[PaloAlto FW-#8]- Global Protect(Remote User) with different port

안녕하세요.

 

오늘은 PaloAlto에서 Global Protect(Remote User) 설정하는데 디폴트 포트443이 아닌 다른 포트로 Global Protect를 설정하는 방법에 대해서 알아보겠습니다.

 

토폴로지는 아래와 같습니다. 

 

MGMT 192.168.10.93/24 GW 192.168.10.253

E1/1 192.168.10.97/24 GW 192.168.10.253
E1/3 30.1.1.254/24

 

 

1. Zone를 생성합니다. 

Network -> Zones - Add 

 

Name: GP

Log Setting: None

Type: Layer3:

 

그리고 Okay버튼을 클릭 합니다. 

 

2. E1/1 Interface를 설정합니다.

 

3. Default Gateway를 설정합니다

 

4. Tunnel Interface를 생성합니다.

 

5. Loopback주소를 생성 합니다. GP 주소로 사용 될 예정입니다.

 

6. Certificate를 생성합니다.

 

192.168.10.71은 DNAT될 주소입니다. 

192.168.10.97 55555로 GP패킷이 들어오면, 192.168.10.71 443으로 포트포워딩 합니다.

그래서 GP gateway에서 사용할 certificate주소는 192.168.10.71이 필요합니다.

이 certificate은 GP_ROOT_CA로 인증되어야 합니다. 

 

7.  SSL/TLS Service Profile를 생성 합니다.

 

8. Local User를 생성 합니다.

 

9. Authentication Profile 생성

 

 

10. Global Portal를 생성합니다.

 

 

 

 

 

 

 

11. Global Protect Gateway 생성

 

12. DNAT생성 합니다.

 

13. Policy 정책을 생성합니다.

 

 

Commit를 실행 합니다. 

 

14. Test

테스트 PC에서 telnet 192.168.10.97 55555 실행합니다. 

 

포트가 정상적으로 동작합니다.

 

 

정상적으로 동작합니다. 

 

192.168.10.97 55555 입력하면 DNAT를 통해서 192.168.10.71 443 Global Portal and gateway에 접속하여 GP 연결을 완료 하였습니다.

 

이번에는 

192.168.10.97 55555 Production GP USER를 사용한다고 가정합니다. GP USER IP - 80.1.1.100-80.1.1.200

192.168.10.97 55556 Test GP USER또는 파트너 들이 사용한다고 가정합니다.  GP USER IP - 90.1.1.100-90.1.1.200

 

IP주소가 다르기때문에, IP기반으로 방화벽 정책을 가능합니다. 

 

1. Loopback 222를 생성합니다.

 

2. Tunnel를 생성합니다.

 

3. Certificate를 생성합니다.

4. SSL/TLS Service Profile를 생성합니다. 

 

5. Global Protal를 생성합니다.

 

6. Gateway를 생성합니다.

 

7. DNAT를 생성합니다.

 

8. 방화벽 정책은 이전에 생성 하였기 때문에 생략합니다.

 

9. 테스트를 진행합니다.

192.168.10.97 55556

 

IP주소가 90.1.1.x/24이기 떄문에, 이 대역은 TEST구간에 장비들만 접속가능하게 설정해서 Test USER 또는 파트너사들에게 제공 가능합니다.

 

가장 좋은 방법은 공인 IP가 두개 있으면 공인 IP주소로 사용 해도 상관없습니다.

공인 IP주소가 1개인경우 DNAT를 이용해서 이렇게 사용 가능 합니다.

 

지금까지 글을 읽어주셔서 감사합니다.