Palo Alto VM-Series Firewall: GlobalProtect

  Перед тем как приступить к настройке GlobalProtect, необходимо сгенерировать/импортировать SSL сертификат и создать SSL/TLS Service Profile. А так же необходим Authentication Profile, можно как создать локальную базу пользователей,  так и использовать внешнюю. Пример использования OneLogin и AWS SSO. Security zone Прежде всего нужно создать зону безопасности для VPN интерфейса. Для этого переходим во вкладку … Продолжить читать "Palo Alto VM-Series Firewall: GlobalProtect"

Palo Alto VM-Series Firewall: GlobalProtect — AWS SAML

  GlobalProtect поддерживает разные способы авторизации, в том числе и SAML 2.0 IdP. В данном примере показана настройка авторизации через AWS SSO. AWS Перед тем как добавить SAML IdP у вас должен быть уже настроен AWS Directory Service   Для начала добавим приложение, для этого переходим «IAM Identity Center» -> «Application assignments» -> «Application» И … Продолжить читать "Palo Alto VM-Series Firewall: GlobalProtect — AWS SAML"

Palo Alto VM-Series Firewall: GlobalProtect — OneLogin SAML

  GlobalProtect поддерживает разные способы авторизации, в том числе и SAML 2.0 IdP. В данном примере показана настройка авторизации через OneLogin. OneLogin Для начала добавим приложение, для этого в админ интерфейсе OneLogin переходим «Applications» и кликаем «Add App» В строке поиска вводим «globalprotect» и кликаем на него В настройках задаем имя приложения и кликаем «Save» … Продолжить читать "Palo Alto VM-Series Firewall: GlobalProtect — OneLogin SAML"

Palo Alto VM-Series Firewall: Let’s Encrypt сертификат

PAN-OS позволяет только генерировать самоподписные сертификаты или уже импортировать существующие. Чтобы использовать Let’s Encrypt сертификат, необходимо его запросить на другом устройстве и поэтому в качестве валидации можем использовать только DNS. В качестве DNS провайдера используется AWS Route53, для получения сертификата будем использовать Certbot, так же понадобится установленный и настроенный awscli Получение сертификата Устанавливаем необходимый софт … Продолжить читать "Palo Alto VM-Series Firewall: Let’s Encrypt сертификат"

Palo Alto VM-Series Firewall: AWS HA Multi AZ для GlobalProtect — Часть 2

  VM-Series Firewall SSH Для того чтобы использовать WebUI необходимо задать пароль администратора, это делается через SSH. После создания инстансов проходит минут 10-15 до того, как Firewall инициализируется и будет доступен по SSH Подключаемся к первому инстансу, SSH пользователь — «admin» И выполняем следующие команды Вводим пароль 2 раза и сохраняем изменения Тоже самое проделываем … Продолжить читать "Palo Alto VM-Series Firewall: AWS HA Multi AZ для GlobalProtect — Часть 2"

Palo Alto VM-Series Firewall: AWS HA Multi AZ для GlobalProtect — Часть 1

  Для обеспечения высокой доступности Palo Alto VM-Series Firewall используется конфигурация active/passive. В которой активный фаервол постоянно синхронизирует свою конфигурацию и информацию об активных сессиях с аналогично настроенным пассивным фаерволом. Существует два варианта достижения HA в AWS: «Secondary IP Move» и «Dataplane Interface Move«. Secondary IP Move При недоступности активного фаервола, пассивный переходит в роль … Продолжить читать "Palo Alto VM-Series Firewall: AWS HA Multi AZ для GlobalProtect — Часть 1"

OpenVPN — Исключить определенные IP или сети из маршрутов

Для того, чтобы исключить определенный диапазон или IP адрес необходимо добавить параметр «net_gateway«. К примеру, необходимо чтобы сеть «10.0.0.0/8» маршрутизировалась через VPN, но при этом исключить из маршрута сеть «10.0.1.0/24» запись в конфигурационном файле будет выглядеть следующим образом:

Systemd — Монтирование NFS директории через OpenVPN

Так как все что перечислено в «fstab» монтируется при запуске системы, еще до запуска сети, то примонтировать директорию получится если добавить опцию «_netdev«. Но если NFS директория доступна только через VPN, который уже стартует после запуска сети то остается вариант «rc.local» или смонтировать диск используя Systemd. В данном примере дано следующее: [email protected] — имя OpenVPN … Продолжить читать "Systemd — Монтирование NFS директории через OpenVPN"

Dante — Socks proxy

Цель: Получить Socks proxy сервер с подключением без авторизации. Установка проходила на CentOS 7. Устанавливаем Dante: Открываем файл конфигурации:

OpenVPN — Выборочный траффик (mail.ru, yandex.ru, vk.com, ok.ru, kaspersky.ru)

Цель: Пустить через VPN только сети, которые попадают под запрет, остальные должны идти «напрямую». Так же важно удобство подключения устройств, кроссплатформенность, скорость и безопасность. Все шаги были выполнены на CentOS 7. Установим репозиторий EPEL, если его еще нет в системе и установим нужные пакеты: Создаем файл конфигурации: