Palo Alto GlobalProtect Vpn Konfigurasyonu

yeni bir palo alto ssl vpn detaylı kurulum anlatım makalesinden Merhaba arkadaşlar

size palo alto’da ssl vpn global protect ssl vpn nasıl nerelerden ayarlanır ve ne gibi özellikleri var detaylı olarak anlatacağım sanırım biraz uzun bir makale olacak

evet başlayabiliriz,

  • şimdi öncelikle ssl vpn portal için ssl vpn oluşturmamız gerekece cihaz üzerinde

bunun için DEVICE-CERTIFICATE MANAGEMENT-CERTIFICATES GENERATE

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/sertifika_oluşturma copy.png

evet arkadaşlar sertifika oluştururken certificate type local yapalım isterseniz certificate Attributes bilgilerinide istediğiniz gibi doldurabilirsiniz

yalnız palo altoda şöyle bir şey var oluşturduğunuz hiçbir sertifika süresini 1 yıldan uzun yapamıyorsunuz her yıl yenilemek zorundasınız sanırım güvenlikten dolayı sertifika yıl olayını kısıtlamış kullanıcıya müdahale ettirmiyorlar

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/sertifika_oluşturma-2 copy.png

evet sertifikamızı oluşturduk şimdi bir sonraki adıma

daha önceki makalemizde ipsec vpn tunnel’deki gibi zone ve tunnel interface oluşturacağız

  • tunnel interface / zone oluşturulması

ilk önce interface tunnel oluşturalım

NETWORK-İNTERFACE-TUNNEL- ADD İSTEDİĞİMİZ BİR TUNNEL İD’Sİ VEREBİLİRSİNİZ BEN 5 VERDİM

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/tunnel-interface.png

daha sonra security zone’dan ssl-vpn için zone oluşturup tunnel zonuna gösterelim ve virtual routers default olarak gösterelim (opsiyonel olarak sizin yaptığınızda olabilir)

ve oluşturduğumuz ssl vpn tunnel’i aşağıdaki gibi olmalı

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-18 at 18.56.45.png

zone tarafına geldiğimizde’de

NETWORK-ZONES ALT SEGMEDE ADD diyelim

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/zone-2.png

yukarıda Type Layer3 OLMALI- interface (ssl vpn için oluşturduğunuz interface ekleyin) User Identification ACL( enable user Identification) sekmesini işaretleyin bu sekme hangi kullanıların ACL kuralına tabi olacakları anlamına gelir ACL buradan yapmıyoruz bu sadece policy tarafını ayırmamız için bir zone

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/zone-1.png

ve son olarak virtual routers’a tunnel interface’ini ekliyoruz işimiz bitiyor interface ve routing kısmında

NETWORK-VİRTUAL ROUTERS- DEFAULT KURALINI AÇALIM – ADD DİYİP TUNNEL İNTERFACE EKLEYELİM(SSL VPN İÇİN OLUŞTURULAN İNTERFACE’İ)

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/routing.png

evet interface kısmı bitti şimdi authentication profile ayarlamarına geçelim,

  • AUTHENTİCATİON PROFİLE oluşturuyoruz aşağıdaki gibi

DEVICE-AUTHENTİCATİON PROFİLE- ADD

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/auth-profile copy.png

yukarıda Authentication-Type Local database seçiyoruz (domain veya Ldap authentication kullanmıyorsanır- kullanıcıları domanin controller’dan çekmiyorsanız eğer dc üzerideyse ldap veya ad seçiyorsunuz, Local Database palo alto üzerinde oluşturduğum kullanıcılar ile authentica ol anlamını taşıyor

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/auth-profile-2 copy.png

yukarıda belirttiğim advanced ayarlarında (all) bütün kullanıcıları ve gurupları al dedim siz kendinize göre grup ve users belirtebilirsiniz ben hepsini aldım

  • AUTHENTİCATİON SEQUENCE auth-sequence

DEVICE-AUTHENTİCATİON SEQUENCE

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/auth-sequence copy.png

yukarıdaki işlem authentication sıralaması farklı farklı authentication methodları olduğu zaman bu kısımdan başka method varsa onlarıda ekleyebilirsiniz

bizim şuan yapmış olduğumuz yukarıda AUTHENTİCATİON-PROFİLE’da oluşturduğumuz AUTHENTİCATİON PROFİLE’ini göstermemiz gerekiyor

Evet şimdi Portal kısmına geçebiliriz

  • GLOBALPROTECT-PORTAL

NETWORK-GLOBALPROTECT-PORTALS’tabları

Öncelikle add diyip yeni bir portal oluşturuyoruz ,

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-03 at 01.49.09 copy.png

aşağıdaki adımda AUTHENTİCATİON PROFİLE (oluşturduğumuz profile görünecek ve onu ekleyeceğiz)

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-03 at 01.49.50 copy.png

aşağıdaki ayarlarda ssl sertifikası için oluşturduğumuz sertifikayı Trust CA bölümüne ekliyoruz,

daha sonra Agent config için ADD diyoru

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-03 at 01.53.04 copy.png

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-03 at 01.53.51 copy.png

aşağıdaki user group larına göre veya os işletim sistemlerine göre düzenleme yapabilirsiniz

mesela sadece Windowslar bağlansın yada mac’ler gibi, yada full yetkili gruplar gibi,

