Palo Alto Firewall Version 10.2.0: Hướng dẫn cấu hình GlobalProtect SSL VPN cho người dùng từ ngoài internet truy cập vào mạng nội bộ

1. Mục đích bài viết

Trong bài viết này thegioifirewall sẽ hướng dẫn cách cấu hình tính năng GlobalProtect SSL VPN trên thiết bị tường lửa Palo Alto để người dùng ngoài hệ thống có truy cập vào trong mạng nội bộ.

2. Sơ đồ mạng

Chi tiết:

  • Thiết bị tường lửa Palo Alto đã được kết nối internet thông qua cổng ethernet1/1 với IP WAN là 113.161.x.x.
  • Vùng mạng LAN của thiết bị Palo Alto được cấu hình ở cổng ethernet1/2 cấp phát lớp mạng 10.146.41.0/24 bằng DHCP.
  • Chúng ta sẽ có một máy tính ngoài internet để thực hiện kết nối GlobalProtect SSL VPN.

3.Tình huống cấu hình

Chúng ta sẽ thực hiện cấu hình tính GlobalProtect SSL VPN trên thiết bị Palo Alto, sau khi cấu hình và khi kết nối nó sẽ nhận IP của lớp mạng 10.146.41.0/24 và được quyền truy cập vào các tài nguyên của lớp mạng LAN.

4. Các bước thực hiện

  • Tạo certificate.
  • Tạo SSL/TLS Service Profile.
  • Tạo tài khoản.
  • Tạo Authentication Profile
  • Tạo cổng tunnel.
  • Tạo GlobalProtect Gateways.
  • Tạo GlobalProtect Portal.
  • Cập nhật và tải phần mềm GlobalProtect cho thiết bị Palo Alto.
  • Cài đặt GlobalProtect và thực hiện kết nối VPN.

5. Hướng dẫn cấu hình

5.1 Tạo Certificate

Trong bài viết này chúng ta sẽ cấu hình GlobalProtect cho người dùng truy cập từ ngoài vào, nên chúng ta cần có 2 chứng chỉ là một chứng chỉ cho cổng portal và một chứng external gateway cho cổng internet.

Để tạo certificate vào Device > Certificate Management > Certificates.

Nhấn Generate và tạo chứng chỉ portal theo các thông tin sau:

  • Certificate Name: GlobalProtect
  • Common Name: GlobalProtect
  • Tích chọn Certificate Authority.
  • Nhấn Generate để tạo.

Sau khi tạo xong chứng chỉ GlobalProtect, nhấn Generate để tạo chứng chỉ external-gateway.

Chúng ta sẽ tạo theo các thông tin sau:

  • Certificate Name: external-gw-portal
  • Common Name: 113.161.x.x (Đây là địa chỉ IP Wan)
  • Signed by: chọn chứng chỉ GlobalProtect vừa tạo ở trên.
  • Nhấn Generate để tạo.

Nhấn Commit và OK để lưu lại các thay đổi cấu hình.

5.2. Tạo SSL/TLS Service Profile

Để cấu hình vào Device > Certificate Management > SSL/TLS Service Profile.

Nhấn Add để tạo 1 SSL/TLS Service Profile với các thông số sau:

  • Name: external-gw-portal.
  • Certificate: chọn chứng chỉ external-gw-portal vừa tạo.
  • Min Version: chọn TLSv1.0.
  • Max Version: chọn Max.
  • Nhấn OK để lưu

Nhấn Commit và OK để lưu các thay đổi.

5.3.Tạo tài khoản

Trong phần này chúng ta sẽ tạo tài khoản để đăng nhập khi nối vào GlobalProtect.

Để tạo tài khoản vào Device > Local User Database > Users.

Nhấn Add và tạo tài khoản với các thông tin sau:

  • Name: testvpn.
  • Mode: Password.
  • Password: 123456a@
  • Confirm Password: 123456a@
  • Nhấn OK để lưu.

Nhấn Commit để lưu lại các thay đổi cấu hình.

5.4. Tạo Authentication Profile

Chúng ta cần tạo Authentication Profile dành cho các user local để cho thiết bị tường lửa có thể dựa vào cái này để xác thực liệu tài khoản của người dùng dùng để đăng nhập có nằm trong danh sách được cho phép sử dụng VPN hay không và nếu có trong danh sách thì dùng để xác thực xem người dùng để đăng nhập đúng tài khoản và mật khẩu chưa.

Để tạo Authentication Profile vào Device > Authentication Profile > nhấn Add và cấu hình theo các thông số sau.

Tab Authentication:

  • Name: Local.
  • Type: chọn Local Database.
  • Username Modifier: chọn %USERINPUT%

Tab Advanced:

  • Tại bảng Allow List nhấn Add và chọn all.
  • Nếu bạn chọn all tức là tất cả các user sẽ được sử dụng, bạn cũng có thể tùy chọn user mà mình muốn thay vì chọn all.
  • Nhấn OK để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

5.5. Tạo cổng tunnel

Chúng ta cần tạo tunnel cho kết nối VPN, để tạo vào Network > Interfaces > Tunnel.

Nhấn Add và tạo với các thông số sau:

  • Interface Name: tunnel.1.
  • Virtual Routers: VR1 (chúng ta cần add nó vào để khi kết nối người dùng vẫn có thể truy cập internet).
  • Security Zone: chọn LAN (chúng ta sẽ cho những người kết nối VPN vào chung zone LAN)
  • Nhấn OK để lưu.

Nhấn Commit để lưu các thay đổi.

