Portal básico GlobalProtect sin cliente con aplicación VPN web
52187
Created On 09/25/20 16:27 PM - Last Modified 03/26/21 18:39 PM
Objective
En este artículo se explica cómo configurar Clientless VPN en PAN-OS Firewall .
Requisitos previos: La
GlobalProtect licencia activa
configura una interfaz para la autenticación de certificado de autenticacióndel VPN portal sin cliente
(local)
para la configuración oficialdel GlobalProtect portal:
sin PAN
VPN cliente
Environment
En este ejemplo usaremos lo siguiente:
- PA-VM con PAN-OS 9.1.3
- Servidor de aplicaciones - Centos 7 64x
- Aplicación web - Nginx
- Autenticación local
Procedure
Configuración
- Paso 1: Descargue e instale la GlobalProtect actualización dinámica clientless VPN
GUI: Actualizaciones dinámicas de > dispositivo > Comprobar ahora > GlobalProtect VPN >
descargar sin cliente y, a continuación, activar después de que se complete la descarga.
descargar sin cliente y, a continuación, activar después de que se complete la descarga.
- Paso 2: Configurar la aplicación sin cliente VPN
> de red GlobalProtect > aplicaciones sin cliente > haga clic en Agregar
- Introduzca un nombre para la entrada (esto solo se mostrará en firewall )
- Ingrese el inicio de la aplicación URL
- En este ejemplo, http://10.73.105.181/ enlaces al directorio nginx predeterminado /usr/share/nginx/html/
- Escriba la descripción de la aplicación (esto se mostrará una vez que inicie sesión correctamente en el portal sin VPN cliente)
- Paso 3: Configurar DNS proxy
> proxy de > DNS de red haga clic en Agregar
- Introduzca un nombre para la entrada (esto solo se mostrará en firewall )
- Introduzca un servidor principal DNS
- Introduzca un servidor secundario DNS
- Agregue la interfaz correcta a la que se asigna el Portal sin cliente VPN a
- Paso 4: Configurar GlobalProtect portal para el acceso sin VPN cliente
> de red GlobalProtect > Portales > Agregar
- Configurar los ajustes de red
- Seleccione la interfaz correcta en el menú desplegable Interfaz
- Seleccione la dirección correcta IP en el menú desplegable Dirección IPv4
- Configurar la autenticación de servidor y la autenticación de cliente
- Para la autenticación del servidor seleccione el correcto / perfil de SSL TLS servicio configurado de los requisitos previos: Configure una interfaz para el VPN portal sin cliente
- Para la autenticación del cliente seleccione el perfil de autenticación correcto configurado de los requisitos previos: Autenticación local
- Configurar GlobalProtect Portal Sin cliente VPN (General)
- Haga clic en la casilla de verificación para habilitar Clientless en el VPN Portal
- Seleccione el nombre de host correcto ( / ) configurado para el FQDN IP portal
- Seleccione la zona de seguridad correcta que se configuró para la interfaz de los requisitos previos: Configure una interfaz para el VPN portal sin cliente
- Seleccione el perfil DNS de proxy correcto que se configuró en el paso 3
- Configurar sin cliente VPN (Aplicaciones)
- Seleccione Agregar en la pestaña Aplicaciones para mostrar la ventana Aplicaciones a asignación de usuarios
- Introduzca un nombre para la entrada (esto solo se mostrará en el firewall
- Haga clic en la casilla de verificación Cualquier usuario que se permita.
- Para este ejemplo, no incluiremos Group-Mapping
- Si necesita ajustes específicos de Usuario/Grupo de usuarios, configure La asignación de grupos
- Agregue las aplicaciones del paso 2 que estarán disponibles una vez que inicie sesión correctamente en el Portal
- (Opcional) Configurar sin cliente VPN (Configuración criptográfica)
- Cambie cualquier configuración de criptografía que desee cumplir con los estándares de seguridad
Additional Information
Verificación/Solución de problemas:
Paso 1: Acceda al portal sin cliente VPN y autentique. https:// IP /o https://fqdn
paso 2: Haga clic en la aplicación.
Paso 3: Compruebe que la aplicación se ve a través del Portal sin VPN cliente.
