笔记 PaloAlto

PaloAlto 防火墙 VPN 配置(IPsec+GlobalProtect)

准备工作

默认信息

登录密码:admin/admin

配置防火墙带外管理口

以配置172.16.100.101/24,网管172.16.100.1为例:

1
2
3

configuration
set deviceconfig system ip-address 172.16.100.101 netmask 255.255.255.0 default-gateway 172.16.100.1 type static
commit

任务描述

Topology

按拓扑图要求:

  • 通过管理机(FW MGMT)配置PA防火墙
  • FW1FW2之间构建IPsec VPN
  • FW1公网接口(2.61.243.10/23)上配置GlobalProtectNIKOLA进行远程接入
  • WEB-01WEB-02通过IPsec VPN进行通信
  • NIKOLA可以通过远程VPN接入访问WEB-01WEB-02

操作步骤

配置防火墙接口

防火墙接口上的IP地址已经预先配置,以下部分将在FW1上配置

  • 进入Network->Interfaces->Ethernet,选择ethernet1/1接口

1-1

  • 选择ethernet1/1接口的虚拟交换机为default

1-2

  • 选择Security Zone->New新建安全区域internet

1-3

  • (可选)为了便于调试,在接口上放行ICMP协议,选择Advanced,新建Management Profile,选择Ping并将配置命名为icmp

1-4

1-5

  • ethernet1/2配置虚拟交换机default,并新建安全区域dmz

1-6

  • 确认接口配置

1-7

以下部分将在FW2上配置

  • 在FW2上,进行与上方操作相对应的接口配置,结果如下

1-8

以下部分将在两台防火墙上做相同配置

  • 为便于调试,在两台防火墙上,放行所有流量,进入Policies->Security,点击Add添加策略条目

1-9

1-10

1-10

以上步骤完成后,Commit操作,测试Web服务器、防火墙间的连通性。

新建证书颁发机构与VPN证书

以下部分将在FW1上配置

  • 进入Device->Certificate Management->Certificates->Device Certificates点击Generate生成CA机构

2-1

  • 再次点击Generate,使用CA机构生成证书

2-2

  • 确认证书信息

2-3

以下部分将在FW2上配置

  • FW2上做对应配置

2-4

以下部分将在两台防火墙上做对应配置

  • 选择rootca-fw证书,点击Export Certificate导出证书

  • 点击Import交叉导入两端证书

2-5

FW1上的证书

FW2上的证书

配置IPsec隧道

以下部分将在FW1上配置

  • 进入Network->IPsec Tunnels,点击Add
  • 新建Tunnel与其安全区域vpn

3-1

  • 新建IKE Gateway
  • 新建Certificate Profile

3-2

3-3

3-4

3-5

以下部分将在FW2上配置

  • FW2上做对等配置

3-6

配置虚拟路由器

以下部分将在两台防火墙上做相同配置

  • 进入Network->Virtual Routers,选择default条目
  • 选择Static Routes->IPv4,点击Add添加新条目

3-7

3-8

  • 成功建立IPsec VPN

3-9

3-10

创建用户

以下部分将在FW1上配置

  • 进入Device->Users,点击Add创建用户

4-1

配置GlobalProtect Portal

以下部分将在FW1上配置

  • 进入Network->GlobalProtect->Protals,点击Add添加条目

5-1

  • 切换至Authentication选项卡,创建SSL/TLS Service Profile

5-2

  • 点击Add添加Client Authentication,新建Authentication Profile

5-3

  • 点击Advanced,添加Allow List

5-4

  • 点击OK,返回上级后(Client Authentication),在Allow Authentication with ... OR Client Certificate选项中选择YES

5-5

  • 点击OK,回到GlobalProtect Portal创建界面

5-6

  • 切换至Agent选项卡,点击Add新建Agent

5-7

  • 切换至External选项卡,新增内部网关

5-7-3

  • 点击HIP Data Collection,取消勾选Collect HIP Data,点击OK完成创建

5-8

  • 点击OK后,回到Agent选项卡,添加信任CA证书

5-8-2

配置GlobalProtect Gateway

以下部分将在FW1上配置

  • 进入Network->GlobalProtect->Gateways,点击Add添加条目

5-9

  • 切换至Authentication选项卡,点击Add新建Client Authentication

5-10

  • 点击OK完成客户端授权条目创建

5-11

  • 切换至Agent选项卡,开启隧道模式,然后新建tunnel

5-12

  • 关闭IPsec,然后切换至Client Settings,点击Add新建条目

5-13

  • 点击OK确认创建

5-14

  • 切换至IP Pools,添加IP池

5-14-2

  • 再次点击OK创建网关

5-15

5-16

  • 调整vpn区域的设置,开启用户认证

5-17

  • 为隧道添加IP

5-18

成功使用客户端登录连接

6-1

6-2

补充

  • 通过在对端增加GlobalProtect的内网IP段的静态路由,走Site-to-Site IPsec VPN可以实现远端接入整个网络。
  • 可以不配置隧道的接口IP,但这会导致traceroute时部分路由反馈为*
© 2022 - 2024 Joe's Ark

Built with Hugo
主题 StackJimmy 设计