Базовая настройка Global Protect в режиме On-demand.

В данной статье мы разберём самые базовые аспекты в настройке VPN и дадим рекомендации.

Global Protect работает и может быть настроен по умолчанию на любом девайсе Palo Alto Networks без лицензии для MAC и Windows. Лицензия GlobalProtect расширяет функционал и добавляет дополнительную поддержку ОС (Linux, Android, IOS). Более детально с дополнительным функционалом подписки можно ознакомиться по ссылке.

ШАГ 1. Установите GlobalProtect Client на фаервол.

Перейдите по вкладке Device > GlobalProtect Client, нажмите Check now для получения последних существующих версий. Выберите предпочитаемую версию, скачайте и установите. Данная операция не обязательна. Она нужна, чтобы скачать приложение Global Protect с нашего портала.

ШАГ 2. Создайте самоподписанный сертификат.

Для подключения по GP требуется сертификат. Вы можете использовать самоподписанный сертификат либо CA сертификат, подписанный сторонними организациями. В данном гайде мы опишем метод с сертификатом, созданным на самом фаерволе.

Для начала, нужно создать Root сертификат:

1. Перейдите по вкладке Device > Certificate Management > Certificates и на нижней панели нажмите Generate.
2. Назовите сертификат ( неважно как ) и задайте CN (в данном случае может быть что угодно, мы дали значение как и имя сертификата)
3. Выберите галочку Certificate Authority.
4. Нажмите Generate

1. Теперь нужно создать серверный сертификат, подписанный Root сертификатом. Нажмите на Generate.
2. Дайте имя сертификату.
3. В данном сертификате в Common Name нужно указать IP адрес или FQDN внешнего интерфейса, на который будут подключаться пользователи по VPN. В нашем случае это адрес внешнего интерфейса, смотрящего в интернет.
4. В секции Signed by выберите Root сертификат, который мы создали до этого.
5. В Certificate Attributes выберите IP или FQDN (В зависимости от того, какой вы используете формат) вашего внешнего IP адреса. Это значение должно совпадать с вашим CN.
6. Нажмите Generate.
7. Нажмите Commit.

ШАГ 3. Создайте SSL/TLS профиль.

Данная настройка нужна, для того чтобы указать фаерволу, с помощью какого сертификата будет устанавливаться соединение и подниматься туннель GP.

1. Перейдите по вкладке Device > Certificate Management > SSL/TLS Service Profile. Нажмите Add на нижней панели.
2. Выберите серверный сертификат, который мы создали.
3. Укажите минимальную и максимальную версию протокола TLS, которая будет использоваться в построении туннеля.
4. Нажмите Commit

ШАГ 4. Создайте Authentication Profile.

Данная настройка нужна для того, чтобы указать фаерволу, как аутентифицировать пользователей в VPN. Вы можете использовать аутентификацию через LDAP, Radius, Local database (Созданную на самом фаерволе) и тд. В данном примере мы будем использовать Local database.

1. Перейдите во вкладку Device > Authentication Profile и на нижней панели нажмите Add.
2. Во вкладке Type выберите Local Database.
3. Перейдите во вкладку Advanced и в Allow list выберите All.
4. Нажмите ОК.
5. Нажмите Commit

ШАГ 5. Настройте туннельный интерфейс и зону для GP.

Для успешного соединения из вне, нужно настроить виртуальный туннельный интерфейс. Так как данное подключение будет осуществляться из интернета, мы советуем отделить зону VPN от External. Вы так же можете прикрепить данный интерфейс к любой зоне.

1. Перейдите во вкладку Network > Interfaces > Zones и на нижней панели нажмите Add.
2. Дайте имя зоне, которое вы хотите использовать для VPN.
3. Выберите тип зоны Layer 3.
4. Включите галочку Enable User İdentification.

1. Перейдите во вкладку Network > Interfaces > Tunnel и на нижней панели нажмите Add.
2. Вместо имени, туннельный интерфейс использует ID. Укажите любую не занятую цифру от 1 до 9999.
3. Выберите виртуальный раутер и зону, которые вы хотите использовать.

Для данного интерфейса не нужно указывать IP адрес. Он нужен в случае, если вы хотите мониторить подключение.

ШАГ 6. Настройте GlobalProtect Gateway.

