Palo Alto Global Protect SSL VPN 設定

內容目錄

Architecture

主要在實習期間測試的Palo Alto Network SSL VPN

最後自己覺得架構如下

重點是PA這一端的設定

Interface

對PC的內腳我使用eth2: 172.16.85.100/24 Trust

外腳選eth1: 192.168.88.45/24 Untrust

Global Protect Portal連線時從外腳進來

NAT出去也是從外腳出去

Certificate

因為我是在ESXi上測試

所以需要自己產憑證

到Device->Certificate Management -> Certificates

Generate一張給Global Protect的cert

記得勾選Certificate Authority

加密演算法使用預設的RSA 2048跟SHA256做驗證即可

記得勾選Trusted Root CA

SSL/TLS Service Profile

連線過程是使用SSL/TLS來做驗證

到Device->Certificate Management -> SSL/TLS Service Profile

新增一份SSL/TLS簽章profile給Global Protect使用

創建一個Tunnel需要的VPN Zone

到Network->Zones

新增一個zone

Tunnel

Global Protect屬於SSL VPN

故VPN都會需要一條Tunnel

到Network->Interface->Tunnel

新增一條Tunnel

Interface Name後面取一個數字即可

Virtual Router選擇default

出去的routing都是公司架設好的VLAN

故我直接使用default接可以出去的

如果你是使用自己的環境要去設定好你的routing

Security Zone選擇VPN Zone

VPN Zone

創建一個Tunnel需要的VPN Zone

到Network->Zones

新增一個zone

在把剛才增加的tunnel加進來

Global Protect Portal

portal顧名思義就是外部使用者連線進來的窗口界面

我們選擇對外的窗口外腳是eth1: 192.168.88.45/24

所以我們需要創一個撥接的介面

到Network->GlobalProtect-Portals

General

新增一個portal

如剛才所說我們對外interface是eth1所以Network Setting選擇ethernet1/1

然後IP Address可以下拉選擇

Authentication

一樣portal config裡面第二個authentication

驗證時使用剛才新建的SSL Certificate

以及新增Client在驗證時的條件

我選擇是any client都可以存取驗證

然後驗證的profile選擇dyna

代表說只要是在這個Group裡面所可以抓取到的client都能夠連接我們的VPN

會在之後進行設定

Agent

再來進行Client端的Agent需要設定一些條件

一開始會是空的

然後需要新增一個Agent的條件

以及對外時的portal設定

IP只需填寫IPv4即可

新增來源條件我選擇any

到這裡創建portal所需要的profile

回到Global Protect Portal Configuration的Agent

下面的Trusted Root CA新增剛才建給GP用的憑證

然後Install in Local Root Certificate Store要勾選起來

因為是我們自己內部建的

所以使用者在下載時得一併把憑證安裝在自己的電腦內

Global Protect Gateway

剛才Portal只是提供一個介面

portal連線確認後會把流量倒到Gatewat裏面

到Network->GlobalProtect->Gateways

General

新增一個GP Gateway

通常Interface會跟Portal預設用一樣的

Authentication

認證的部分跟portal設定上差不多項

一樣用剛才建的SSL憑證來驗證使用者

我最初開始使用的Group是PA跟AD互連的LDAP Group

Agent

以及導入到Gateway時的設定

要跟portal使用同一條tunnel

接著是Client Setting的部分

設定一組要轉換IP Pool以及Split Tunnel

IP Pool就是外部使用者播進來後會轉成哪一段IP

要注意的是IP Pool派送IP時只能使用subnet或者range, 所以要指派送一組IP的話就要用同一組IP到同一組IP, e.g. 192.168.1.91-192.168.91.1

Full Tunnel

Global Protect預設是使用Full Tunnel

指說PC連進VPN後全部的流量都走進Firewall內

由Firewall來決定之後的流量走向

所以不需要額外設什麼

而我測試時讓PC不連任何Gateway

讓PC自己去找Gateway

Split Tunnel

Split Tunnel是指可以設定讓PC去存取特定的網段時才走進Firewall SSL VPN

其他網站都是使用者自己的網卡連出去的

我設定10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16這三個內網網段連內部機器時才走進SSL VPN

其他連到網路上的網站由使用者自己的流量連過去

這樣做的方法有利有弊

利是VPN頻寬流量可以比較省

但弊就是無法完全掌握使用者的網站存取

到這裡為止Global Protect的設定就完成

接著到Client端的PC上去測試

Palo Alto Connect to LDAP Server

Service Route的LDAP要能與AD Server溝通, OOB要連到AD, 代表這幾個server都要放在同一網段

使用UID Agent來mapping AD User資訊, 需要能夠跟LDAP Service溝通

若AD沒有安裝Agent的話不需要設定UID-Agent

Result

首先我讓PC跟Global Protect Portal弄同一網段

確保我的機器可以連到GP

剛才設定對外的GP Portal點是https://192.168.50.8

所以確認是同一網段開啟瀏覽器連線portal

下載相對應PC的檔案

安裝好之後背景程式會出現一個地球的application

以及會多一片虛擬網卡專門連線Global Protect的

接著開始撥接Global Protect SSL VPN

針對GP Portal對外的192.168.50.8做連線

使用LDAP Group裡面的帳號登入

連線成功之後就會顯示畫面如下

然後可以檢查自己的IP是不是有播給你VPN線路

172.17.1.0/24是我剛才在Gateway裏面IP Pool設定的範圍內

Global Protect Client

使用者在播進portal時下載Agent

要記得把GP的Client Application下載並且Active起來

到Device->Global Protect Client

選擇版本Download->Active

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。