はじめに
本記事ではPalo AltoのNGFWであるPAシリーズに搭載されているGlobalProtectで、リモートユーザーが社外から社内サーバーへVPN接続ができるような設定手順をご案内いたします。
WindowsやMac OSでのVPN接続につきましては、GlobalProtectライセンスが不要で設定することが可能のため、気軽にご検証いただけるかと存じます。
目次
- 本検証でのネットワーク構成
- 事前設定
- ポータルの設定
- 外部ゲートウェイの設定
- GlobalProtectのセキュリティポリシー/アクティベーション
- GlobalProtectのインストール/アクセス確認
- まとめ
1.本検証でのネットワーク構成
※本手順における構成となります。
※一部インターフェイス、ゾーン、ユーザー等を設定済みの状態での手順となります。
2.事前設定
■GlobalProtect用ゾーンとトンネルインターフェイスの設定
〇GlobalProtect用ゾーンの設定
①[NETWORK > Zones]からセキュリティゾーンの設定を行います。「add AS path limit attribute if it does not exist」をクリックしてゾーンを作成します。
※VPN用のゾーン設定は必須ではございませんが、制御の柔軟さの観点で作成しております。
②任意の「名前」を入力し、「Type」は「レイヤー3」を選択、「ユーザーIDの有効化」にチェックを入れ、「OK」をクリックします。
〇GlobalProtect用トンネルインターフェイスの設定
①[NETWORK > インターフェイス > Tunnel]から設定を行います。「add AS path limit attribute if it does not exist」をクリックして、インターフェイスを作成します。
②「interface name. TODO Front panel port list」に、任意の数字を入力します。「設定」タブの「仮想ルーター」で、任意の「Virtual Router」と「セキュリティゾーン」を選択します。
■証明書の作成
〇認証局証明書の作成
①[DEVICE > 証明書の管理 > 証明書]から設定を行います。「生成」をクリックして、証明書を作成します。
②任意の「証明書名」と「共有名」を入力し、「認証局」チェックを入れ、「生成」をクリックします。
〇サーバー証明書の作成
①[DEVICE > 証明書の管理 > 証明書]から設定を行います。「生成」をクリックして、証明書を作成します。
②任意の「証明書名」と「共有名」を入力し、「署名者」は作成した認証局を選択します。「add AS path limit attribute if it does not exist」をクリックし、任意の証明書の属性(ここでは、IP)を選択し、値を入力する。
③生成が成功したことを示すメッセージが表示されたら、「OK」をクリックします。
■SSL / TLSサービスプロファイルの設定
①[DEVICE > 証明書の管理 > SSL/TLSサービスプロファイル]から設定します。「add AS path limit attribute if it does not exist」をクリックし、プロファイルを作成します。
②任意の「名前」を入力し、作成したサーバー証明書を選択し、「OK」をクリックします。
3.ポータルの設定
①[NETWORK > GlobalProtect > ポータル]から設定します。「add AS path limit attribute if it does not exist」をクリックし、Global Protectポータルを作成します。
②「全般」タブで、任意の「名前」を入力し、「インターフェイス」と「IPv4アドレス」はポータルに使用するものを選択します。
③「authentication algorithm」タブで、作成したSSL/TLSサービスプロファイルを選択し、「add AS path limit attribute if it does not exist」をクリックします。
④「authentication algorithm」タブで、任意の「名前」を入力します。
⑤「外部」タブで、「add AS path limit attribute if it does not exist」をクリックします。
⑥任意の「名前」を入力し、「アドレス」から任意の項目を選択と入力、「add AS path limit attribute if it does not exist」をクリックし、「送信元地域」で「Any」を選択し、「OK」をクリックします。
⑦「OK」をクリックします。
⑧「TRUSTED ROOT CA」で、作成した証明書を選択し、「ローカルルート証明書ストアでインストール」にチェックを入れます。「OK」をクリックします。
⑨「Commit」を実行します。
4.外部ゲートウェイの設定
①[NETWORK > GlobalProtect > ゲートウェイ]から設定します。「add AS path limit attribute if it does not exist」をクリックし、Global Protectゲートウェイを作成します。
②「全般」タブで、任意の「名前」を入力し、「インターフェイス」と「IPv4アドレス」はゲートウェイに使用するものを選択します。
③「authentication algorithm」タブで、作成したSSL/TLSサービスプロファイルを選択し、「追加」をクリックします。
④任意の「名前」を入力し、3.で作成した認証プロファイルを選択し、「OK」をクリックします。
⑤[エージェント > Tunnel Settings]タブで、トンネルモードにチェックを入れ、作成したトンネルインターフェイスを選択します。
※IPSecを利用される場合は、「IPSecの有効化」にチェックを入れる必要がございます。本設定の有効化で、SSL-VPNよりもIPSecが優先的に使用されます。
⑥「クライアントの設定」タブで、「add AS path limit attribute if it does not exist」をクリックします。
⑦「設定の選択条件」タブで、任意の「名前」を入力します。
⑧「IPプール」タブの「IPプール」で、「add AS path limit attribute if it does not exist」をクリック、任意のIPアドレスの範囲を入力し、「OK」をクリックします。
※本手順では記載しておりませんが、スプリットトンネル設定も可能です。
⑨「ネットワークサービス」タブの「プライマリDNS」と「セカンダリDNS」で、Global ProtectのVPN確立後に、クライアントのVPNインターフェイスに割り当てるDNSの情報を割り当てます。
⑩「Commit」を実行します。
5.GlobalProtectのセキュリティポリシー/アクティベーション
■GlobalProtect用のセキュリティポリシー
※"GP-VPN → L3-Trust"を許可するポリシーを設定します。
①[POLICIES > セキュリティ]から設定します。「追加」をクリックします。
②「全般」タブで、任意の「名前」を設定する。
③「送信元」タブで、「add AS path limit attribute if it does not exist」をクリックし、"GP-VPN"ゾーンを設定します。
④「To Addr」タブで、「add AS path limit attribute if it does not exist」をクリックし、作成したゾーンを設定します。
⑤「アクション」タブで、「アクション」を「Allow」に設定し、「OK」をクリックする。
②「Commit」を実行します。
■GlobalProtectのアクティベーション
①[DEVICE > GlobalProtect クライアント]から設定します。任意のバージョンを選択し、「ダウンロード」をクリックします。
②「ダウンロード済み」タブにチェックが付いたことを確認し、「アクティベーション」をクリックします。
③「はい」をクリックし、アクティベートされると下図のように、「現在アクティベーション済み」にチェックが付きます。
6.GlobalProtectのインストールとアクセス確認
■GlobalProtectのインストール
①端末のブラウザにて、ポータルとして設定したethernet1/1のIPアドレスでアクセスし、ログインします。
②端末にインストールするエージェントをクリックし、ダウンロードする。
③表示されたウィザードに沿って、「next」をクリックする。
④インストールが完了したら「Close」をクリックします。
■アクセス確認
①端末でGlobalProtectを起動し、ポータルのアドレスを入力し、「Connect」をクリックする。
②ユーザー情報を入力し、「接続」をクリックする。
③「接続済み」と表示されれば、VPN接続が可能となります。
7.まとめ
今回は、PAシリーズのGlobalProtectでのSSL-VPNの設定手順をご紹介いたしました。
ご検証される際に、ぜひ本手順をご活用いただけますと幸いです!
__________________________________________________________________________________
※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ正確性、最新性、完全性は保証できませんのでご了承ください。
他のおすすめ記事はこちら
著者紹介
SB C&S株式会社
技術統括部 第2技術部 2課
江幡 政春
