Настройка Remote Access VPN на устройствах Palo Alto Networks

В этой статье мы расскажем о настройке Remote Access VPN Global Protect на устройствах Palo Alto Networks.

Не будем усложнять статью настройкой идентификация пользователей средствами ActiveDirectory, Radius и прочего. Данная статья описывает базовую настройку Remote Access VPN и подразумевает, что администратор сам сможет выбрать метод идентификации пользователя и его настроить.

Принцип подключения достаточно прост. Клиент с установленным агентом вводит адрес сервера и нажимает «Connect», после чего агент соединяется с Порталом (который мы настроим и опубликуем в данной статье) и получает конфигурацию списка шлюзов. Далее агент устанавливает соединение с шлюзом, который по ряду параметров рекомендуется для установки соединения.

Добавление портала для VPN Remote Access.
Мы имеем простую топологию, где наше устройство безопасности является и Порталом, и Шлюзом.

Подключаемся на наш шлюз через Web-интерфейс. Далее переходим во вкладку Network->GlobalProtect->Portals.

В первой вкладке “General” вводим имя Портала, интерфейс, через который Портал смотрит в интернет, тип ip-адреса и сам адрес. В поле “Portal Login Page” указываем “factory-default”. Это поле не обязательное, но настроить его необходимо, чтобы любой удаленный пользователь мог подключиться и скачать агента для установки VPN-соединения.

Далее открываем вкладку “Authentication”, в поле SSL/TLS Service Profile выбираем профиль шифрования. В окне “Client Authentication” добавляем клиентов, которые могу авторизоваться на портале по web. В окне “Certificate Profile” можно добавить профиль сертификата, чтобы к порталу могли подключиться только те пользователи, у которых есть сертификат.

Далее открываем вкладку “Agent”. В данной вкладке настраивается конфигурация для агента.
Первая вкладка в новом окне будет “Authentication”. В поле “Name” вписываем имя.

Во вкладке “User/User Group” можем указать пользователя, группу и операционную систему, совпадение которых может получить данную конфигурацию. Если соответствия нет, то пользователь не устанавливает VPN-соединение. В нашем случае это может быть любой пользователь с любой операционной системой.

Переходим во вкладку External. В окне “External Gateways” добавляем шлюз, к которому будем подключаться.

В поле “Name” указываем имя данной конфигурации. В качестве адреса указываем доменное имя, если мы подключаемся по имени или ip

Далее переходим во вкладку “App”, тут можно настроить конфигурацию самого агента. Подробно описывать я не буду, т. к. эти настройки не обязательны, кроме одного пункта.

В поле “Connect Method” нужно выбрать “On-demand”. При выборе данного типа подключения, пользователю будет необходимо запустить агента и ввести логин и пароль для подключения.

Возвращаем в начало настройки Портала во вкладку “Agent”.

Внизу обязательно добавляем сертификаты центра сертификации.

Везде нажимаем “OK”. Настройка портала закончена.

Настройка шлюза для VPN Remote Access.

Заходим в Network->GlobalProtect->Gateways

Во вкладке “General” указываем имя нашего шлюза, интерфейс, которым шлюз смотрит в интернет, тип адреса и сам адрес.

Во вкладке “Authentication” указываем профиль шифрования. В поле “Client Authentication” добавляем аутентификацию, благодаря которой пользователь сможет построить соединение со шлюзом.

В поле “Agent” обязательно проверяем наличие галочки “Tunnel mode”. Галочку “Enable IPSec” рекомендует включать производитель. Если данная галочка включена, то агент сначала будет пробовать соединиться по средствам IPSec VPN и если не получится, то тогда уже перейдёт в режим SSL VPN.

Переходим во вкладку “Client Settings” и добавляем настройки, которые получит клиент при подключении.

Во вкладке “Authentication Override” указываем имя нашей конфигурации.

Во вкладке “User/User Group” можно добавить пользователя или группу, на которого распространится данная конфигурация. Также можно добавить операционную систему.

Во вкладке “IP Pools” настраиваем подсеть, в которой будут находится vpn пользователи.

Во вкладке “Split Tunnel” настраиваем маршруты. Добавленные маршруты пропишутся в таблицу маршрутизации при соединении. Опция “No direct access to local network” означает, что при включении данной опции весь трафик будет идти только через GlobalProtect Agent.

Во вкладке “Network Services” добавляем DNS сервер.

На этом настройка VPN сервера на Palo Alto завершена.

Опубликовано в рубрике Palo Alto