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-03 at 01.54.05 copy.png

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-03 at 01.54.24 copy.png

yukarıdaki ve aşağıdaki ekran görütüsünde External benim untrus bacağımdaki wan ip adresime gelecek diyorum ve 8443 portu ile ssl-vpn bağlantısı kurulaca aynı zamanda globalprotect portalınada 8443 portu ile bağlanacak yani ssl vpn ile ilgili portum 8443 opsiyonel olarak değiştirilebilir, defaultta bırakılır ise 443 palo alto web mgmt portu ile’de çakışır

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-03 at 01.54.42 copy.png

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-03 at 01.55.31 copy.png

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-03 at 01.57.02 copy.png

Evet Portals ayarlarını bitirdik, şimdi ssl vpn agent ayarlarını yapacağımız bölüme geldik yani Gateways

  • GATEWAYS –

NETWORK-GLOBALPROTECT-GATEWAYS TABINDAN

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-03 at 01.56.53 copy.png

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-03 at 01.59.24 copy.png

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-03 at 01.59.33 copy.png

aşağıda’da client authentication profile’ı tekrar sequence’deki profili göstereceğiz

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-03 at 01.59.55 copy.png

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-03 at 02.00.20 copy.png

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-03 at 02.00.32 copy.png

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-03 at 02.00.43 copy.png

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-03 at 02.00.57 copy.png

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-03 at 02.01.11.png

yukarıdaki görüntüde Access route’da any olarak bırakırsanız ssl vpn ile bağlananlar internete palo alto üzerinden çıkacak yani FULL TUNNEL olarak çalışacak

local network adreslerinizi tanımlarsanız internete kendi kaynaklarından bağlanacak

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-03 at 02.02.17 copy.png

yukarıdaki görüntüdede dikkat etmeniz gereken bir şey var Primary dns ve secondary dns olarak yazacağınız DNS’ler ssl vpn ile bağlanan kullanıcıların eğer split tunnel modda kullanılıyor ise ve internet’e ssl vpn ile bağlananlar kendi internet kaynaklarını kullanıyor ise dns’lerini local dc dns’lerine erişemediğinde ssl vpn ile bağlananlar dns çözemedikleri için web sayfası açamayacaklar’dır

şöyleki dns’sunucusuna ulaşamıyorum ulaşamadığım için web sayfası açamıyorum ssl vpn ile bağlıyım palo alto üzerinden internete çıkmıyorum (split tunnel) özel bir uygulama kullanmıyorsanız open dns verin 8.8.8.8 gb. Sap veya intranet gibi dns sorgusu yaptığınız uygulama kullanmıyor iseniz

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-03 at 02.02.31 copy.png

evet GlobalProtect portalımızı ve Gateway’ımızı oluştumuş bulunmaktayız

şimdi en son aşamamız kaldı o da ne o da NAT ve Security Policies’lerimiz

  • evet şimdi NAT’ımızı aşağıdaki gibi yapacağız yukarıdaki yaptığım config’te portal ve ssl vpn connect bağlantılarımı 443’te 8443’e çektiğim için policy ve natlarda portlarımı değiştirmem gerekiyor,

dümdüz olan çizgiyi dikkate almayın.

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-03 at 02.03.43 copy.png

ve ve ve son olarak security policy’mize geldik,

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-03 at 02.03.15 copy.png

evet şuan ssl vpn portalımızda agent tarafındaki ayarlarımızda hazır

şimdiiii geldik globalprotect portalına kullanıcı bağlandığında Windowslar için ve mac os lar için indirip kuracağız agent yazılımına nereden nasıl ayarlamamız gerekiyor

bunun için cihazımızın lisanslı olması gerekiyor’ki globalprotect client yükleyebilmeniz için lisansınız yoksaaa manual olarak dosyasını upload ederek kurmanız gerekecek

lisansınız veyahut trial lisansınız var ise

  • DEVİCE-GLOBALPROTECT CLİENT tabına gelin

Oradan Check Now diyin lisanslı olduğu için support desteği verecek ve otomatik olarak bütün dosyaralı cihazın üzerine indirecek ve sadece sizin

(download,install ve aktive etmeniz kalacak) bu işlemlerden son

https://8.8.8.8:8443 veya ip adresinizin sonuna https://xx.xx.x.xxx:8443 yazıp cihaza tanımladığınız kullanıcı adı ve şifre ile bağlanıp kurmak kalacak

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/Screen Shot 2019-08-18 at 23.10.45 copy.png

  • Ssl vpn için kullanıcı oluşturma

Evet arkadaşlar aşağıda belirttiğim gibi ssl vpn kullanıcıyı buradan açarsınız ve kullanıcı açıldıktan sonra ssl vpn portalından veya globalprotect’ten herhangi bir şey yapmanıza gerek yoktur

/Users/yunus/Desktop/Palo_alto/global_protect-ssl-vpn-portal/3 copy.png

kullanıcılara global protect agent nasıl yüklenir’i daha önceki yazdığım makalede inceleyebilirsiniz

https://yunusemredev.com/palo-alto-ssl-vpn-kurulumu-ayarlari-ve-client-kurulumu/

Bir sonraki ;

Azure ile palo alto arasındaki site to site tunnel vpn makalemde görüşmek ümidi ile inşallah,

Selamlar sevgiler

 

4 Comments

Add a Comment
  1. Çok Teşekkürler.

  2. Merhaba

    Chrome ile portal Adresine https://ip gidince err_connection_reset hatası alıyorum

    1. sertifika dan kaynaklı bir sorun
      sertifikanın TLS güvenlik düzeyini yükseltmelisiniz, eski versiyon olduğu için hata alıyorsunuz

Leave a Reply

Your email address will not be published. Required fields are marked *