Çerezler, daha iyi bir kullanıcı deneyimi sunmamıza yardımcı olur. Web sitemizi kullanarak, çerezlerin kullanımını kabul etmiş oluyorsunuz.
0 yorumlar admin palo alto

GLOBAL PROTECT İLE SSL VPN

Şirket kullanıcılarının, şirketin yerel kaynaklarına dışarıdan güvenli erişimi ve bu erişimin denetlenmesini konu alacağız.

İşlem adımları:

işlem adımlarını 3 sürece ayıracağız

  • oluşturulması gereken objeleri oluştur
  • oluşturulan objelerle kural oluştur
  • Commit ve test

 

Oluşturulması gereken objeler:

  • Local Kullanıcı oluştur (Device>Local User Database>User>Add)
  • Sertifika oluştur (Device>Certificate Management>Certificates>Devices Certificates>Generates)
  • SSL/TLS Servis Profili oluştur. (Device>Certificate Management>Certificates> SSL/TLS Servis Profile)
  • Authentication profile oluştur. (Device>Authentication Profile>add)
  • Authentication Sequence oluştur. (Device>Authentication Sequence>add)
  • Tunnel interface yapılandır.
  • Loopback İnterface yapılandır. (Network>interface>loopback)

1- Local kullanıcı oluştur. (Device>Local User Database>User>Add)

 

2- Sertifika oluştur. (Device>Certificate Management>Certificates>Devices Certificates>Generates)

 

3- SSL/TLS Servis Profili oluştur. (Device>Certificate Management>Certificates> SSL/TLS Servis Profile) Bir önceki adımda oluşturduğumuz sertifikayı seçerek aşağıdaki gibi SSL/TLS profil oluşturuyoruz.

4-Device>Authentication Profile> sekmesinden yeni bir profil ekleyelim.

 

5-Device>Authentication Profile>Advanced>Allowlist> sekmesinden daha önce oluşturduğumuz lokal kullanıcıyı ekleyelim

6-Device>Authentication Sequence>add> sekmesinden daha önce oluşturduğumuz profili seçerek yeni bir sequence oluşturalım.

 

7-Network>interfaces>tunnel sekmesinden aşağıdaki gibi tunnel inteterface’i yapılandır.  

8-Network>interfaces>Loopback sekmesinden loopback interface’i  ekliyoruz.

   

9-IPv4 sekmesinden interface’e ip veriyoruz.

 

10-Network>GlobalProtect>Portal>General Sekmesinden Add diyerek yeni bir portal ekliyoruz.

 

11-Network>GlobalProtect>Portal>Authentication Sekmesinden Add diyerek daha önce oluşturduğumuz SSL TLS ve Authentication seq. profili ekleyelim.

 

12-Network>GlobalProtect>Portal>Agent>Authentication Sekmesinden Add diyerek yeni bir Config ekleyelim.

 

13-Network>GlobalProtect>Portal>Agent>User/User Group sekmesinden yeni user ve grupları ekleyelim. Burada dilerseniz bağlanacak clientların işletim sistemlerini seçebilirsiniz. Ben Any olarak geçiyorum.

 

14-Network>GlobalProtect>Portal>Agent>Gateway sekmesinden yeni bir gateway ekleyelim. Dış bacak ipmiz olacak. Port numarası default olarak 443 gelir. Dilerseniz değiştirebilirsiniz. Ben değiştiriyorum 444 olarak. 443 nolu portu dışarıdan cihaza erişmek için kullanacağım. Sizin tercihinize kalmış.

 

15-Network>GlobalProtect>Gateways>General sekmesinden aşağıdaki gibi gateway ekliyoruz.

 

16-Network>GlobalProtect>Gateways>Authentication sekmesinden daha önce oluşturduğumuz profilleri seçiyoruz.

 

17-Network>GlobalProtect>Gateways>Agent>Tunnel settings sekmesinden aşağıdaki gibi daha önce oluşturduğumuz tunnel.2 interface’i seçelim.

 

18-Network>GlobalProtect>Gateways>Agent>Client settings sekmesinden add diyerek bağlanacak olan clientler için DHCP havuzu ve bu ip bloğunun iç networkte erişeceği ip bloklarını gireceğiz.

 

Önemli : yukarıda “access route ” altına GP Client ile bağlanıldığında hangi networklere erişebileceğini belirliyoruz. Bu alana “0.0.0.0/0” yazıldığında GP Client ile bağlanan kullanıcı tüm networklere erişebildiği gibi aynı zamanda dış ip si bağlandığı yerin dış ipsi olur ve pa üzerindeki kurallara tabi olarak internete bağlandığı yer üzerinden çıkar. Bazı şirketlerde bu senaryo tercih edilebiliyor.

19-Aşağıdaki gibi Oluşturduğumuz tunnel.2 interface’ini trust zona eklendiğinden ve enable user identification seçildiğinden emin olalım.

Şimdi kural oluşturalım. Security rule ve nat kurallarını oluşturalım

20-Security rule: dış ip adresimizi yazıyor olacağız.  

21-Nat rule : default portun dışında farklı bir port kullandığım için 444 nolu portu 443’e translate ediyoruz.

 

22-Device>GlobalProtect Client sekmesinden güncel G.protect sürümünü download edip aktif edin.

23- Daha sonra dış ip adresimizden https://78.78.78.78:444 yazarak aşağıdaki gibi portala erişiyoruz. Erişim

24-Açılan sayfadan işletim sistemizmize uygun vpn clienti download ederek kuruyoruz.

25-Bilgisayarımıza kurduğumuz vpn client üzerinde aşağıdaki gibi kullanıcı adı ve erişim bilgilerini girip connect oluyoruz.

 

Muhammet Taşkömür | admin@trunkmode.com

 

Ne düşündüğünü söyle

* Gerekli alanlar