Перед тем как приступить к настройке GlobalProtect, необходимо сгенерировать/импортировать SSL сертификат и создать SSL/TLS Service Profile. А так же необходим Authentication Profile, можно как создать локальную базу пользователей, так и использовать внешнюю. Пример использования OneLogin и AWS SSO. Security zone Прежде всего нужно создать зону безопасности для VPN интерфейса. Для этого переходим во вкладку …
Продолжить читать "Palo Alto VM-Series Firewall: GlobalProtect"
GlobalProtect поддерживает разные способы авторизации, в том числе и SAML 2.0 IdP. В данном примере показана настройка авторизации через AWS SSO. AWS Перед тем как добавить SAML IdP у вас должен быть уже настроен AWS Directory Service Для начала добавим приложение, для этого переходим "IAM Identity Center" -> "Application assignments" -> "Application" И …
Продолжить читать "Palo Alto VM-Series Firewall: GlobalProtect — AWS SAML"
GlobalProtect поддерживает разные способы авторизации, в том числе и SAML 2.0 IdP. В данном примере показана настройка авторизации через OneLogin. OneLogin Для начала добавим приложение, для этого в админ интерфейсе OneLogin переходим "Applications" и кликаем "Add App" В строке поиска вводим "globalprotect" и кликаем на него В настройках задаем имя приложения и кликаем "Save" …
Продолжить читать "Palo Alto VM-Series Firewall: GlobalProtect — OneLogin SAML"
PAN-OS позволяет только генерировать самоподписные сертификаты или уже импортировать существующие. Чтобы использовать Let’s Encrypt сертификат, необходимо его запросить на другом устройстве и поэтому в качестве валидации можем использовать только DNS. В качестве DNS провайдера используется AWS Route53, для получения сертификата будем использовать Certbot, так же понадобится установленный и настроенный awscli Получение сертификата Устанавливаем необходимый софт …
Продолжить читать "Palo Alto VM-Series Firewall: Let’s Encrypt сертификат"
VM-Series Firewall SSH Для того чтобы использовать WebUI необходимо задать пароль администратора, это делается через SSH. После создания инстансов проходит минут 10-15 до того, как Firewall инициализируется и будет доступен по SSH Подключаемся к первому инстансу, SSH пользователь — "admin" И выполняем следующие команды Вводим пароль 2 раза и сохраняем изменения Тоже самое проделываем …
Продолжить читать "Palo Alto VM-Series Firewall: AWS HA Multi AZ для GlobalProtect — Часть 2"
Для обеспечения высокой доступности Palo Alto VM-Series Firewall используется конфигурация active/passive. В которой активный фаервол постоянно синхронизирует свою конфигурацию и информацию об активных сессиях с аналогично настроенным пассивным фаерволом. Существует два варианта достижения HA в AWS: "Secondary IP Move" и "Dataplane Interface Move". Secondary IP Move При недоступности активного фаервола, пассивный переходит в роль …
Продолжить читать "Palo Alto VM-Series Firewall: AWS HA Multi AZ для GlobalProtect — Часть 1"
Для того, чтобы исключить определенный диапазон или IP адрес необходимо добавить параметр "net_gateway". К примеру, необходимо чтобы сеть "10.0.0.0/8" маршрутизировалась через VPN, но при этом исключить из маршрута сеть "10.0.1.0/24" запись в конфигурационном файле будет выглядеть следующим образом:
Так как все что перечислено в "fstab" монтируется при запуске системы, еще до запуска сети, то примонтировать директорию получится если добавить опцию "_netdev". Но если NFS директория доступна только через VPN, который уже стартует после запуска сети то остается вариант "rc.local" или смонтировать диск используя Systemd. В данном примере дано следующее:
[email protected] — имя OpenVPN …
Продолжить читать "Systemd — Монтирование NFS директории через OpenVPN"
Цель: Получить Socks proxy сервер с подключением без авторизации. Установка проходила на CentOS 7. Устанавливаем Dante: Открываем файл конфигурации:
Цель: Пустить через VPN только сети, которые попадают под запрет, остальные должны идти "напрямую". Так же важно удобство подключения устройств, кроссплатформенность, скорость и безопасность. Все шаги были выполнены на CentOS 7. Установим репозиторий EPEL, если его еще нет в системе и установим нужные пакеты: Создаем файл конфигурации: