GlobalProtect VPN Web アプリケーションを使用した基本的なクライアントレス ポータル

GlobalProtect VPN Web アプリケーションを使用した基本的なクライアントレス ポータル

52213
Created On 09/25/20 16:27 PM - Last Modified 03/26/21 18:39 PM


Objective


この記事では、 で クライアントレスを構成する方法について説明 VPN PAN-OS Firewall します。

前提条件:
アクティブ GlobalProtect ライセンス
ポータル公式構成のクライアントレス VPN ポータル
認証(ローカル)
証明書認証用 GlobalProtect のインターフェイスを

PAN 構成する:
クライアントレス VPN
 

Environment


この例では、次の方法を使用します。
  • PA-VM PAN-OS9.1.3
  • アプリケーションサーバー - Centos 7 64x
  • ウェブアプリケーション - Nginx
  • ローカル認証


 

Procedure


構成
 
  1. ステップ1:GlobalProtectクライアントレス動的更新プログラムをダウンロードしてインストールする VPN
GUI: デバイス>動的更新> GlobalProtect クライアントレス VPN >
ダウンロード >確認し、ダウンロード完了後にアクティブ化します。
 
ユーザー追加イメージ
  1. 手順 2: クライアントレス アプリケーションを構成する VPN
ネットワーク GlobalProtect >> クライアントレス アプリ> [追加] をクリックします
  1. エントリの名前を入力します (これは firewall 、 にのみ表示されます)。
  2. アプリケーションホームに入る URL
  3. この例では、デフォルトの nginx ディレクトリ /usr/share/nginx/html/ へのリンクをhttp://10.73.105.181/します。
  4. アプリケーションの 説明 を入力します (クライアントレス ポータルに正常にログインすると表示されます VPN )
ユーザー追加イメージ
  1. 手順 3: プロキシの設定 DNS
ネットワーク > DNS プロキシ> [追加] をクリックします
  1. エントリ名前を入力します (これは firewall 、 にのみ表示されます)。
  2. プライマリサーバーを入力 DNS する
  3. セカンダリサーバーを入力 DNS する
  4. クライアントレス VPN ポータルが割り当てられている正しいインターフェイスを追加します。 
ユーザー追加イメージ
 
  1. ステップ 4: GlobalProtect クライアントレス アクセス用のポータルの構成 VPN
ネットワーク > GlobalProtect > ポータル>追加
  • ネットワーク設定の構成
  • [インターフェイス]ドロップダウンから適切なインターフェイスを選択します
  • IP [IPv4アドレス] ドロップダウンから正しいアドレスを選択します。
ユーザー追加イメージ
 
  • サーバー認証クライアント認証の構成
  • サーバー認証の場合は、前提条件から構成された正しいSSLサービス TLS プロファイル/サービス プロファイルを選択します。 VPN
  • クライアント認証の場合は、前提条件から構成された正しい認証プロファイルを選択します:ローカル認証
ユーザー追加イメージ
 
  • 構成する GlobalProtect ポータル クライアントレス VPN (一般)
  • チェックボックスをクリックして VPN 、ポータルでクライアントレスを有効にします。
  • ポータルに対して構成されている正しい ホスト名 ( FQDN / ) を選択 IP します。
  • 前提条件からインターフェイスに構成された正しい セキュリティ ゾーン を選択します: クライアントレス VPN ポータルのインターフェイスを構成します。
  • 手順 3 で設定した正しい DNS プロキシ プロファイルを選択 します。
ユーザー追加イメージ
 
  • クライアントレスの設定 VPN (アプリケーション)
  • [アプリケーション] タブ[追加] を選択して、[アプリケーションからユーザーマッピング]ウィンドウを表示します。
  • エントリの 名前 を入力します (これは、 firewall
  • [許可する任意のユーザー]のチェックボックスをオンにします。
    1. この例では、グループマッピングは含まれません。
    2. 特定のユーザー/ユーザー グループ設定が必要な場合は、グループ マッピングを構成してください。
  • ポータルに正常にログインした後に使用可能になるステップ 2のアプリケーションを追加します。
ユーザー追加イメージ
 
  • (オプション) クライアントレス VPN の構成 (暗号設定)
  • セキュリティ標準に準拠する暗号設定を変更する
ユーザー追加イメージ

Additional Information


検証/トラブルシューティング:

ステップ 1: クライアントレス ポータルにアクセス VPN し、認証します。 IP https:/// または https://fqdn

ユーザー追加イメージ

ステップ2:アプリケーションをクリックします。

ユーザー追加イメージ

ステップ 3: アプリケーションがクライアントレスポータルを通じて表示されていることを確認 VPN します。

ユーザー追加イメージ

手順 4: 接続しているユーザーを表示する
  1. >グローバル保護ポータルの現在のユーザー ポータル GP- ポータル フィルター - ユーザー全ユーザーを表示します。
GlobalProtect Portal              : GP-Portal
Vsys-Id                           : 1
User                              : user1
Session-id                        : 6b36Lv0fXV9IdpaxD2IoYVKNhU28Gcqt
Client-IP                         : 172.16.0.10
Session start time                : Wed Sep  9 11:14:02 2020
 
Inactivity Timeout                : 1800
Seconds before inactivity timeout : 1791
Login Lifetime                    : 10800
Seconds before login lifetime     : 10790
Size of cookie cache              : 0
Source Region                     : 172.16.0.0-172.31.255.255
 