Paso 4: Mostrar usuarios conectados
- > mostrarglobal-protect-portal portal portal GP- filter-user all-users
GlobalProtect Portal : GP-Portal
Vsys-Id : 1
User : user1
Session-id : 6b36Lv0fXV9IdpaxD2IoYVKNhU28Gcqt
Client-IP : 172.16.0.10
Session start time : Wed Sep 9 11:14:02 2020
Inactivity Timeout : 1800
Seconds before inactivity timeout : 1791
Login Lifetime : 10800
Seconds before login lifetime : 10790
Size of cookie cache : 0
Source Region : 172.16.0.0-172.31.255.255
Total number of user sessions: 1
Paso 5: Verifique la sesión
- > mostrar la sesión todo el destino del filtro 172.16.0.1
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])
Vsys Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
16853 ssl ACTIVE FLOW *ND 172.16.0.10[64867]/L3-Trust/6 (172.16.0.10[64867])
vsys1 172.16.0.1[443]/L3-Trust (172.16.0.1[20077])
16765 undecided ACTIVE FLOW *ND 172.16.0.10[64868]/L3-Trust/6 (172.16.0.10[64868])
vsys1 172.16.0.1[443]/L3-Trust (172.16.0.1[20077])
2. > mostrar el id de sesión 16853Session 16853 c2s flow: source: 172.16.0.10 [L3-Trust] dst: 172.16.0.1 proto: 6 sport: 64867 dport: 443 state: ACTIVE type: FLOW src user: user1 dst user: unknown s2c flow: source: 172.16.0.1 [L3-Trust] dst: 172.16.0.10 proto: 6 sport: 20077 dport: 64867 state: ACTIVE type: FLOW src user: unknown dst user: user1 start time : Wed Sep 9 11:33:47 2020 timeout : 120 sec time to live : 99 sec total byte count(c2s) : 1787 total byte count(s2c) : 0 layer7 packet count(c2s) : 7 layer7 packet count(s2c) : 0 vsys : vsys1 application : ssl rule : interzone service timeout override(index) : False session to be logged at end : True session in session ager : True session updated by HA peer : False session proxied : True address/port translation : destination nat-rule : (vsys1) layer7 processing : enabled URL filtering enabled : True URL category : any session via syn-cookies : False session terminated on host : True session traverses tunnel : False session terminate tunnel : False captive portal session : False ingress interface : ethernet1/2 egress interface : ethernet1/2 session QoS rule : N/A (class 4) end-reason : unknown Proxy Info: Proxy Flow Index: 222, Type: offload, Tag: 16853, Dir: cts Stopped
Aseegurese una seguridadpolicy está en su lugar para permitir el tráfico del usuario a la Portal, y del Portal al servidor de aplicacionesAsegúrese de que
la portal es accesible Ping debe permitirse en la interfaz para probar la conectividad a través del ping Se debe acceder al portal vía el 443. https:// IP /o https://fqdn
Asegúrese de que la autenticación se realiza correctamente
- la cola sigue sí MP-log authd. log
debug: _get_auth_prof_detail(pan_auth_util.c:1089): non-admin user thru Global Protect "user1" ; auth profile "Local-Auth"
; vsys "vsys1"
debug: _get_authseq_profile(pan_auth_util.c:876): Auth profile/vsys (Local-Auth/vsys1) is NOT auth sequence
debug: _retrieve_svr_ids(pan_auth_service.c:645): could not find auth server id vector for Local-Auth-vsys1-mfa
debug: add_info_from_auth_profile_to_request(pan_auth_util.c:1045): MFA is not configured for the auth profile.
No mfa server ids for the user "" (prof/vsys: Local-Auth/vsys1)
debug: add_info_from_auth_profile_to_request(pan_auth_util.c:1056): MFA configured, but bypassed for GP user ''.
(prof/vsys: Local-Auth/vsys1)
debug: _authenticate_initial(pan_auth_state_engine.c:2562): Keep original username, i.e., whatever end-user typed, "user1"
in request->username
debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:628): This is a single vsys platform, group
check for allow list is performed on "vsys1"
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1819): Authenticating user "user1" with
<profile: "Local-Auth", vsys: "vsys1">
debug: pan_auth_response_process(pan_auth_state_engine.c:4301): auth status: auth success
debug: pan_auth_response_process(pan_auth_state_engine.c:4322): Authentication success: <profile: "Local-Auth", vsys:
"vsys1", username "user1">
authenticated for user 'user1'. auth profile 'Local-Auth', vsys 'vsys1', From: 172.16.0.10.
debug: _log_auth_respone(pan_auth_server.c:268): Sent PAN_AUTH_SUCCESS auth response for user 'user1' (exp_in_days=-1
(-1 never; 0 within a day))(authd_id: 6870881929005105157)
Cliente PCAP después de hacer clic en la aplicación
- El PC formulario forma una SSLconexión con el portal.
Firewall PCAP después de hacer clic en la aplicación
- Los firewall formularios una TCP conexión con el servidor de aplicaciones y solicita la página http (puerto 80 no protegido, según lo configurado)
Servidor PCAP después de hacer clic en la aplicación
- El servidor de aplicaciones envía la información solicitada al portal y, a continuación, la página http se envía al dispositivo del usuario
- 10.73.108.13 es la IP interfaz pública.