN ,并且必须由员工的字段解决, PC 以便 firewall 通过 GlobalProtect 客户端连接到"门户"和"网关 VPN "
  6. 单击 "生成"
panorama 生成证书
 
警告: 大多数现代浏览器以及 firewall 它本身都要求 firewall "全球保护服务器证书 SAN "字段必须与"全球保护 FQDN 服务器证书"字段相匹配 firewall ,以便通过该域段成功连接 VPN ,并使最终用户 GlobalProtect 能够在其浏览器中成功导航到门户。 如果 SAN 该字段在证书/中至少有一个条目存在 CSR ,则 FQDN 用于门户/网关的字段 firewall 应始终存在于该 SAN 列表中。 可以在 FQDN firewall 此处找到:
 
panorama firewall Fqdn
 
FQDN:fw1.panlab.com
panorama 生成证书和密钥对确认
  1. 选择"出口证书"的复选框 CSR 并单击 "出口证书 " - 证书将下载到 PC
panorama 设备证书csr导出
 
它将被命名为cert_GPPortalGatewayCert.csr
panorama csr名称
  1. 启动网络浏览器并转到 http://172.16.45.50/certsrv
  2. 击"请求证书"
微软广告目录证书服务请求证书
  1. 单击 高级证书请求
微软广告目录证书服务请求证书高级证书请求
  1. 使用记事本打开cert_GPPortalGatewayCert.csr - 复制并将内容粘贴到以下字段中:
  2. 选择证书模板 Web 服务器
  3. 单击 提交
微软广告目录认证服务提交认证请求或续订请求
  1. 选择 基础 64 编码
  2. 单击 下载证书
微软广告目录证书服务证书颁发和下载证书基地 64

这将在浏览器中下载现在签名的证书 - 将其重命名为 GP 波特盖特盖特
 
下载证书

注意: 在导入此签名证书时,它必须与我们在上面的 Web CSR 中生成的(证书名称 字段)完全相同, Firewall UI 即必须将其命名为 GPPortalGateway 证书
  1. Panorama再次打开并转到设备>证书管理>证书>复选框现有 CSR 和单击导入 
  2. 键入证书名称
  3. 单击"浏览"并选择 GP 波特盖特通道认证.cer
  4. 选择 文件格式 作为 基础64编码证书 ( PEM )
  5. 单击 "确定"
panorama 进口证书

此时, firewall 有根 CA 证书 根证书,并 firewall 有 Firewall 一个服务器证书 GPPortal 通道证书 ,这是由该根 CA 证书签名。
 
此 Firewall 服务器证书是当客户端 PC 连接到时将提交给客户端 PC 的证书 firewall GlobalProtect 。 客户端 PC 将信任此证书,因为客户 PC 端也信任此 CA Root,因为我们在本文档中较早时在 Windows CA 7 客户端配置上安装了根证书 PC

panorama 成功证书导入列在根证书下面


GlobalProtect Firewall ,并配置了安全 Policy 规则,允许 VPN 从外部到内部/DMZ
  1. 转到设备>证书管理SSL>/ TLS 服务配置文件,并创建引用已签署的服务器证书 GPPortalGatewayCert 的SSL/ TLS 服务配置文件 Firewall ,我们在上述步骤中已签署并导入该配置文件:
配置证书 globalprotect 上的 firewall
  1. 转到 设备 > 服务器配置文件 LDAP >>单击 "添加"
  2. 键入 个人资料名称
  3. 服务器列表 下>单击 "添加 并键入 IP Windows 活动目录( LDAP 服务器)"和端口 389 的地址 LDAP
  4. 单击 "确定"
配置ldap服务器配置文件
  1. 导航到 设备 > 身份验证配置文件 >单击 "添加" 
  2. 键入 名称
  3. 选择 类型 LDAP
  4. 选择在潘拉布德普服务器prof上创建的服务器配置文件
  5. 登录属性 键入为 sAM 帐户名
配置ldap身份验证配置文件身份验证选项卡
  1. 单击 高级 选项卡>单击 "添加 "并添加 "全部" 或选择某些组(如果 GlobalProtect VPN 仅应限制访问某些 AD / LDAP 组)
配置ldap身份验证配置文件高级选项卡
  1. 创建一个隧道接口,供 GlobalProtect VPN 其使用,并给它一个隧道号码
  2. 选择虚拟路由器
  3. 选择安全区- 建议创建单独的交通安全区 VPN ,因为它在 Policy 为流量创建安全方面提供了更大的灵活性 VPN
  4. 单击 "确定"
创建隧道接口
( IP 此隧道不需要地址。2 接口)
  1. 转到 "网络 GlobalProtect >> 门户"> 单击 "添加 >一般 "选项卡
  2. 选择哪个界面和 IP 地址是 GlobalProtect 客户 PC 端将连接到的门户
globalprotect 门户配置一般选项卡
  1. 身份验证 选项卡
  2. 选择上面创建的SSL/ TLS 服务配置文件
  3. 单击客户端身份验证下的添加
  4. 键入 名称
  5. 选择我们上面制作的身份验证配置文件
  6. 选择 "是"(需要用户凭据 OR 客户端证书)
  7. 单击 "确定"
globalprotect 门户配置身份验证选项卡
 
globalprotect 门户配置身份验证选项卡客户身份验证
  1. 代理 选项卡
  2. 单击"代理下添加"
  3. 身份验证 选项卡下键入 名称
globalprotect 门户配置代理选项卡身份验证
  1. 在外部网关选项卡下单击 "添加"
  2. 键入 名称
  3. FQDN Firewall 本文档的早期输入证书 SAN/主机名称字段 (在 GPPortal 盖特韦证书中
globalprotect 门户配置代理选项卡外部网关
  1. 在应用选项卡下,选择 连接方法 下拉并选择 按需选择(手动用户启动连接)
globalprotect 门户配置代理选项卡应用选项卡连接方法
  1. 单击 "确定"
  2. 单击"添加"以将RootCAcertFW(导入 Firewall 本文档的前面)添加到门户的可信根 CA 列表中 GlobalProtect
globalprotect 门户配置代理选项卡将根ca添加到门户受信任的根ca列表 globalprotect

注意:如果您有中间 CA 证书,在根证书下面添加 CA
  1. 单击 "确定"
  2. 配置 GlobalProtect 网关
  3. 键入 名称
globalprotect 门户配置一般选项卡2
  1. 选择 SSL/ TLS 服务配置文件
  2. 在客户身份验证下,单击 "添加"
globalprotect 门户配置身份验证选项卡
  1. 键入 名称
  2. 选择上一步中较早创建的身份验证配置文件
  3. 选择 "是"(需要用户凭据 OR 客户端证书)
globalprotect 门户配置身份验证选项卡客户身份验证
  1. 单击 "确定"
  2. 选择 GlobalProtect 本文档中较早为此配置创建的隧道界面
  3. 选择复选框 "启用 IPSec" - 如果 GlobalProtect 无法连接到 Firewall 过 IPSec,它将回落到 SSL
globalprotect 门户配置身份验证选项卡客户身份验证隧道设置
  1. 在客户端设置选项卡下单击 "添加"
59- globalprotect 门户配置身份验证选项卡客户端身份验证客户设置
  1. 键入 名称
globalprotect 门户配置身份验证选项卡客户身份验证客户端设置配置选择标准
  1. 键入一组 IP 地址,这些地址将是 IP GlobalProtect 客户 PC 端 IP GlobalProtect VPN PC 通过 GlobalProtect VPN 代理连接时在其适配器上作为地址接收的地址
globalprotect 门户配置身份验证选项卡客户身份验证客户端设置ip池
注意: 确保此 IP 地址池不会重叠/未在组织/公司现有网络的任何地方使用。
  1. 单击 "确定"

下载/激活 GlobalProtect 将 Firewall 服务于员工 Windows/Mac PC 的客户端软件图像
  1. 转到 Panorama Firewall /Web UI 并转到 Panorama "设备部署 >"选项卡>单击 GlobalProtect "客户端"
  2. 单击"下载 "并单击 "激活 GlobalProtect "最终用户将使用的任何版本的软件。 这也是 Firewall 给客户端 PC 的版本,如果他们去门户页面 Firewall 和下载 GlobalProtect 使用。
panorama 下载 globalprotect 客户端软件图像
 
panorama 激活 globalprotect 客户端软件图像
 
示例:当最终用户单击"下载 Windows 64 位代理"时 GlobalProtect ,他们现在将下载 GlobalProtect 5.0.4 安装程序,该安装程序将在其客户端上安装 5.0.4 版本的 GlobalProtect 软件 PC :
 
globalprotect 门户获取软件页面

单击 Activate 后,最终用户可以在浏览器中 https://fw1.panlab.com 并下载 GlobalProtect 当前已激活的版本,或者如果他们已经 GlobalProtect 安装,并且他们尝试通过该版本进行连接 GlobalProtect VPN , GlobalProtect 则他们上的软件 PC 将提示他们将其版本升级到 firewall 已激活的版本。


下载、安装和连接到 firewall GlobalProtect VPN 员工 Windows/Mac PC 上的使用客户端软件
  1. 让最终用户使用其凭据 转到https://fw1.panlab.com 并登录
注意: 请记住, GlobalProtect 该软件可以推出到每个 PC ,以便最终用户可以跳过此步骤,只需 GlobalProtect 打开他们的笔记本电脑和连接
 
globalprotect 门户登录页面
  1. 最终用户将看到这样的屏幕,他们可以选择 GlobalProtect 要下载和安装的软件:
globalprotect 门户获取软件页面2
  1. 单击 连接
globalprotect 连接
  1. 让最终用户键入其凭据并单击 登录
globalprotect 登录
  1. 客户 PC 现在通过 GlobalProtect VPN :
globalprotect 连接确认
  1. 客户端 PC 通过互联网连接到 GlobalProtect VPN firewall ,客户端 PC 可以 DMZ 到达成功界面/区域后面的 Web 服务器 firewall ,现在他是 VPN 'd:
globalprotect 连接验证

故障排除/验证/诊断
来自客户端 PC
  1. 确保最终用户 PC 可以通过 firewall 其外部界面到达其 FQDN - 并且它解决到正确的 IP 地址
故障排除fqdn并解决到正确的ip地址
  1. 打开 GlobalProtect 客户端 PC >单击 右上角的三杆 图标 GlobalProtect >单击 "设置"
globalprotect客户端PC一般选项卡上的故障排除
 
globalprotect客户端PC连接选项卡上的故障排除
 
globalprotect客户端pc主机配置文件选项卡上的故障排除

从 GlobalProtect 代理
  1. 转到"设置 > 故障排除 选项卡> 收集日志 >解> 并打开> PanGPA.log
  2. 新 GlobalProtect 5.0.4 软件下载和安装的日志:
(T1216) 09/16/19 13:26:17:197 Debug( 642): PanClient sent successful with 3088 bytes
(T3192) 09/16/19 13:26:20:519 Debug(  93): Received data from Pan Service
(T3192) 09/16/19 13:26:20:519 Debug( 332): ### Download parameters ###: m_dwLatestDownlaod=1568658367, m_bDownloadStarted=0, bCheckTunnelOK=1, m_bOnDemandRead=0, bUsingCachedPortal=0, lastfaileddownload=0, m_nUpgradeMethod=2
(T3192) 09/16/19 13:26:20:519 Debug( 430): CPanClient::startUpgradeProcess, the download package is h
(T3192) 09/16/19 13:26:20:519 Debug(  25): create thread 0x1d0 with thread ID 2844
(T3192) 09/16/19 13:26:20:519 Info (1238): CSessionPage::URMMsiDownload - update dialog thread started

