Grundlegendes GlobalProtect clientloses VPN Portal mit Webanwendung

Grundlegendes GlobalProtect clientloses VPN Portal mit Webanwendung

52255
Created On 09/25/20 16:27 PM - Last Modified 03/26/21 18:39 PM


Objective


In diesem Artikel wird erläutert, wie Clientless auf konfiguriert VPN PAN-OS Firewall wird.

Voraussetzungen: Aktive
GlobalProtect Lizenz
Konfigurieren einer Schnittstelle für die Clientless VPN Portal
Authentication (Local)
Zertifikatauthentifizierung für die offizielle Konfiguration des GlobalProtect Portals:

PAN
Clientless VPN
 

Environment


In diesem Beispiel verwenden wir Folgendes:
  • PA-VM mit PAN-OS 9.1.3
  • Anwendungsserver - Centos 7 64x
  • Webanwendung - Nginx
  • Lokale Authentifizierung


 

Procedure


Konfiguration
 
  1. Schritt 1: Laden sie das GlobalProtect dynamische Clientless-Update herunter und installieren Sie VPN es
GUI: Device > Dynamic Updates > Check Now > GlobalProtect Clientless VPN >
Herunterladen und aktivieren Sie dann nach Abschluss des Downloads.
 
Benutzeriertes Bild
  1. Schritt 2: Konfigurieren der clientlosen VPN Anwendung
Netzwerk-> GlobalProtect > clientlose Apps > klicken Sie auf Hinzufügen
  1. Geben Sie einen Namen für den Eintrag ein (dies wird nur im firewall angezeigt)
  2. Geben Sie die Anwendung Home URL
  3. In diesem Beispiel http://10.73.105.181/ Links zum Standardmäßigen nginx-Verzeichnis /usr/share/nginx/html/
  4. Geben Sie die Anwendungsbeschreibung ein (Diese wird angezeigt, sobald Sie sich erfolgreich beim Clientless Portal angemeldet VPN haben)
Benutzeriertes Bild
  1. Schritt 3: Konfigurieren des DNS Proxys
DNSNetzwerk->-Proxy > klicken auf Hinzufügen
  1. Geben Sie einen Namen für den Eintrag ein (dies wird nur im firewall angezeigt)
  2. Eingeben eines primären DNS Servers
  3. Eingeben eines sekundären DNS Servers
  4. Fügen Sie die richtige Schnittstelle hinzu, der das Clientless Portal zugewiesen VPN ist 
Benutzeriertes Bild
 
  1. Schritt 4: Konfigurieren des GlobalProtect Portals für den clientlosen VPN Zugriff
Netzwerk > GlobalProtect > Portale > hinzufügen
  • Konfigurieren von Netzwerkeinstellungen
  • Wählen Sie die richtige Schnittstelle aus dem Dropdown-Dropdown-Punkt
  • Wählen Sie die richtige IP Adresse aus dem Dropdown-Dropdown IPv4-Adresse
Benutzeriertes Bild
 
  • Konfigurieren der Serverauthentifizierung und Clientauthentifizierung
  • Wählen Sie für die Serverauthentifizierung das richtige / SSL TLS Dienstprofil aus den Voraussetzungen aus: Konfigurieren einer Schnittstelle für das clientlose VPN Portal
  • Wählen Sie für die Clientauthentifizierung das richtige Authentifizierungsprofil aus, das unter den Voraussetzungen konfiguriert ist: Lokale Authentifizierung
Benutzeriertes Bild
 
  • Konfigurieren GlobalProtect Portal Clientless VPN (Allgemein)
  • Klicken Sie auf das Kontrollkästchen, um Clientless im VPN Portal zu aktivieren.
  • Wählen Sie den richtigen Hostnamen ( FQDN / ), der für das Portal konfiguriert IP ist
  • Wählen Sie die richtige Sicherheitszone aus, die für die Schnittstelle konfiguriert wurde, aus den Voraussetzungen: Konfigurieren einer Schnittstelle für das clientlose VPN Portal
  • Wählen Sie das richtige DNSProxyprofil aus, das in Schritt 3 konfiguriert wurde.
Benutzeriertes Bild
 
