GlobalProtect带 Web 应用程序的基本无客户 VPN 端门户
52237
Created On 09/25/20 16:27 PM - Last Modified 03/26/21 18:39 PM
Objective
本文解释了如何配置无客户 VPN PAN-OS Firewall 端。
先决条件:
活动 GlobalProtect 许可证
配置无客户 VPN 端门户
身份验证(本地)
证书认证 GlobalProtect 门户
官方配置的界面 PAN :
无客户端 VPN
Environment
在此示例中,我们将使用以下内容:
- PA-VM 与 PAN-OS 9.1.3
- 应用程序服务器 - Centos 7 64x
- Web 应用程序 - Nginx
- 本地身份验证
Procedure
配置
- 第 1 步: 下载并安装 GlobalProtect 无客户 VPN 端动态更新
GUI: 设备>动态更新>立即检查> GlobalProtect 无客户 VPN 端>
下载 ,然后在下载完成后激活。
下载 ,然后在下载完成后激活。
- 第 2 步: 配置无客户 VPN 端应用程序
网络 GlobalProtect >>无客户端应用>单击"添加"
- 输入条目的名称(这仅显示在 firewall )
- 输入应用主页 URL
- 在此示例中,http://10.73.105.181/默认 nginx 目录 /usr/share/nginx/html/
- 输入 应用说明 (一旦成功登录到无客户端门户,将显示 VPN 此说明)
- 第 3 步: 配置 DNS 代理
网络> DNS 代理>单击"添加"
- 输入条目的名称(这仅显示在 firewall )
- 输入 主 DNS 服务器
- 输入 辅助 DNS 服务器
- 添加 VPN 分配给无客户端门户的正确界面
- 第 4 步: GlobalProtect 为无客户 VPN 端访问配置门户
网络 GlobalProtect >>门户>添加
- 配置网络设置
- 从接口下拉列表中 选择 正确的接口
- IP从IPv4 地址下拉中选择正确的地址
- 配置 服务器身份验证 和 客户端身份验证
- 对于服务器身份验证,请选择从预要求配置的正确SSL/ TLS 服务配置文件:为无客户 VPN 端门户配置界面
- 对于 客户端 身份验证,从 先决条件 中选择正确的身份验证配置文件: 本地身份验证
- 配置 GlobalProtect 门户无客户 VPN (一般)
- 单击复 选框 以启用 VPN 门户上的无客户端
- 选择 FQDN IP 为门户配置的正确主机名 ( / )
- 从预要求中选择用于界面的正确 安全区域 : 为无客户 VPN 端门户配置界面
- 选择第3 步中配置的正确DNS代理配置文件
- 配置无客户 VPN (应用程序)
- 选择 " 应用程序" 选项卡上的"添加 "以将 "应用程序"显示到用户映射 窗口
- 输入条目的 名称 (这仅显示在 firewall
- 单击"允许任何用户"复选框。
- 对于此示例,我们将不包括组映射
- 如果您需要特定的用户/用户组设置,请 配置组映射
- 从 步骤 2 中 添加应用程序 ,在成功登录到门户后,该应用程序将可用
- (可选) 配置无客户 VPN 端 (加密设置)
- 更改任何要符合安全标准的加密设置
Additional Information
验证/故障排除:
第 1 步:访问无客户 VPN 端门户并进行身份验证。 IP https:/// 或 https://fqdn
步骤2:单击应用程序。
第 3 步:通过无客户 VPN 端门户查看应用程序。
第 4 步:显示连接的用户
- >显示全球保护门户当前用户 GP- 门户门户过滤用户全用户
GlobalProtect Portal : GP-Portal
Vsys-Id : 1
User : user1
Session-id : 6b36Lv0fXV9IdpaxD2IoYVKNhU28Gcqt
Client-IP : 172.16.0.10
Session start time : Wed Sep 9 11:14:02 2020
Inactivity Timeout : 1800
Seconds before inactivity timeout : 1791
Login Lifetime : 10800
Seconds before login lifetime : 10790
Size of cookie cache : 0
Source Region : 172.16.0.0-172.31.255.255
Total number of user sessions: 1第 5 步:验证会话
- > 显示会话所有筛选器目标 172.16.0.1
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])
Vsys Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
16853 ssl ACTIVE FLOW *ND 172.16.0.10[64867]/L3-Trust/6 (172.16.0.10[64867])
vsys1 172.16.0.1[443]/L3-Trust (172.16.0.1[20077])
16765 undecided ACTIVE FLOW *ND 172.16.0.10[64868]/L3-Trust/6 (172.16.0.10[64868])
vsys1 172.16.0.1[443]/L3-Trust (172.16.0.1[20077])2. >会话 ID 16853Session 16853 c2s flow: source: 172.16.0.10 [L3-Trust] dst: 172.16.0.1 proto: 6 sport: 64867 dport: 443 state: ACTIVE type: FLOW src user: user1 dst user: unknown s2c flow: source: 172.16.0.1 [L3-Trust] dst: 172.16.0.10 proto: 6 sport: 20077 dport: 64867 state: ACTIVE type: FLOW src user: unknown dst user: user1 start time : Wed Sep 9 11:33:47 2020 timeout : 