5.6. Tạo GlobalProtect Gateways.

Để tạo gateway chúng ta vào Network > GlobalProtect > Gateways.

Nhấn Add và tạo theo các thông số sau:

Tab General:

  • Name: GlobalProtect_Gateways.
  • Interface: chọn ethernet1/1 (đây là cổng wan).
  • IP Address Type: IPv4 Only.
  • IPv4 Address: None.

Tab Authentication:

  • SSL/TLS Service Profile: chọn external-gw-portal.
  • Tại bảng Client Authentication nhấn Add và cấu hình theo các thông số sau.
  • Name: ex-gp-auth
  • OS: Any
  • Authentication Profile: chọn Local.
  • Nhấn OK để lưu.

Tab Agent:

Trong bảng Tunnel Settings chúng ta cấu hình như sau:

  • Tunnel Mode: tích chọn.
  • Tunnel Interface: chọn tunnel.1
  • Tích chọn Enable IPSec.

Trong bảng Client Settings chúng ta nhấn Add và cấu hình theo các thông số sau:

  • Name: gp-client-config
  • Trong bảng IP Pools chúng ta nhập vào dãy IP sẽ được cấp phát khi người dùng kết nối VPN, ở đây nhập vào dãy 10.146.41.151-10.146.41.250.
  • Trong Split Tunnel ở chỗ Include chúng ta cần nhập vào lớp mạng LAN 10.146.41.0/24 mà chúng ta muốn người dùng có thể truy cập vào khi kết nối VPN.
  • Nhấn OK 2 lần để lưu.

Nhấn Commit và OK để lưu các thay đổi.

5.7. Tạo GlobalProtect Portal

Để tạo GlobalProtect Portal vào Network > GlobalProtect > Portals.

Nhấn Add và cấu hình theo các thông số sau:

Tab General:

  • Name: gp-portal
  • Interface: ethernet1/1
  • IP Address Type: IPv4 Only

Tab Authentication:

  • SSL/TLS Service Profile: chọn external-gw-portal.

Trong bảng Cient Authentication nhấn Add và cấu hình theo các thông số sau:

  • Name: Local-Auth
  • OS: Any
  • Authentication Profile: Local
  • Nhấn OK để lưu.

Tab Agent:

Nhấn Add ở bảng Agent và cấu hình theo các thông số sau:

  • Trong bảng Authentication điền tên là portal-agent-config tại Name.
  • Tại bảng External nhấn Add và cấu hình theo thông tin sau.
  • Name: ext-gw-1
  • Address: chọn IP
  • IPv4: 113.161.x.x
  • Nhấn Add và chọn Any cho Source Region và Highest cho Priority.
  • Nhấn OK để lưu.

Tại mục Trusted Root CA các bạn nhấn Add và chọn GlobalProtect certificate và tích chọn Install to Local Root Certificate Store.

Nhấn OK để lưu.

Nhấn Commit và OK để lưu các thay đổi.

5.8. Cập nhật và tải phần mềm GlobalProtect cho thiết bị Palo Alto.

Tiếp theo chúng ta cần tải phần mềm GlobalProtect về thiết bị Palo Alto.

Để tải vào Device > GlobalProtect Client > nhấn Check Now.

Một danh sách các phiên bản sẽ xuất hiện, ở đây mình sẽ chọn phiên bản mới nhất là 5.2.5.

Sau khi xác định được phiên bản cần tải chúng ta nhấn Download ở cột Action.

Sau khi quá trình download hoàn tất chúng ta nhấn Activate tại cột Action để kích hoạt sử dụng phiên bản này khi người dùng truy cập VPN.

5.8. Cài đặt phần mềm GlobalProtect và thực hiện kết nối VPN.

Chúng ta sẽ thực hiện cài đặt phần mềm GlobalProtect trên máy người dùng ngoài mạng internet và thực hiện VPN về thiết bị.

Đầu tiên chúng ta cần truy cập vào đường dẫn https://113.161.x.x để vào trang portal của GlobalProtect và nhập tài khoản testvpn chúng ta tạo để đăng nhập.

Sau khi đăng nhập trang sẽ hiện ra phần mềm GlobalProtect cho chúng ta tải xuống, chúng ta cần chọn phần mềm phù hợp với hệ điều hành đang sử dụng.

Sau khi chọn và tải về chúng ta thực hiện cài đặt file theo hình sau.

Sau khi đặt xong chúng ta nhập IP WAN của thiết bị Palo Alto là 113.161.x.x vào và nhấn Connect.

Lúc này bảng Server Certificate Error sẽ xuất hiện yêu cầu chúng ta phải cài certificate lên trên máy tính.

Để cài nhấn Show Certificate.

Nhấn Install.

Chọn Local Machine và nhấn Next.

Nhấn Next, Finish và OK để hoàn thành quá trình cài đặt.

Sau khi cài đặt Certificate xong chúng ta nhấn OK tại bảng Certificate và Continue tại bảng Server Certificate Error để tiếp tục.

Sau khi cài đặt certificate xong thì bảng đăng nhập của GlobalProtect hiện ra, nhập vào tài khoản testvpn, mật khẩu và nhấn Sign In để kết nối.

Chờ khoảng vài giây để kết nối.

Và chúng ta đã kết nối VPN thành công về thiết bị Palo Alto.

Thegioifirewall sẽ thực hiện ping về cổng LAN có địa chỉ IP 10.146.41.1 và 1 server có địa chỉ IP 10.146.41.65 để kiểm tra kết quả.

Kết quả là các mạng đã thông nhau sau khi kết nối VPN được thiết lập.

5 1 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận