CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
Danh sách nội dung [Ẩn]
Trong bài viết này datech sẽ hướng dẫn cách cấu hình tính năng GlobalProtect SSL VPN trên thiết bị tường lửa Palo Alto để người dùng ngoài hệ thống có truy cập vào trong mạng nội bộ.
Chi tiết:
Chúng ta sẽ thực hiện cấu hình tính GlobalProtect SSL VPN trên thiết bị Palo Alto, sau khi cấu hình và khi kết nối nó sẽ nhận IP của lớp mạng 10.146.41.0/24 và được quyền truy cập vào các tài nguyên của lớp mạng LAN.
Trong bài viết này chúng ta sẽ cấu hình GlobalProtect cho người dùng truy cập từ ngoài vào, nên chúng ta cần có 2 chứng chỉ là một chứng chỉ cho cổng portal và một chứng external gateway cho cổng internet.
Để tạo certificate vào Device > Certificate Management > Certificates.
Nhấn Generate và tạo chứng chỉ portal theo các thông tin sau:
Sau khi tạo xong chứng chỉ GlobalProtect, nhấn Generate để tạo chứng chỉ external-gateway.
Chúng ta sẽ tạo theo các thông tin sau:
Nhấn Commit và OK để lưu lại các thay đổi cấu hình.
Để cấu hình vào Device > Certificate Management > SSL/TLS Service Profile.
Nhấn Add để tạo 1 SSL/TLS Service Profile với các thông số sau:
Nhấn Commit và OK để lưu các thay đổi.
Trong phần này chúng ta sẽ tạo tài khoản để đăng nhập khi nối vào GlobalProtect.
Để tạo tài khoản vào Device > Local User Database > Users.
Nhấn Add và tạo tài khoản với các thông tin sau:
Nhấn Commit để lưu lại các thay đổi cấu hình.
Chúng ta cần tạo Authentication Profile dành cho các user local để cho thiết bị tường lửa có thể dựa vào cái này để xác thực liệu tài khoản của người dùng dùng để đăng nhập có nằm trong danh sách được cho phép sử dụng VPN hay không và nếu có trong danh sách thì dùng để xác thực xem người dùng để đăng nhập đúng tài khoản và mật khẩu chưa.
Để tạo Authentication Profile vào Device > Authentication Profile > nhấn Add và cấu hình theo các thông số sau.
Tab Authentication:
Tab Advanced:
Nhấn Commit và OK để lưu các thay đổi cấu hình.
Chúng ta cần tạo tunnel cho kết nối VPN, để tạo vào Network > Interfaces > Tunnel.
Nhấn Add và tạo với các thông số sau:
Nhấn Commit để lưu các thay đổi.
Để tạo gateway chúng ta vào Network > GlobalProtect > Gateways.
Nhấn Add và tạo theo các thông số sau:
Tab General:
Tab Authentication:
Tab Agent:
Trong bảng Tunnel Settings chúng ta cấu hình như sau:
Trong bảng Client Settings chúng ta nhấn Add và cấu hình theo các thông số sau:
Nhấn Commit và OK để lưu các thay đổi.
Để tạo GlobalProtect Portal vào Network > GlobalProtect > Portals.
Nhấn Add và cấu hình theo các thông số sau:
Tab General:
Tab Authentication:
SSL/TLS Service Profile: chọn external-gw-portal.
Trong bảng Cient Authentication nhấn Add và cấu hình theo các thông số sau:
Nhấn OK để lưu
Tab Agent:
Nhấn Add ở bảng Agent và cấu hình theo các thông số sau:
Tại mục Trusted Root CA các bạn nhấn Add và chọn GlobalProtect certificate và tích chọn Install to Local Root Certificate Store.
Nhấn OK để lưu.
Nhấn Commit và OK để lưu các thay đổi.
Tiếp theo chúng ta cần tải phần mềm GlobalProtect về thiết bị Palo Alto.
Để tải vào Device > GlobalProtect Client > nhấn Check Now.
Một danh sách các phiên bản sẽ xuất hiện, ở đây mình sẽ chọn phiên bản mới nhất là 5.2.5.
Sau khi xác định được phiên bản cần tải chúng ta nhấn Download ở cột Action.
Sau khi quá trình download hoàn tất chúng ta nhấn Activate tại cột Action để kích hoạt sử dụng phiên bản này khi người dùng truy cập VPN.
Chúng ta sẽ thực hiện cài đặt phần mềm GlobalProtect trên máy người dùng ngoài mạng internet và thực hiện VPN về thiết bị.
Đầu tiên chúng ta cần truy cập vào đường dẫn https://113.161.x.x để vào trang portal của GlobalProtect và nhập tài khoản testvpn chúng ta tạo để đăng nhập.
Sau khi đăng nhập trang sẽ hiện ra phần mềm GlobalProtect cho chúng ta tải xuống, chúng ta cần chọn phần mềm phù hợp với hệ điều hành đang sử dụng.
Sau khi chọn và tải về chúng ta thực hiện cài đặt file theo hình sau.
Sau khi đặt xong chúng ta nhập IP WAN của thiết bị Palo Alto là 113.161.x.x vào và nhấn Connect.
Lúc này bảng Server Certificate Error sẽ xuất hiện yêu cầu chúng ta phải cài certificate lên trên máy tính.
Để cài nhấn Show Certificate.
Nhấn Install.
Chọn Local Machine và nhấn Next.
Nhấn Next, Finish và OK để hoàn thành quá trình cài đặt.
Sau khi cài đặt Certificate xong chúng ta nhấn OK tại bảng Certificate và Continue tại bảng Server Certificate Error để tiếp tục.
Sau khi cài đặt certificate xong thì bảng đăng nhập của GlobalProtect hiện ra, nhập vào tài khoản testvpn, mật khẩu và nhấn Sign In để kết nối.
Chờ khoảng vài giây để kết nối.
Và chúng ta đã kết nối VPN thành công về thiết bị Palo Alto.
DATECH sẽ thực hiện ping về cổng LAN có địa chỉ IP 10.146.41.1 và 1 server có địa chỉ IP 10.146.41.65 để kiểm tra kết quả.
Kết quả là các mạng đã thông nhau sau khi kết nối VPN được thiết lập.