GlobalProtect VPN Web アプリケーションを使用した基本的なクライアントレス ポータル
52213
Created On 09/25/20 16:27 PM - Last Modified 03/26/21 18:39 PM
Objective
この記事では、 で クライアントレスを構成する方法について説明 VPN PAN-OS Firewall します。
前提条件:
アクティブ GlobalProtect ライセンス
ポータル公式構成のクライアントレス VPN ポータル
認証(ローカル)
証明書認証用 GlobalProtect のインターフェイスを
PAN 構成する:
クライアントレス VPN
Environment
この例では、次の方法を使用します。
- PA-VM PAN-OS9.1.3
- アプリケーションサーバー - Centos 7 64x
- ウェブアプリケーション - Nginx
- ローカル認証
Procedure
構成
- ステップ1:GlobalProtectクライアントレス動的更新プログラムをダウンロードしてインストールする VPN
GUI: デバイス>動的更新> GlobalProtect クライアントレス VPN >
ダウンロード >確認し、ダウンロード完了後にアクティブ化します。
ダウンロード >確認し、ダウンロード完了後にアクティブ化します。
- 手順 2: クライアントレス アプリケーションを構成する VPN
ネットワーク GlobalProtect >> クライアントレス アプリ> [追加] をクリックします
- エントリの名前を入力します (これは firewall 、 にのみ表示されます)。
- アプリケーションホームに入る URL
- この例では、デフォルトの nginx ディレクトリ /usr/share/nginx/html/ へのリンクをhttp://10.73.105.181/します。
- アプリケーションの 説明 を入力します (クライアントレス ポータルに正常にログインすると表示されます VPN )
- 手順 3: プロキシの設定 DNS
ネットワーク > DNS プロキシ> [追加] をクリックします
- エントリの名前を入力します (これは firewall 、 にのみ表示されます)。
- プライマリサーバーを入力 DNS する
- セカンダリサーバーを入力 DNS する
- クライアントレス VPN ポータルが割り当てられている正しいインターフェイスを追加します。
- ステップ 4: GlobalProtect クライアントレス アクセス用のポータルの構成 VPN
ネットワーク > GlobalProtect > ポータル>追加
- ネットワーク設定の構成
- [インターフェイス]ドロップダウンから適切なインターフェイスを選択します。
- IP [IPv4アドレス] ドロップダウンから正しいアドレスを選択します。
- サーバー認証とクライアント認証の構成
- サーバー認証の場合は、前提条件から構成された正しいSSLサービス TLS プロファイル/サービス プロファイルを選択します。 VPN
- クライアント認証の場合は、前提条件から構成された正しい認証プロファイルを選択します:ローカル認証
- 構成する GlobalProtect ポータル クライアントレス VPN (一般)
- チェックボックスをクリックして VPN 、ポータルでクライアントレスを有効にします。
- ポータルに対して構成されている正しい ホスト名 ( FQDN / ) を選択 IP します。
- 前提条件からインターフェイスに構成された正しい セキュリティ ゾーン を選択します: クライアントレス VPN ポータルのインターフェイスを構成します。
- 手順 3 で設定した正しい DNS プロキシ プロファイルを選択 します。
- クライアントレスの設定 VPN (アプリケーション)
- [アプリケーション] タブで[追加] を選択して、[アプリケーションからユーザーマッピング]ウィンドウを表示します。
- エントリの 名前 を入力します (これは、 firewall
- [許可する任意のユーザー]のチェックボックスをオンにします。
- この例では、グループマッピングは含まれません。
- 特定のユーザー/ユーザー グループ設定が必要な場合は、グループ マッピングを構成してください。
- ポータルに正常にログインした後に使用可能になるステップ 2のアプリケーションを追加します。
- (オプション) クライアントレス VPN の構成 (暗号設定)
- セキュリティ標準に準拠する暗号設定を変更する
Additional Information
検証/トラブルシューティング:
ステップ 1: クライアントレス ポータルにアクセス VPN し、認証します。 IP https:/// または https://fqdn
ステップ2:アプリケーションをクリックします。
ステップ 3: アプリケーションがクライアントレスポータルを通じて表示されていることを確認 VPN します。
手順 4: 接続しているユーザーを表示する
- >グローバル保護ポータルの現在のユーザー ポータル GP- ポータル フィルター - ユーザー全ユーザーを表示します。
GlobalProtect Portal : GP-Portal
Vsys-Id : 1
User : user1
Session-id : 6b36Lv0fXV9IdpaxD2IoYVKNhU28Gcqt
Client-IP : 172.16.0.10
Session start time : Wed Sep 9 11:14:02 2020
Inactivity Timeout : 1800
Seconds before inactivity timeout : 1791
Login Lifetime : 10800
Seconds before login lifetime : 10790
Size of cookie cache : 0
Source Region : 172.16.0.0-172.31.255.255
Total number of user sessions: 1
ステップ 5: セッションを確認する
- > セッションを表示するすべてのフィルタ先 172.16.0.1
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])
Vsys Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
16853 ssl ACTIVE FLOW *ND 172.16.0.10[64867]/L3-Trust/6 (172.16.0.10[64867])
vsys1 172.16.0.1[443]/L3-Trust (172.16.0.1[20077])
16765 undecided ACTIVE FLOW *ND 172.16.0.10[64868]/L3-Trust/6 (172.16.0.10[64868])
vsys1 172.16.0.1[443]/L3-Trust (172.16.0.1[20077])