 
Total number of user sessions: 1

ステップ 5: セッションを確認する
  1. > セッションを表示するすべてのフィルタ先 172.16.0.1
--------------------------------------------------------------------------------
ID          Application    State   Type Flag  Src[Sport]/Zone/Proto (translated IP[Port])
Vsys                                          Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
16853        ssl            ACTIVE  FLOW *ND   172.16.0.10[64867]/L3-Trust/6  (172.16.0.10[64867])
vsys1                                          172.16.0.1[443]/L3-Trust  (172.16.0.1[20077])
16765        undecided      ACTIVE  FLOW *ND   172.16.0.10[64868]/L3-Trust/6  (172.16.0.10[64868])
vsys1                                          172.16.0.1[443]/L3-Trust  (172.16.0.1[20077])
2. >表示セッション ID 16853
Session           16853
 
        c2s flow:
                source:      172.16.0.10 [L3-Trust]
                dst:         172.16.0.1
                proto:       6
                sport:       64867           dport:      443
                state:       ACTIVE          type:       FLOW
                src user:    user1
                dst user:    unknown
 
        s2c flow:
                source:      172.16.0.1 [L3-Trust]
                dst:         172.16.0.10
                proto:       6
                sport:       20077           dport:      64867
                state:       ACTIVE          type:       FLOW
                src user:    unknown
                dst user:    user1
 
        start time                           : Wed Sep  9 11:33:47 2020
        timeout                              : 120 sec
        time to live                         : 99 sec
        total byte count(c2s)                : 1787
        total byte count(s2c)                : 0
        layer7 packet count(c2s)             : 7
        layer7 packet count(s2c)             : 0
        vsys                                 : vsys1
        application                          : ssl 
        rule                                 : interzone
        service timeout override(index)      : False
        session to be logged at end          : True
        session in session ager              : True
        session updated by HA peer           : False
        session proxied                      : True
        address/port translation             : destination
        nat-rule                             : (vsys1)
        layer7 processing                    : enabled
        URL filtering enabled                : True
        URL category                         : any
        session via syn-cookies              : False
        session terminated on host           : True
        session traverses tunnel             : False
        session terminate tunnel             : False
        captive portal session               : False
        ingress interface                    : ethernet1/2
        egress interface                     : ethernet1/2
        session QoS rule                     : N/A (class 4)
        end-reason                           : unknown
        Proxy Info:                            
                Proxy Flow
                Index: 222, Type: offload, Tag: 16853, Dir: cts
                Stopped

ユーザーからPortal へのトラフィックを許可するセキュリティpolicyが設定されていることを確認し、ポータルからアプリケーション サーバーへのアクセスを  

ユーザー追加イメージ

許可するポートal が ping を使用して接続をテストするためにインターフェイスで Pingアクセスできることを確認する: 443 を介してポータルにアクセスする必要があります。 IP https:///またはhttps://fqdn

ユーザー追加イメージ

認証成功していることを確認する
  1. 尾ははい mp-ログ authd に従ってください
debug: _get_auth_prof_detail(pan_auth_util.c:1089): non-admin user thru Global Protect "user1" ; auth  profile "Local-Auth"
 ; vsys "vsys1"
debug: _get_authseq_profile(pan_auth_util.c:876): Auth profile/vsys (Local-Auth/vsys1) is NOT auth sequence
debug: _retrieve_svr_ids(pan_auth_service.c:645): could not find auth server id vector for Local-Auth-vsys1-mfa
debug: add_info_from_auth_profile_to_request(pan_auth_util.c:1045): MFA is not configured for the auth profile. 
No mfa server ids for the user "" (prof/vsys: Local-Auth/vsys1)
debug: add_info_from_auth_profile_to_request(pan_auth_util.c:1056): MFA configured, but bypassed for GP user ''. 
(prof/vsys: Local-Auth/vsys1)
debug: _authenticate_initial(pan_auth_state_engine.c:2562): Keep original username, i.e., whatever end-user typed, "user1"
 in request->username
debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:628): This is a single vsys platform, group 
check for allow list is performed on "vsys1"
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1819): Authenticating user "user1" with 
<profile: "Local-Auth", vsys: "vsys1">
debug: pan_auth_response_process(pan_auth_state_engine.c:4301): auth status: auth success
debug: pan_auth_response_process(pan_auth_state_engine.c:4322): Authentication success: <profile: "Local-Auth", vsys:
 "vsys1", username "user1">
authenticated for user 'user1'.   auth profile 'Local-Auth', vsys 'vsys1', From: 172.16.0.10.
debug: _log_auth_respone(pan_auth_server.c:268): Sent PAN_AUTH_SUCCESS auth response for user 'user1' (exp_in_days=-1
 (-1 never; 0 within a day))(authd_id: 6870881929005105157)

PCAPアプリケーションをクリックした後のクライアント
  1. ポータル PC とのSSL接続形成します。 
ユーザー追加イメージ

Firewall PCAP アプリケーションをクリックした後
  1. アプリケーション firewall サーバーとのTCP接続を形成し、httpページを要求します (ポート 80 は構成済みで保護されていません)
ユーザー追加イメージ
 
PCAPアプリケーションをクリックした後のサーバー
  1. アプリケーション・サーバーは、要求された情報をポータルに送信し、HTTP ページがユーザー・デバイスに送信されます。
  2. 10.73.108.13 はパブリック インターフェイスの 1 つ IP です。
ユーザー追加イメージ
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HAt7CAG&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language