Palo Alto防火墙GlobalProtect配置
#Author https://cnblogs.com/id404
一、证书设置
1、生成rootCA证书
证书名和常见名称可填写任意,一定要勾选 证书授权机构
2、用生成的CA证书签发vpn证书
证书名称可填写任意
常见名称要填写公网的IP地址或域名,至于是地址还是域名 取决于登陆的时候是ip还是域名,这一项填写错误会导致客户端登陆的时候出现告警并无法连接
签名者要选择上一次生成的根证书
不能选择 证书授权机构
3、用生成的证书签发用户证书
要求和上一步一样
4、配置SSL/TLS服务配置文件
证书需选择第2步中的证书
证书也可以直接选择根证书。如果外网域名的IP变动频繁或有多个IP ,SSL/TLS服务配置文件无法选择多个web证书,web证书上的IP和实际连接的IP不一样时会 出现 “无法验证网关服务器证书”的错误 。此时证书可直接选择根证书GP_rootCA (经验证MAC OS能正常登陆 ,windows无法正常登陆,建议建多个portal 和gateway)
二、用户认证
1、新增本地用户
输入用户名和密码
2、设置身份验证配置文件
类型需选择本地数据库
三、配置隧道接口
注意此处的IP地址与客户端地址同网段,客户端的数据经隧道接口转发至内网
四、配置GlobalProtect网关
接口选择外网接口,IPv4地址选择外网的IP
这里两个cookies的选项不建议勾选,否则PA上删除账号后 cookies还没过期的话账号依然能登陆
地址池和隧道口同网段
访问路由添加内网的路由,否则客户端无法访问内网资源
五、配置GlobalProtect Portal
这里两个cookies的选项不建议勾选,否则PA上删除账号后 cookies还没过期的话账号依然能登陆
保存用户凭据根据实际选择,选择YES的话客户端会自动保存用户、密码,客户端重新打登陆不需要再输入
添加外网IP或域名
六、修改GlobalProtect端口
GlobalProtect默认为443端口,若公网443端口被运营商封禁,需要将端口改为其它端口
参考:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGKCA0
原理:
新建 loopback口,将GlobalProtect 网关和门户的接口改为loopback
将外网接口的其它端口NAT至loopback的443端口
七、NAT及安全策略
略
八、客户端安装证书
若客户端没有安装证书,会提示无法验证网关的服务器证书
需要导出根证书并在客户端电脑将证书设置为信任的
证书导出路径:
windows:
证书需要存储在 受信任的根证书颁发机构
MAC
九、客户端下载
方式1、确保有授权的情况下检查更新
web登陆后会的客户端的下载链接
方式2登陆PA的supoort网站 https://support.paloaltonetworks.com/
其中GlobalProtect Agent Bundle可上传至设备,其它版本可直接安装至对应的系统中
十、退出GlobalProtect客户端
GlobalProtect客户端没有退出选项
在windows可新建以下bat脚本退出
echo off
taskkill /f /im pangpa.exe
sc stop PanGPS
rem sc config PanGPS start= demand
rem pause
MacOS脚本
#!/bin/bash
case $# in
0)
echo "Usage: $0 {start|stop}"
exit 1
;;
1)
case $1 in
start)
echo "Starting GlobalProtect..."
launchctl load /Library/LaunchAgents/com.paloaltonetworks.gp.pangpa.plist
launchctl load /Library/LaunchAgents/com.paloaltonetworks.gp.pangps.plist
echo "Done!"
;;
stop)
echo "Stopping GlobalProtect..."
launchctl remove com.paloaltonetworks.gp.pangps
launchctl remove com.paloaltonetworks.gp.pangpa
echo "Done!"
;;
*)
echo "'$1' is not a valid verb."
echo "Usage: $0 {start|stop}"
exit 2
;;
esac
;;
*)
echo "Too many args provided ($#)."
echo "Usage: $0 {start|stop}"
exit 3
;;
esac
十一、证书过期
根证书续订后需要重新导入至客户端电脑
十二、其它问题
12.1 根证书自动安装
默认情况下客户端需要手动安装根证书,若希望客户端自动安装证书,可按如下设置
提交后新安装的客户在登陆的时候选择仍然继续就会自动安装根证书,若没有出现 仍然继续 ,需卸载客户端并重新安装 。MAC OS 系统卸载需要使用卸载程序,不能直接删除app,否则 仍然继续按键无法点击。