2. >表示セッション ID 16853Session 16853 c2s flow: source: 172.16.0.10 [L3-Trust] dst: 172.16.0.1 proto: 6 sport: 64867 dport: 443 state: ACTIVE type: FLOW src user: user1 dst user: unknown s2c flow: source: 172.16.0.1 [L3-Trust] dst: 172.16.0.10 proto: 6 sport: 20077 dport: 64867 state: ACTIVE type: FLOW src user: unknown dst user: user1 start time : Wed Sep 9 11:33:47 2020 timeout : 120 sec time to live : 99 sec total byte count(c2s) : 1787 total byte count(s2c) : 0 layer7 packet count(c2s) : 7 layer7 packet count(s2c) : 0 vsys : vsys1 application : ssl rule : interzone service timeout override(index) : False session to be logged at end : True session in session ager : True session updated by HA peer : False session proxied : True address/port translation : destination nat-rule : (vsys1) layer7 processing : enabled URL filtering enabled : True URL category : any session via syn-cookies : False session terminated on host : True session traverses tunnel : False session terminate tunnel : False captive portal session : False ingress interface : ethernet1/2 egress interface : ethernet1/2 session QoS rule : N/A (class 4) end-reason : unknown Proxy Info: Proxy Flow Index: 222, Type: offload, Tag: 16853, Dir: cts Stopped
ユーザーからPortal へのトラフィックを許可するセキュリティpolicyが設定されていることを確認し、ポータルからアプリケーション サーバーへのアクセスを
許可するポートal が ping を使用して接続をテストするためにインターフェイスで Pingにアクセスできることを確認する: 443 を介してポータルにアクセスする必要があります。 IP https:///またはhttps://fqdn
認証が成功していることを確認する
- 尾ははい mp-ログ authd に従ってください
debug: _get_auth_prof_detail(pan_auth_util.c:1089): non-admin user thru Global Protect "user1" ; auth profile "Local-Auth"
; vsys "vsys1"
debug: _get_authseq_profile(pan_auth_util.c:876): Auth profile/vsys (Local-Auth/vsys1) is NOT auth sequence
debug: _retrieve_svr_ids(pan_auth_service.c:645): could not find auth server id vector for Local-Auth-vsys1-mfa
debug: add_info_from_auth_profile_to_request(pan_auth_util.c:1045): MFA is not configured for the auth profile.
No mfa server ids for the user "" (prof/vsys: Local-Auth/vsys1)
debug: add_info_from_auth_profile_to_request(pan_auth_util.c:1056): MFA configured, but bypassed for GP user ''.
(prof/vsys: Local-Auth/vsys1)
debug: _authenticate_initial(pan_auth_state_engine.c:2562): Keep original username, i.e., whatever end-user typed, "user1"
in request->username
debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:628): This is a single vsys platform, group
check for allow list is performed on "vsys1"
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1819): Authenticating user "user1" with
<profile: "Local-Auth", vsys: "vsys1">
debug: pan_auth_response_process(pan_auth_state_engine.c:4301): auth status: auth success
debug: pan_auth_response_process(pan_auth_state_engine.c:4322): Authentication success: <profile: "Local-Auth", vsys:
"vsys1", username "user1">
authenticated for user 'user1'. auth profile 'Local-Auth', vsys 'vsys1', From: 172.16.0.10.
debug: _log_auth_respone(pan_auth_server.c:268): Sent PAN_AUTH_SUCCESS auth response for user 'user1' (exp_in_days=-1
(-1 never; 0 within a day))(authd_id: 6870881929005105157)
PCAPアプリケーションをクリックした後のクライアント
- ポータル PC とのSSL接続を形成します。
Firewall PCAP アプリケーションをクリックした後
- アプリケーション firewall サーバーとのTCP接続を形成し、httpページを要求します (ポート 80 は構成済みで保護されていません)
PCAPアプリケーションをクリックした後のサーバー
- アプリケーション・サーバーは、要求された情報をポータルに送信し、HTTP ページがユーザー・デバイスに送信されます。
- 10.73.108.13 はパブリック インターフェイスの 1 つ IP です。