iPhoneアクセス用Global Protectゲートウェイの設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Configure Global Protect Gateway on Loopback Interface with iPhone Access

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Global-Protect-Gateway-...

 

httpsでないGlobal Protectポータルの使用に加えて、loopbackインターフェイスに紐付けられたゲートウェイにアクセスすることが可能です。Publicネットワークで使用できるIPアドレスが一つのみしかなく、OWAのようなSSLベースのアプリケーションをそのIPでもホストしたい場合、以下の設定手順を参照してください。

別のナレッジ記事 How to Configure GlobalProtect Portal Page to be Accessed on any Port も参照してください。1つ目のloopbackインターフェイスに加えて、ポータルのために2つ目のloopbackインターフェイスが必要になるでしょう。

 

追加のloopbackインターフェイスの作成

untrustに属するインターフェイスから、loopbackに対してPingが可能であることを確認しておきます。

> ping source 99.7.172.157 host 10.1.1.

    PING 10.1.1.2 (10.1.1.2) from 99.7.172.157 : 56(84) bytes of data.

    64 bytes from 10.1.1.2: icmp_seq=1 ttl=64 time=0.126 ms

    64 bytes from 10.1.1.2: icmp_seq=2 ttl=64 time=0.068 ms

 

    loopback.png

loopbackインターフェイスをポータルのアドレスとして割り当てます。

portal.png

loopback.1インターフェイスをゲートウェイのアドレスとして割り当てます。

gateway.png

 

以下のサービス群、およびそれらを含むサービスグループの作成

これらのサービスはゲートウェイのループバックインターフェイスにてアドレス変換されます。この例では、宛先とするポートは500 (ike/ciscovpn), 4501 (ipsec-esp-udp)です。

定義済みのservice-httpsに加えて、2つのカスタムサービスが"gateway"サービス グループ プロファイルに追加されています。
 

サービスの作成

  services.png

サービス グループ オブジェクトへのサービスの追加

gateway.png

必要なセキュリティ ポリシーを作成します。

先のナレッジ記事に記載したとおり、SSL標準ポート宛でないトラフィックを最初のループバック インターフェイスにリダイレクトするためのルールが必要です。

ここではGPポータルはポート443ではなく、ポート7000でアクセスできます。このルールの下に、ゲートウェイへのike、ipsec、panos-global-protect、sslそしてweb-browsingをそれぞれ許可するルールを作成します。

 

secpolicy.png

 

 

2つ目のループバック インターフェイス(loopback.1)にトラフィックを向けるNATポリシーを作成します。

loopback.1インターフェイスに先に設定した10.1.1.2にトラフィックを向けるために、この例ではgateway サービス グループを使用します。

 

 

natpolicy.png

 

ゲートウェイ上でのiPhone/iPad用の設定

'X-Auth サポート'を有効化してグループ名とグループ パスワードをそれぞれ設定します。これはモバイル機器のVPNプロファイル設定の際に利用されます。

 

vpn.png

 

VPNプロファイルを先の手順で設定した共有秘密鍵を使用して作成します。該当のプロファイルのパスワードは選択した認証方式と合わせる必要があります。(LDAP、Kerberos、ローカル データベースなど)

iphone.PNG

 

モバイル デバイスと同様に Global Protectクライアント経由でのアクセスを確認します。

 

> show global-protect-gateway current-user

 

        GlobalProtect Name : gp-gateway (2 users)

        Domain User Name      Computer        Client          Private IP      Public IP      ESP    SSL    Login Time      Logout/Expiration TTL     Inactivity TTL

        ------ ---------      ---------      ----------      ---------      ---    ---    ----------      ----------------- ---      ----------- ---

              \renato          PAN01347        Windows 7 (Version 6.1 Build 7601 Service Pack 1)10.10.10.2      64.124.57.5    exist  none    Oct.02 06:04:01 Nov.01 06:04:01  2589926  9641

              \renato          64.124.57.5    iPhone OS:6.0  10.10.10.1      64.124.57.5    exist  none    Oct.02 06:38:33 Oct.02 07:39:33  3657     10798

 

 

著者: rkalugdan