120 sec time to live : 99 sec total byte count(c2s) : 1787 total byte count(s2c) : 0 layer7 packet count(c2s) : 7 layer7 packet count(s2c) : 0 vsys : vsys1 application : ssl rule : interzone service timeout override(index) : False session to be logged at end : True session in session ager : True session updated by HA peer : False session proxied : True address/port translation : destination nat-rule : (vsys1) layer7 processing : enabled URL filtering enabled : True URL category : any session via syn-cookies : False session terminated on host : True session traverses tunnel : False session terminate tunnel : False captive portal session : False ingress interface : ethernet1/2 egress interface : ethernet1/2 session QoS rule : N/A (class 4) end-reason : unknown Proxy Info: Proxy Flow Index: 222, Type: offload, Tag: 16853, Dir: cts Stopped
确保安全policy到位,允许从用户到 Portal 的流量,并且从门户到应用程序服务器
,确保在界面上必须允许 Portal到达Ping 以测试通过 ping 的连接。门户必须通过 443 访问。 IP https:///或https://fqdn
确保身份验证成功
- 尾巴跟随是 mp-日志 authd.log
debug: _get_auth_prof_detail(pan_auth_util.c:1089): non-admin user thru Global Protect "user1" ; auth profile "Local-Auth"
; vsys "vsys1"
debug: _get_authseq_profile(pan_auth_util.c:876): Auth profile/vsys (Local-Auth/vsys1) is NOT auth sequence
debug: _retrieve_svr_ids(pan_auth_service.c:645): could not find auth server id vector for Local-Auth-vsys1-mfa
debug: add_info_from_auth_profile_to_request(pan_auth_util.c:1045): MFA is not configured for the auth profile.
No mfa server ids for the user "" (prof/vsys: Local-Auth/vsys1)
debug: add_info_from_auth_profile_to_request(pan_auth_util.c:1056): MFA configured, but bypassed for GP user ''.
(prof/vsys: Local-Auth/vsys1)
debug: _authenticate_initial(pan_auth_state_engine.c:2562): Keep original username, i.e., whatever end-user typed, "user1"
in request->username
debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:628): This is a single vsys platform, group
check for allow list is performed on "vsys1"
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1819): Authenticating user "user1" with
<profile: "Local-Auth", vsys: "vsys1">
debug: pan_auth_response_process(pan_auth_state_engine.c:4301): auth status: auth success
debug: pan_auth_response_process(pan_auth_state_engine.c:4322): Authentication success: <profile: "Local-Auth", vsys:
"vsys1", username "user1">
authenticated for user 'user1'. auth profile 'Local-Auth', vsys 'vsys1', From: 172.16.0.10.
debug: _log_auth_respone(pan_auth_server.c:268): Sent PAN_AUTH_SUCCESS auth response for user 'user1' (exp_in_days=-1
(-1 never; 0 within a day))(authd_id: 6870881929005105157)PCAP单击应用程序后的客户端
- 与 PC 门户形成SSL连接。
Firewall PCAP 单击应用程序后
- 形成 firewall 与应用程序服务器的TCP连接,并请求http页面(端口80未安全,如配置)
PCAP单击应用程序后服务器
- 应用程序服务器将请求的信息发送到门户,然后将 http 页发送到用户设备
- 10.73.108.13 是 IP 公共界面。