Grundlegendes GlobalProtect clientloses VPN Portal mit Webanwendung
52255
Created On 09/25/20 16:27 PM - Last Modified 03/26/21 18:39 PM
Objective
In diesem Artikel wird erläutert, wie Clientless auf konfiguriert VPN PAN-OS Firewall wird.
Voraussetzungen: Aktive
GlobalProtect Lizenz
Konfigurieren einer Schnittstelle für die Clientless VPN Portal
Authentication (Local)
Zertifikatauthentifizierung für die offizielle Konfiguration des GlobalProtect Portals:
PAN
Clientless VPN
Environment
In diesem Beispiel verwenden wir Folgendes:
- PA-VM mit PAN-OS 9.1.3
- Anwendungsserver - Centos 7 64x
- Webanwendung - Nginx
- Lokale Authentifizierung
Procedure
Konfiguration
- Schritt 1: Laden sie das GlobalProtect dynamische Clientless-Update herunter und installieren Sie VPN es
GUI: Device > Dynamic Updates > Check Now > GlobalProtect Clientless VPN >
Herunterladen und aktivieren Sie dann nach Abschluss des Downloads.
Herunterladen und aktivieren Sie dann nach Abschluss des Downloads.
- Schritt 2: Konfigurieren der clientlosen VPN Anwendung
Netzwerk-> GlobalProtect > clientlose Apps > klicken Sie auf Hinzufügen
- Geben Sie einen Namen für den Eintrag ein (dies wird nur im firewall angezeigt)
- Geben Sie die Anwendung Home URL
- In diesem Beispiel http://10.73.105.181/ Links zum Standardmäßigen nginx-Verzeichnis /usr/share/nginx/html/
- Geben Sie die Anwendungsbeschreibung ein (Diese wird angezeigt, sobald Sie sich erfolgreich beim Clientless Portal angemeldet VPN haben)
- Schritt 3: Konfigurieren des DNS Proxys
DNSNetzwerk->-Proxy > klicken auf Hinzufügen
- Geben Sie einen Namen für den Eintrag ein (dies wird nur im firewall angezeigt)
- Eingeben eines primären DNS Servers
- Eingeben eines sekundären DNS Servers
- Fügen Sie die richtige Schnittstelle hinzu, der das Clientless Portal zugewiesen VPN ist
- Schritt 4: Konfigurieren des GlobalProtect Portals für den clientlosen VPN Zugriff
Netzwerk > GlobalProtect > Portale > hinzufügen
- Konfigurieren von Netzwerkeinstellungen
- Wählen Sie die richtige Schnittstelle aus dem Dropdown-Dropdown-Punkt
- Wählen Sie die richtige IP Adresse aus dem Dropdown-Dropdown IPv4-Adresse
- Konfigurieren der Serverauthentifizierung und Clientauthentifizierung
- Wählen Sie für die Serverauthentifizierung das richtige / SSL TLS Dienstprofil aus den Voraussetzungen aus: Konfigurieren einer Schnittstelle für das clientlose VPN Portal
- Wählen Sie für die Clientauthentifizierung das richtige Authentifizierungsprofil aus, das unter den Voraussetzungen konfiguriert ist: Lokale Authentifizierung
- Konfigurieren GlobalProtect Portal Clientless VPN (Allgemein)
- Klicken Sie auf das Kontrollkästchen, um Clientless im VPN Portal zu aktivieren.
- Wählen Sie den richtigen Hostnamen ( FQDN / ), der für das Portal konfiguriert IP ist
- Wählen Sie die richtige Sicherheitszone aus, die für die Schnittstelle konfiguriert wurde, aus den Voraussetzungen: Konfigurieren einer Schnittstelle für das clientlose VPN Portal
- Wählen Sie das richtige DNSProxyprofil aus, das in Schritt 3 konfiguriert wurde.
- Konfigurieren clientlos VPN (Anwendungen)
- Wählen Sie auf der Registerkarte Anwendungen hinzufügen aus, um das Fenster Anwendungen für Benutzerzuordnung anzuzeigen.
- Geben Sie einen Namen für den Eintrag ein (dieser wird nur im firewall
- Klicken Sie auf das Kontrollkästchen für alle Benutzer, die zugelassen werden sollen.
- In diesem Beispiel werden wir keine Group-Mapping
- Wenn Sie bestimmte Benutzer-/Benutzergruppeneinstellungen benötigen, konfigurieren Sie bitte Group-Mapping
- Fügen Sie die Anwendung(n) aus Schritt 2 hinzu, die verfügbar ist, sobald Sie sich erfolgreich beim Portal angemeldet haben
- (Optional) Clientlos konfigurieren VPN (Kryptoeinstellungen)
- Ändern aller Kryptoeinstellungen, die Sicherheitsstandards erfüllen möchten
Additional Information
Überprüfung/Fehlerbehebung:
Schritt 1: Greifen Sie auf das clientlose Portal zu VPN und authentifizieren Sie sich. https:// IP / oder https://fqdn
Schritt 2: Klicken Sie auf die Anwendung.
Schritt 3: Überprüfen Sie, ob die Anwendung über das clientlose Portal angezeigt VPN wird.
Schritt 4: Anzeigen verbundener Benutzer
- >zeigen global-protect-portal current-user portal GP- Portal filter-user all-users
GlobalProtect Portal : GP-Portal
Vsys-Id : 1
User : user1
Session-id : 6b36Lv0fXV9IdpaxD2IoYVKNhU28Gcqt
Client-IP : 172.16.0.10
Session start time : Wed Sep 9 11:14:02 2020
Inactivity Timeout : 1800
Seconds before inactivity timeout : 1791
Login Lifetime : 10800
Seconds before login lifetime : 10790
Size of cookie cache : 0
Source Region : 172.16.0.0-172.31.255.255
Total number of user sessions: 1
Schritt 5: Überprüfen der Sitzung
- > alle Filterziele anzeigen 172.16.0.1
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])
Vsys Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
16853 ssl ACTIVE FLOW *ND 172.16.0.10[64867]/L3-Trust/6 (172.16.0.10[64867])
vsys1 172.16.0.1[443]/L3-Trust (172.16.0.1[20077])
16765 undecided ACTIVE FLOW *ND 172.16.0.10[64868]/L3-Trust/6 (172.16.0.10[64868])
vsys1 172.16.0.1[443]/L3-Trust (172.16.0.1[20077])
2. > Session-ID anzeigen 16853Session 16853 c2s flow: source: 172.16.0.10 [L3-Trust] dst: 172.16.0.1 proto: 6 sport: 64867 dport: 443 state: ACTIVE type: FLOW src user: user1 dst user: unknown s2c flow: source: 172.16.0.1 [L3-Trust] dst: 172.16.0.10 proto: 6 sport: 20077 dport: 64867 state: ACTIVE type: FLOW src user: unknown dst user: user1 start time : Wed Sep 9 11:33:47 2020 timeout : 120 sec time to live : 99 sec total byte count(c2s) : 1787 total byte count(s2c) : 0 layer7 packet count(c2s) : 7 layer7 packet count(s2c) : 0 vsys : vsys1 application : ssl rule : interzone service timeout override(index) : False session to be logged at end : True session in session ager : True session updated by HA peer : False session proxied : True address/port translation : destination nat-rule : (vsys1) layer7 processing : enabled URL filtering enabled : True URL category : any session via syn-cookies : False session terminated on host : True session traverses tunnel : False session terminate tunnel : False captive portal session : False ingress interface : ethernet1/2 egress interface : ethernet1/2 session QoS rule : N/A (class 4) end-reason : unknown Proxy Info: Proxy Flow Index: 222, Type: offload, Tag: 16853, Dir: cts Stopped
Stellen Sie sicher, dass eine Sicherheitpolicy vorhanden ist, um den Datenverkehr vom Benutzer zur Portal und vom Portal zum Anwendungsserver zuzulassen.
Stellen Sie sicher, dass die Portal erreichbar ist, ping muss auf der Schnittstelle erlaubt sein, um die Konnektivität über Ping zu testen. https:// IP / oder https://fqdn
Stellen Sie sicher, dass die Authentifizierung erfolgreich ist
- Schwanz folgen ja MP-Log authd. log
debug: _get_auth_prof_detail(pan_auth_util.c:1089): non-admin user thru Global Protect "user1" ; auth profile "Local-Auth"
; vsys "vsys1"
debug: _get_authseq_profile(pan_auth_util.c:876): Auth profile/vsys (Local-Auth/vsys1) is NOT auth sequence
debug: _retrieve_svr_ids(pan_auth_service.c:645): could not find auth server id vector for Local-Auth-vsys1-mfa
debug: add_info_from_auth_profile_to_request(pan_auth_util.c:1045): MFA is not configured for the auth profile.
No mfa server ids for the user "" (prof/vsys: Local-Auth/vsys1)
debug: add_info_from_auth_profile_to_request(pan_auth_util.c:1056): MFA configured, but bypassed for GP user ''.
(prof/vsys: Local-Auth/vsys1)
debug: _authenticate_initial(pan_auth_state_engine.c:2562): Keep original username, i.e., whatever end-user typed, "user1"
in request->username
debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:628): This is a single vsys platform, group
check for allow list is performed on "vsys1"
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1819): Authenticating user "user1" with
<profile: "Local-Auth", vsys: "vsys1">
debug: pan_auth_response_process(pan_auth_state_engine.c:4301): auth status: auth success
debug: pan_auth_response_process(pan_auth_state_engine.c:4322): Authentication success: <profile: "Local-Auth", vsys:
"vsys1", username "user1">
authenticated for user 'user1'. auth profile 'Local-Auth', vsys 'vsys1', From: 172.16.0.10.
debug: _log_auth_respone(pan_auth_server.c:268): Sent PAN_AUTH_SUCCESS auth response for user 'user1' (exp_in_days=-1
(-1 never; 0 within a day))(authd_id: 6870881929005105157)
Client PCAP nach dem Klicken auf die Anwendung
- Die PC stellt eine SSL Verbindung mit dem Portalher.
Firewall PCAP Nach dem Klicken auf die Anwendung
- Der firewall stellt eine TCP Verbindung mit dem Anwendungsserver her und fordert die http-Seite an (Port 80 ist nicht gesichert, wie konfiguriert)
Server PCAP nach dem Klicken auf die Anwendung
- Der Anwendungsserver sendet die angeforderten Informationen an das Portal, und dann wird die http-Seite an das Benutzergerät gesendet.
- 10.73.108.13 ist die IP der öffentlichen Schnittstelle.