  • Konfigurieren clientlos VPN (Anwendungen)
  • Wählen Sie auf der Registerkarte Anwendungen hinzufügen aus, um das Fenster Anwendungen für Benutzerzuordnung anzuzeigen.
  • Geben Sie einen Namen für den Eintrag ein (dieser wird nur im firewall
  • Klicken Sie auf das Kontrollkästchen für alle Benutzer, die zugelassen werden sollen.
    1. In diesem Beispiel werden wir keine Group-Mapping
    2. Wenn Sie bestimmte Benutzer-/Benutzergruppeneinstellungen benötigen, konfigurieren Sie bitte Group-Mapping
  • Fügen Sie die Anwendung(n) aus Schritt 2 hinzu, die verfügbar ist, sobald Sie sich erfolgreich beim Portal angemeldet haben
Benutzeriertes Bild
 
  • (Optional) Clientlos konfigurieren VPN (Kryptoeinstellungen)
  • Ändern aller Kryptoeinstellungen, die Sicherheitsstandards erfüllen möchten
Benutzeriertes Bild

Additional Information


Überprüfung/Fehlerbehebung:

Schritt 1: Greifen Sie auf das clientlose Portal zu VPN und authentifizieren Sie sich. https:// IP / oder https://fqdn

Benutzeriertes Bild

Schritt 2: Klicken Sie auf die Anwendung.

Benutzeriertes Bild

Schritt 3: Überprüfen Sie, ob die Anwendung über das clientlose Portal angezeigt VPN wird.

Benutzeriertes Bild

Schritt 4: Anzeigen verbundener Benutzer
  1. >zeigen global-protect-portal current-user portal GP- Portal filter-user all-users
GlobalProtect Portal              : GP-Portal
Vsys-Id                           : 1
User                              : user1
Session-id                        : 6b36Lv0fXV9IdpaxD2IoYVKNhU28Gcqt
Client-IP                         : 172.16.0.10
Session start time                : Wed Sep  9 11:14:02 2020
 
Inactivity Timeout                : 1800
Seconds before inactivity timeout : 1791
Login Lifetime                    : 10800
Seconds before login lifetime     : 10790
Size of cookie cache              : 0
Source Region                     : 172.16.0.0-172.31.255.255
 
 
Total number of user sessions: 1

Schritt 5: Überprüfen der Sitzung
  1. > alle Filterziele anzeigen 172.16.0.1
--------------------------------------------------------------------------------
ID          Application    State   Type Flag  Src[Sport]/Zone/Proto (translated IP[Port])
Vsys                                          Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
16853        ssl            ACTIVE  FLOW *ND   172.16.0.10[64867]/L3-Trust/6  (172.16.0.10[64867])
vsys1                                          172.16.0.1[443]/L3-Trust  (172.16.0.1[20077])
16765        undecided      ACTIVE  FLOW *ND   172.16.0.10[64868]/L3-Trust/6  (172.16.0.10[64868])
vsys1                                          172.16.0.1[443]/L3-Trust  (172.16.0.1[20077])
2. > Session-ID anzeigen 16853
Session           16853
 
        c2s flow:
                source:      172.16.0.10 [L3-Trust]
                dst:         172.16.0.1
                proto:       6
                sport:       64867           dport:      443
                state:       ACTIVE          type:       FLOW
                src user:    user1
                dst user:    unknown
 
        s2c flow:
                source:      172.16.0.1 [L3-Trust]
                dst:         172.16.0.10
                proto:       6
                sport:       20077           dport:      64867
                state:       ACTIVE          type:       FLOW
                src user:    unknown
                dst user:    user1
 
        start time                           : Wed Sep  9 11:33:47 2020
        timeout                              : 120 sec
        time to live                         : 99 sec
        total byte count(c2s)                : 1787
        total byte count(s2c)                : 0
        layer7 packet count(c2s)             : 7
        layer7 packet count(s2c)             : 0
        vsys                                 : vsys1
        application                          : ssl 
        rule                                 : interzone
        service timeout override(index)      : False
        session to be logged at end          : True
        session in session ager              : True
        session updated by HA peer           : False
        session proxied                      : True
        address/port translation             : destination
        nat-rule                             : (vsys1)
        layer7 processing                    : enabled
        URL filtering enabled                : True
        URL category                         : any
        session via syn-cookies              : False
        session terminated on host           : True
        session traverses tunnel             : False
        session terminate tunnel             : False
        captive portal session               : False
        ingress interface                    : ethernet1/2
        egress interface                     : ethernet1/2
        session QoS rule                     : N/A (class 4)
        end-reason                           : unknown
        Proxy Info:                            
                Proxy Flow
                Index: 222, Type: offload, Tag: 16853, Dir: cts
                Stopped

Stellen Sie sicher, dass eine Sicherheitpolicy vorhanden ist, um den Datenverkehr vom Benutzer zur Portal und vom Portal zum Anwendungsserver zuzulassen.  

Benutzeriertes Bild

Stellen Sie sicher, dass die Portal erreichbar ist, ping muss auf der Schnittstelle erlaubt sein, um die Konnektivität über Ping zu testen. https:// IP / oder https://fqdn

Benutzeriertes Bild

Stellen Sie sicher, dass die Authentifizierung erfolgreich ist
  1. Schwanz folgen ja MP-Log authd. log
debug: _get_auth_prof_detail(pan_auth_util.c:1089): non-admin user thru Global Protect "user1" ; auth  profile "Local-Auth"
 ; vsys "vsys1"
debug: _get_authseq_profile(pan_auth_util.c:876): Auth profile/vsys (Local-Auth/vsys1) is NOT auth sequence
debug: _retrieve_svr_ids(pan_auth_service.c:645): could not find auth server id vector for Local-Auth-vsys1-mfa
debug: add_info_from_auth_profile_to_request(pan_auth_util.c:1045): MFA is not configured for the auth profile. 
No mfa server ids for the user "" (prof/vsys: Local-Auth/vsys1)
debug: add_info_from_auth_profile_to_request(pan_auth_util.c:1056): MFA configured, but bypassed for GP user ''. 
(prof/vsys: Local-Auth/vsys1)
debug: _authenticate_initial(pan_auth_state_engine.c:2562): Keep original username, i.e., whatever end-user typed, "user1"
 in request->username
debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:628): This is a single vsys platform, group 
check for allow list is performed on "vsys1"
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1819): Authenticating user "user1" with 
<profile: "Local-Auth", vsys: "vsys1">
debug: pan_auth_response_process(pan_auth_state_engine.c:4301): auth status: auth success
debug: pan_auth_response_process(pan_auth_state_engine.c:4322): Authentication success: <profile: "Local-Auth", vsys:
 "vsys1", username "user1">
authenticated for user 'user1'.   auth profile 'Local-Auth', vsys 'vsys1', From: 172.16.0.10.
debug: _log_auth_respone(pan_auth_server.c:268): Sent PAN_AUTH_SUCCESS auth response for user 'user1' (exp_in_days=-1
 (-1 never; 0 within a day))(authd_id: 6870881929005105157)

Client PCAP nach dem Klicken auf die Anwendung
  1. Die PC stellt eine SSL Verbindung mit dem Portalher. 
Benutzeriertes Bild

Firewall PCAP Nach dem Klicken auf die Anwendung
  1. Der firewall stellt eine TCP Verbindung mit dem Anwendungsserver her und fordert die http-Seite an (Port 80 ist nicht gesichert, wie konfiguriert)
Benutzeriertes Bild
 
Server PCAP nach dem Klicken auf die Anwendung
  1. Der Anwendungsserver sendet die angeforderten Informationen an das Portal, und dann wird die http-Seite an das Benutzergerät gesendet.
  2. 10.73.108.13 ist die IP der öffentlichen Schnittstelle.
Benutzeriertes Bild
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HAt7CAG&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language