(T2844) 09/16/19 13:28:30:639 Info (1137): CPanDownloadProgress::OnInitDialog - downloadproc thread started
(T1480) 09/16/19 13:28:30:795 Info (1040): Download started.
(T1480) 09/16/19 13:28:30:826 德布格 (433): 温赫特普设置安全普罗托科尔, hSession=02f07aa0, bAllProtocol=0, gbFips=0
(T1480) 09/16/19 13:28:30:826 德布格 (433): 温赫特普设置安全普罗托科尔, hSession=02f08360, bAllProtocol=0, gbFips=0
(T1480) 09/16/19 13:28:39:484 信息 (154): 下载记录: HTTP 200 OK
(T1480) 09/16/19 13:28:39:484 Debug (369): 内容长度: 32768000
(T3192) 09/16/19 13:28:3 40:311 解试 (977): 接收非活动消息。
(T3192) 09/16/19 13:28:42:433 Debug (977): 收到非活动消息。
(T1480) 09/16/19 13:28:42:464 信息 (1087): 下载完成。总时间 = 12 (秒).
(T1480) 09/16/19 13:28:42:464 信息 (1089): 更新开始: 从版本 5.0.3-29 到版本 5.0.4-16.
(T1216) 09/16/19 13:28:52:495 Debug (563): 发送命令到泛服务
(T1216) 09/16/19 13:28:52:495 Debug ( 590): 命令 =<request><type>软件升级</type><command-line> C : [用户] appdata [ 本地] 临时\ _temp3120.msi</command-line></request>
(T1216) 09/16/19 13:28:52:495 Debug (642): 潘克莱恩发送成功与 144 字节 

 
从 Firewall
  1. 转到 监视器 > 日志 >系统日志
故障排除 globalprotect 打开 firewall

admin@ PA-VM2(活动)>显示全球保护网关名称panlab_Gateway
GlobalProtect网关:panlab_Gateway(1用户)
隧道类型:远程用户
隧道名称:panlab_Gateway-:vsys1(id N
VSYS 1)
隧道 ID :3
隧道接口:隧道2
隧道IPv6启用:无
封装界面:以太网1/4
vr-id:0
继承自:
本地地址(IPv4): 42.11.45.1
SSL 服务器端口 : 443
IPSec 封装: 是
隧道谈判 : ssl
HTTP 重定向: 无
UDP 端口 : 4501
最大用户 : 0
排除视频流量: 无
网关级 IP 池范围:
IP 网关级
IPv6 池范围:
网关级 IPv6 池范围: 0
配置名称: panlab_GWClientSettings
用户群: 任何:
OS                        :任何:
IP池范围: 192.168.1.50 - 192.168.1.250 (192.168.1.51):
IP池索引: 0
IPv6 池范围 :
IPv6 池索引 : 0
无直接访问本地网络: 无
检索框架 IP 地址: 无
Auth 服务器 IP 池范围:
Auth 服务器 IPv6 池范围:
访问路线: 0.0.0/0
排除访问路由:
DNS 服务器 :
DNS Suff 服务器
DNS : 服务器
WINS :
SSL 服务器证书 : GPPortalGatewayCert
客户端身份验证 : auth 名称 : panlab_GwClientAuth
身份 OS 验证: 任何
身份验证配置文件: panlabLDAP_authprof
允许用户凭据 OR 客户端证书: 是
客户端证书配置文件 :
终身 : 2592000 秒
空闲超时 : 10800
空闲时的秒断开:10800 秒
不允许自动恢复:无
源 IP 检查:无
加密:aes-128-cbc
身份验证:sha1

admin@ PA- VM2(活动)>显示全球保护网关当前用户网关
panlab_Gateway admin@ PA- VM2(活动) >显示全球保护网关当前用户 jsmith
2019-09-15 11:15:49
GlobalProtect 网关: panlab_Gateway (1 用户)
隧道名称: panlab_Gateway N
域名 - 用户名 : -jsmith
计算机 : COMP- WIN7-2
主用户名          : jsmith
Region for Config          : KR
Source Region              : KR
Client                     : Microsoft Windows 7 Enterprise Edition Service Pack 1, 64-bit
VPN Type                   : Device Level VPN
Mobile ID :
Client OS : Windows
Private IP : 192.168.1.50
Private IPv6               : ::
Public IP (connected)      : 42.11.45.10
Public IPv6                : ::
Client IP : 42.11.45.10
ESP : exist
SSL : none
Login Time                 : Sep.15 11:07:18
Logout/Expiration          : Oct.15 11:07:18
TTL : 2591489
Inactivity TTL : 10302
Request - Login            : 2019-09-15 11:07:18.254 (1568570838254), 42.11.45.10
Request - GetConfig        : 2019-09-15 11:07:18.396 (1568570838396), 42.11.45.10
Request - SSLVPNCONNECT :  (0), ::

admin@ PA- VM2(active)> less mp-log rasmgr.log
2019-09-15 11:07:18.208 -0700 req->portal address 0x7fffdc096250
2019-09-15 11:07:18.251 -0700 192.168.1.50 is framed ip? no
2019-09-15 11:07:18.251 -0700 retrieve-framed-ip-address(no); 是首选的 - ip - 一帧 - ip (否):检索框架 ip 地址 - v6 (否): 是首选的 - ip - a 框架 - ipv6 (否):
2019-09-15 11:07:18.252 -0700 req->portal address 0x7fffd8064ca0
2019-09-15 11:07:18.254 -0700 new cookie:  ******
2019-09-15 11:07:18.254 -0700 rasmgr_sslvpn_client_register space panlab_Gateway- N domain  user jsmith computer COMP- WIN7-2 result 0
2019-09-15 11:07:18.396 -0700 client existing address 42.11.45.10/24; preferred ip 192.168.1.50; address-v6 2002::/16,1234:1234:2d0a::1234:1234/128; preferred ipv6 None; client exclude video support yes; gw license no
2019-09-15 11:07:18.397 -0700 Adding info in usr info to haremoteusr info for:jsmith
2019-09-15 11:07:18.397 -0700 Installing GW Tunnel, indicate to keymgr...exclude_video_traffic_enable=0 [0 0]
2019-09-15 11:07:31.066 -0700 Adding info in usr info to haremoteusr info for:jsmith

admin@ PA- VM2(active)> less appweb-log sslvpn-access.log
42.11.45.1 - - [Sun Sep 15 11:07:18 2019 PDT ] " POST /ssl-vpn/prelogin.esp?kerberos-support=yes&tmp=tmp&clientVer=4100&host-id=433474f9-7a92-4f6f-9990-43731e8697fe&clientos=Windows&os-version=Microsoft+Windows+7+Enterprise+Edition+Service+Pack+1%2c+64-bit&ipv6-support=yes HTTP /1.1" 200 968
42.11.45.1 - - [Sun Sep 15 11:07:18 2019 PDT ] " POST /ssl-vpn/login.esp HTTP /1.1" 200 2840
42.11.45.1 - - [Sun Sep 15 11:07:18 2019 PDT ] " POST /ssl-vpn/getconfig.esp HTTP /1.1" 200 1809
42.11.45.1 - - [Sun Sep 15 11:07:31 2019 PDT ] " POST /ssl-vpn/hipreportcheck.esp HTTP /1.1" 200 561
127.0.0.1 - - [Sun Sep 15 11:08:06 2019 PDT ] " GET /robots.txt HTTP /1.1" 200 250

admin@ PA- VM2(active)> show global-protect-gateway flow
total GlobalProtect -Gateway tunnel shown:                     2
id    name                  local-i/f         local-ip                      tunnel-i/f
--    ----                  ---------         --------                      ----------
3     panlab_Gateway- N ethernet1/4       42.11.45.1                    tunnel.2

admin@ PA- VM2(active)> show global-protect-gateway flow name panlab_Gateway
2019-09-15 11:18:38
id:3
类型: GlobalProtect -网关
本地 ip: 42.11.45.1
内部界面: 隧道.2 外部界面: 以太网 1/4
ssl 证书: GPPortalGatewayCert
活动用户: 1
分配 ip 远程 ip MTU 封装
----------------------------------------------------------------------------------------------------------------------
192.168.1.50 42.11.45.10 1420 IPSec SPI 4311646B (上下文 619)

admin@ PA- VM2 (活动) >显示全球 保护网关流隧道 id 3
隧道 panlab_Gateway - N
id: 3
类型: GlobalProtect -网关
本地 ip: 42.11.45.1
内部界面: 隧道.2 外部界面: 以太网 1/4
ssl 证书: GPPortal 盖特威特
活动用户: 1
分配 ip 远程 ip MTU 封装
----------------------------------------------------------------------------------------------------------------------
192.168.1.50 42.11.45.10 1420 IPSec SPI 4311646B (上下文 619)                                                                                                                                      

 

Additional Information


仅 GlobalProtect VPN 使用自签名证书进行配置 firewall (而不是有内部/外部根 CA 签发证书),下面的文档可以遵循: GlobalProtect 使用用户-登录的基本配置
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PMyGCAW&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language