#Author https://cnblogs.com/id404

一、證書設置 

 

1、生成rootCA證書

證書名和常見名稱可填寫任意，一定要勾選 證書授權機構

 

 

 

 

 

2、用生成的CA證書簽發vpn證書

證書名稱可填寫任意

常見名稱要填寫公網的IP地址或域名，至于是地址還是域名 取決于登陸的時候是ip還是域名，這一項填寫錯誤會導致客戶端登陸的時候出現告警并無法連接

簽名者要選擇上一次生成的根證書

不能選擇 證書授權機構

 

 

3、用生成的證書簽發用戶證書

要求和上一步一樣

 

 

4、配置SSL/TLS服務配置文件

證書需選擇第2步中的證書

 

證書也可以直接選擇根證書。如果外網域名的IP變動頻繁或有多個IP ，SSL/TLS服務配置文件無法選擇多個web證書，web證書上的IP和實際連接的IP不一樣時會 出現 “無法驗證網關服務器證書”的錯誤 。此時證書可直接選擇根證書GP_rootCA  (經驗證MAC OS能正常登陸 ，windows無法正常登陸，建議建多個portal 和gateway)

 

 

二、用戶認證

1、新增本地用戶

輸入用戶名和密碼

 

 

2、設置身份驗證配置文件

類型需選擇本地數據庫

 

 

 

三、配置隧道接口

注意此處的IP地址與客戶端地址同網段，客戶端的數據經隧道接口轉發至內網

 

 

四、配置GlobalProtect網關

接口選擇外網接口，IPv4地址選擇外網的IP

 

 

 

這里兩個cookies的選項不建議勾選，否則PA上刪除賬號后 cookies還沒過期的話賬號依然能登陸

 

 

地址池和隧道口同網段

 

訪問路由添加內網的路由，否則客戶端無法訪問內網資源

 

 

五、配置GlobalProtect Portal

 

這里兩個cookies的選項不建議勾選，否則PA上刪除賬號后 cookies還沒過期的話賬號依然能登陸

保存用戶憑據根據實際選擇，選擇YES的話客戶端會自動保存用戶、密碼，客戶端重新打登陸不需要再輸入

 

 

添加外網IP或域名

 

 

 

六、修改GlobalProtect端口

GlobalProtect默認為443端口，若公網443端口被運營商封禁，需要將端口改為其它端口

參考：

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGKCA0

原理：

新建 loopback口，將GlobalProtect 網關和門戶的接口改為loopback

將外網接口的其它端口NAT至loopback的443端口

 

七、NAT及安全策略

略

 

八、客戶端安裝證書

若客戶端沒有安裝證書，會提示無法驗證網關的服務器證書

 

需要導出根證書并在客戶端電腦將證書設置為信任的

 

證書導出路徑：

windows:

證書需要存儲在 受信任的根證書頒發機構

 

MAC

 

 

 

九、客戶端下載

方式1、確保有授權的情況下檢查更新

 

web登陸后會的客戶端的下載鏈接

 

 

方式2登陸PA的supoort網站 https://support.paloaltonetworks.com/

 

其中GlobalProtect Agent Bundle可上傳至設備，其它版本可直接安裝至對應的系統中

 

 

 

十、退出GlobalProtect客戶端

 

 

GlobalProtect客戶端沒有退出選項

在windows可新建以下bat腳本退出

 

echo off

taskkill /f /im pangpa.exe

sc stop PanGPS

rem sc config PanGPS start= demand

rem pause

 

 

MacOS腳本 

#!/bin/bash



case $# in

   0)

      echo "Usage: $0 {start|stop}"

      exit 1

      ;;

   1)

      case $1 in

         start)

            echo "Starting GlobalProtect..."

            launchctl load /Library/LaunchAgents/com.paloaltonetworks.gp.pangpa.plist

            launchctl load /Library/LaunchAgents/com.paloaltonetworks.gp.pangps.plist

            echo "Done!"

            ;;

         stop)

            echo "Stopping GlobalProtect..."

            launchctl remove com.paloaltonetworks.gp.pangps

            launchctl remove com.paloaltonetworks.gp.pangpa

            echo "Done!"

            ;;

         *)

            echo "'$1' is not a valid verb."

            echo "Usage: $0 {start|stop}"

            exit 2

            ;;

      esac

      ;;

   *)

      echo "Too many args provided ($#)."

      echo "Usage: $0 {start|stop}"

      exit 3

      ;;

esac

 

十一、證書過期 

 

根證書續訂后需要重新導入至客戶端電腦

 

十二、其它問題 

12.1 根證書自動安裝

默認情況下客戶端需要手動安裝根證書，若希望客戶端自動安裝證書，可按如下設置

 

 

 

提交后新安裝的客戶在登陸的時候選擇仍然繼續就會自動安裝根證書，若沒有出現 仍然繼續 ，需卸載客戶端并重新安裝 。MAC OS 系統卸載需要使用卸載程序，不能直接刪除app,否則 仍然繼續按鍵無法點擊。