Portail GlobalProtect sans client de base avec application VPN Web
52185
Created On 09/25/20 16:27 PM - Last Modified 03/26/21 18:39 PM
Objective
Cet article explique comment configurer Clientless VPN sur PAN-OS Firewall .
Prérequis : Licence
active GlobalProtect Configurer
une interface pour l’authentification du VPN portail
sans client (local)
Authentification du certificat pour GlobalProtect la
configuration officielle PAN du portail : Sans
client VPN
Environment
Dans cet exemple, nous utiliserons les éléments suivants :
- PA-VM avec PAN-OS 9,1,3
- Serveur d’application - Centos 7 64x
- Web Application - Nginx
- Authentification locale
Procedure
Configuration
- Étape 1: Télécharger et installer la mise GlobalProtect à jour dynamique VPN clientless
GUI:Les mises à jour > de l'> peuvent être > maintenant > téléchargement GlobalProtect VPN sans
client, puis activent une fois le téléchargement terminé.
client, puis activent une fois le téléchargement terminé.
- Étape 2: Configurer l’application Clientless VPN
Réseau > GlobalProtect > applications sans client > cliquez sur Ajouter
- Entrez un nom pour l’entrée (Ceci ne sera affiché que dans le firewall )
- Entrez la maison d’application URL
- Dans cet exemple, http://10.73.105.181/ liens vers l’annuaire nginx par défaut /usr/share/nginx/html/
- Entrez la description de l’application (ceci sera affiché une fois que vous vous connecterez avec succès au portail VPN sans client)
- Étape 3: Configurer proxy DNS
Réseau > DNS proxy > cliquez sur Ajouter
- Entrez un nom pour l’entrée (Ceci ne sera affiché que dans le firewall )
- Entrez un serveur DNS Primaire
- Entrez un serveur DNS secondaire
- Ajoutez l’interface correcte à qui le portail sans client est VPN affecté
- Étape 4 : Configurer GlobalProtect le portail pour un accès sans VPN client
Réseau > GlobalProtect > portails > Ajouter
- Configurer les paramètres réseau
- Sélectionnez l’interface correcte à partir de l’interface drop-down
- Sélectionnez IP l’adresse correcte à partir de l’adresse IPv4 drop-down
- Configurer l’authentification du serveur et l’authentification du client
- Pour l’authentification du serveur, sélectionnez le profil correct SSL TLS /service configuré à partir des prérequis : Configurez une interface pour le portail sans VPN client
- Pour l’authentification client, sélectionnez le profil d’authentification correct configuré à partir des prérequis : Authentification locale
- Configurer GlobalProtect Portail Sans client VPN (Général)
- Cliquez sur la case à cocher pour activer Clientless VPN sur le portail
- Sélectionnez le nom d’hôte correct FQDN ( / ) qui est IP configuré pour le portail
- Sélectionnez la zone de sécurité correcte qui a été configurée pour l’interface à partir des prérequis : Configurez une interface pour le portail sans VPN client
- Sélectionnez le profil DNS proxy correct qui a été configuré à l’étape 3
- Configurer sans client VPN (Applications)
- Sélectionnez Ajouter sur l’onglet Applications pour afficher la fenêtre Applications to User Mapping
- Entrez un nom pour l’entrée (ceci ne sera affiché que dans le firewall
- Cliquez sur la case à cocher pour que tout utilisateur soit autorisé.
- Par exemple, nous n’incluons pas la cartographie de groupe
- Si vous avez besoin de paramètres spécifiques de l’utilisateur/groupe utilisateur, veuillez configurer
- Ajoutez l’application (s) de l’étape 2 qui sera disponible une fois que vous vous connecterez avec succès au portail
- (Facultatif) Configurer sans client VPN (ParamètresCrypto)
- Modifiez tous les paramètres de crypto que vous souhaitez respecter les normes de sécurité
Additional Information
Vérification/dépannage :
Étape 1 : Accédez au portail sans VPN client et authentifiez-vous. https:// / IP ou https://fqdn
étape 2: Cliquez sur l’application.
Étape 3 : Vérifiez que l’application est consultée via le portail VPN sans client.
Étape 4 : Afficher les utilisateurs connectés
- > montrerglobal-protect-portal portail utilisateur courant GP- Portail filtre-utilisateur tous les utilisateurs
GlobalProtect Portal : GP-Portal
Vsys-Id : 1
User : user1
Session-id : 6b36Lv0fXV9IdpaxD2IoYVKNhU28Gcqt
Client-IP : 172.16.0.10
Session start time : Wed Sep 9 11:14:02 2020
Inactivity Timeout : 1800
Seconds before inactivity timeout : 1791
Login Lifetime : 10800
Seconds before login lifetime : 10790
Size of cookie cache : 0
Source Region : 172.16.0.0-172.31.255.255
Total number of user sessions: 1Étape 5 : Vérifiez la session
- > session afficher toutes les destinations filtre 172.16.0.1
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])
Vsys Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
16853 ssl ACTIVE FLOW *ND 172.16.0.10[64867]/L3-Trust/6 (172.16.0.10[64867])
vsys1 172.16.0.1[443]/L3-Trust (172.16.0.1[20077])
16765 undecided ACTIVE FLOW *ND 172.16.0.10[64868]/L3-Trust/6 (172.16.0.10[64868])
vsys1 172.16.0.1[443]/L3-Trust (172.16.0.1[20077])2. > session d’exposition id 16853Session 16853 c2s flow: source: 172.16.0.10 [L3-Trust] dst: 172.16.0.1 proto: 6 sport: 64867 dport: 443 state: ACTIVE type: FLOW src user: user1 dst user: unknown s2c flow: source: 172.16.0.1 [L3-Trust] dst: 172.16.0.10 proto: 6 sport: 20077 dport: 64867 state: ACTIVE type: FLOW src user: unknown dst user: user1 start time : Wed Sep 9 11:33:47 2020 timeout : 120 sec time to live : 99 sec total byte count(c2s) : 1787 total byte count(s2c) : 0 layer7 packet count(c2s) : 7 layer7 packet count(s2c) : 0 vsys : vsys1 application : ssl rule : interzone service timeout override(index) : False session to be logged at end : True session in session ager : True session updated by HA peer : False session proxied : True address/port translation : destination nat-rule : (vsys1) layer7 processing : enabled URL filtering enabled : True URL category : any session via syn-cookies : False session terminated on host : True session traverses tunnel : False session terminate tunnel : False captive portal session : False ingress interface : ethernet1/2 egress interface : ethernet1/2 session QoS rule : N/A (class 4) end-reason : unknown Proxy Info: Proxy Flow Index: 222, Type: offload, Tag: 16853, Dir: cts Stopped
Assurez-vous qu’unepolicy sécurité est en place pour permettre au trafic de l’utilisateur vers le Portal, et du portail au serveur d’application
Assurez-vous que le portal est accessible Ping doit être autorisé sur l’interface pour tester la connectivité via ping Le portail doit être consulté via 443. https:// / IP ou https://fqdn’authentification est réussie
- suivre la queue Oui MP-log authd. log
debug: _get_auth_prof_detail(pan_auth_util.c:1089): non-admin user thru Global Protect "user1" ; auth profile "Local-Auth"
; vsys "vsys1"
debug: _get_authseq_profile(pan_auth_util.c:876): Auth profile/vsys (Local-Auth/vsys1) is NOT auth sequence
debug: _retrieve_svr_ids(pan_auth_service.c:645): could not find auth server id vector for Local-Auth-vsys1-mfa
debug: add_info_from_auth_profile_to_request(pan_auth_util.c:1045): MFA is not configured for the auth profile.
No mfa server ids for the user "" (prof/vsys: Local-Auth/vsys1)
debug: add_info_from_auth_profile_to_request(pan_auth_util.c:1056): MFA configured, but bypassed for GP user ''.
(prof/vsys: Local-Auth/vsys1)
debug: _authenticate_initial(pan_auth_state_engine.c:2562): Keep original username, i.e., whatever end-user typed, "user1"
in request->username
debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:628): This is a single vsys platform, group
check for allow list is performed on "vsys1"
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1819): Authenticating user "user1" with
<profile: "Local-Auth", vsys: "vsys1">
debug: pan_auth_response_process(pan_auth_state_engine.c:4301): auth status: auth success
debug: pan_auth_response_process(pan_auth_state_engine.c:4322): Authentication success: <profile: "Local-Auth", vsys:
"vsys1", username "user1">
authenticated for user 'user1'. auth profile 'Local-Auth', vsys 'vsys1', From: 172.16.0.10.
debug: _log_auth_respone(pan_auth_server.c:268): Sent PAN_AUTH_SUCCESS auth response for user 'user1' (exp_in_days=-1
(-1 never; 0 within a day))(authd_id: 6870881929005105157)Client après PCAP avoir cliqué sur l’application
- Le PC forme une SSL connexion avec le portail.
Firewall PCAP après avoir cliqué sur l’application
- Les firewall formulaires une TCP connexion avec le serveur d’application et demande la page http (port 80 non sécurisé, tel que configuré)
Serveur PCAP après avoir cliqué sur l’application
- Le serveur d’application envoie les informations demandées au portail, puis la page http est envoyée à l’appareil utilisateur
- 10.73.108.13 est IP l’interface publique.