1. Перейдите во вкладку Network > GlobalProtect > Gateways и на нижней панели нажмите Add.
2. Дайте имя шлюзу.
3. Во вкладке General укажите интерфейс, смотрящий в сторону интернету. Выберите IP адрес.

1. Перейдите во вкладку Authentication.
2. Выберите SSL/TLS профиль, созданный нами ранее.
3. В Client Authentication нажмите кнопку Add. Дайте название и выберите метод аутентификации. В нашем случае, мы используем Local Database.
4. Перейдите во вкладку Agent. Поставьте галочку Tunnel mode и выберите туннельный интерфейс, созданный нами ранее.
5. Перейдите во вкладку Client Settings. Нажмите Add.
6. Дайте имя профилю.
7.  Перейдите во вкладку IP pools. Данная настройка указывает GP, какой диапазон IP адресов будет выдан нашем пользователям. Задайте диапазон/перечень адресов.
8.  Перейдите во вкладку Split Tunnel. В данном примере мы будем использовать конфигурацию Full Tunnel, что означает, что весть трафик будет идти через туннель. Вы можете включить или исключить адреса из туннеля.
9. Нажмите Ок и перейдите во вкладку Network Services.
10.  Укажите, какие DNS адреса будут присваиваться подключившимся пользователям.

Далее нажмите Ок и можно приступать к настройке GP портала.

ШАГ 7. Настройте GlobalProtect Portal.

Портал GlobalProtect предоставляет функции управления вашей инфраструктурой GlobalProtect. Каждая конечная точка, участвующая в сети GlobalProtect, получает информацию о конфигурации с портала, включая информацию о доступных шлюзах и любых клиентских сертификатах, которые могут потребоваться для подключения к шлюзам. Кроме того, портал контролирует поведение и распространение программного обеспечения приложения GlobalProtect на конечные точки как macOS, так и Windows.

1. Перейдите во вкладку Network > GlobalProtect > Portals и на нижней панели нажмите Add.
2. Дайте имя порталу.
3. Во вкладке General укажите интерфейс, смотрящий в сторону интернету. Выберите IP адрес.

1. Перейдите во вкладку Authentication.
2. Выберите SSL/TLS профиль, созданный нами ранее.
3. В Client Authentication нажмите кнопку Add. Дайте название и выберите метод аутентификации. В нашем случае, мы используем Local Database.

1. Перейдите во вкладку Agent.
2. В Trusted root CA выберите созданный ранее Root сертификат и поставьте галочку Install in local root certificate store.
3. Во вкладке конфиг нажмите на кнопку Add.
4.  Дайте имя профилю.
5. Перейдите во вкладку External и нажмите Add. Дайте имя шлюзу и укажите IP/FQDN вашего шлюза. В нашем случае это IP внешнего интерфейса.
6.  Во вкладке Source region выберите Any. Нажмите Ок.

1.  Далее перейдите по вкладке App. Данный раздел отвечает за то, какую конфигурацию получит пользователь. GlobalProtect может похвастаться достаточно широким функционалом и гибкой настройкой. В данном гайде мы не будем трогать данную настройку, кроме метода подключения.
2. Во вкладке App configurations откройте Connect Method и выберите On-demand. Данная настройка позволяет пользователь подключаться и отключаться от GP мануально в любое время. Так же существуют 2 других метода User-logon и Pre-logon. Настройка данных методов отличается и нужно четко понимать, какой метод нам нужен. В данном гайде мы хотим показать самую базовую настройку.
3. Нажмите Ок. Далее можно нажать Commit.

ШАГ 8.  Создать политики, разрешающие выход в интернет VPN пользователям.

Так как мы указали отдельную зону для GP, нам нужно добавить политики с данной зоной, либо добавить зону уже в существующие политики.

Security Poclicy:

NAT Policy:

После добавления зоны во все политики, нажмите Commit.

ШАГ 9.  Проверьте работоспособность GlobalProtect.

В первую очередь, нужно скачать приложение GP. Для этого нам поможет GP портал. Откройте браузер и впишите IP/FQDN нашего портала. Например https://10.0.0.1

Отсюда мы сможем скачать GP. Вы так же можете скачать GP приложение с портала поддержки Palo Alto Customer Support Portal.

Далее, после скачивания и установки GP, введите IP/FQDN нашего портала и нажмите connect.

Если у Вас возникли трудности в настройке Global Protect, Вы можете обратиться в поддержку BAKOTECH и мы будем рады Вам помочь.