Tag: Palo

Palo – Generator configów VPN

W napływie mocy stworzyłem małego Excela z generatorem konfigów połączeń IPSec, jest to na chwilę wersja uboga ale mam nadzieję z czasem uda mi się dodać więcej funkcji.

Na chwilę obecną obsługuje vpn’y w trybie main z PSK.

wersja 0.2

poprawione błędy, dodanie opisów pól, uporządkowanie leciutkie.

Plik generatora(potrzeba włączenia obsługi makro):

Wersja 0.2 cli_config_palo_vpn_ver0.2

LAB – IPSec Palo – Cisco ASA

Poniżej pokazuję jak zestawiać połączenie IPsec pomiędzy PaloAlto Networks a Cisco ASA. W mym przypadku oba urządzenia są w wersji wirtualnej ale konfiguracja ich odpowiada tak jak byśmy konfigurowali urządzenia fizyczne.

Założenia:

asa_palo

Faza 1 aes256 sha-1 pfs g2 86400s
Faza 2 aes256 sha-1 pfs g2 28800s
Palo Cisco ASA
Sieci które będą podlegały szyfrowaniu 10.20.10.0/24 172.16.1.0/24
Palo Cisco ASA
Interfejs z adresem tzw. publicznym 192.168.1.51/24 192.168.1.80/24

Read more… »

LAB – Palo VMka dodanie interfejsu

Ostatnio odpalałem vmkę z Palo, importuję sobie plik ova do Workstation., wchodzę w edycję patrzę a tam jest tylko 2 interfejsy sieciowe. Dodaję kolejny uruchamiam maszynę i tu nagle zonk maszyna nie podnosi się, widzę taki screen:

pa01

w chodzę w plik konfiguracyjny maszyny wirtualnej (plik vmx w katalogu gdzie importowaliśmy ją) porównuję konfigurację interfejsów sieciowych (ważne aby maszyna była wyłączona):

Karta która była oryginalnie:

Karta którą dodałem:

Jak widać powyżej nie zgadza się typ karty, zmieniamy z e1000 na vmxnet3  oraz zmieniamy parametr:

na

zapisujemy plik. uruchamiamy maszynę i cieszymy się maszyną wirtualną z większą ilością interfejsów.

 

Palo – AD 2012 user maping

Poniżej opis jak podłączyć Palo do AD 2012 w celu pozyskania użytkowników do Autoryzacji SSH, WEB GUI.

Kontroler domeny windows 2012r poziom AD 2012

AD01- 192.168.1.199

User- pa-admin-user

domena- safekom.pl

Konfiguracja Palo:

Device –> Server Profiles –> LDAP

ldap01

Gdzie w servers podajemy namiary na kontrolery domeny, w mym przypadku jest to jeden serwer. Na chwilę obecną korzystam z LDAP bez SSL. W polu Domain wpisujemy nazwę NETBIOS  domeny, w kolejnym polu wybieramy Active-Directory. W polu Base podajemy w formacie LDAP (X.500) czyli DC=safekom, dc=pl, w polu Bind DN podajemy usera który może czytać drzewo LDAP, w dokumentacji jest aby pole podawać w formacie X.500 a zastosowałem user@domena.pl, pole Bind Password – hasło do użytkownika.

to co wyżej ale z CLI:

 

Kolejnym krokiem jest wybranie grup w AD które będą przeszukiwane. Przechodzimy do Device–>User Identification –> Group Mapping Settings, dodajemy nowy profil:

ldap02

Gdzie:

Name – dowolna nazwa profilu

Server profile – wybieramy profil który utworzyliśmy dla serwera LDAP

przechodzimy do zakładki Group Include List gdzie wybieramy grupy AD które mają być przeszukiwane.

ldap03

To co wyżej ale z CLI:

Tworzymy użytkownika który może zalogować się po SSH oraz WEB GUI

Pierwszym krokiem będzie utworzenie profilu Authentication Profile.

ldap04

Gdzie:

Name – to dowolna nasza nazwa

w polu Allow List wybieramy grupę z AD która ma być sprawdzana autoryzację użytkownika.

Authentication – wybieramy LDAP

Server Profile – Nasz profil

Login Attribute – wpisujemy sAMAccountName (jest to nazwa pola user w AD)

To co wyżej ale z CLI:

Przechodzimy do Administrators gdzie mapujemy użytkowania.

ldap05

gdzie:

Name: użytkownik z AD

Roule: Dynamic – Superuser

To co wyżej ale z CLI:

 

Kolejnym krokiem będzie pozyskanie IP użytkowników ale to będzie w kolejnym wpisie na blogu

LAB – IPSEC SRX <--> PALO

Dziś przyszedł czas na lab z wykorzystaniem urządzeń Juniper SRX oraz Palo Alto Networks. Skupię się w tym wpisie na skonfigurowaniu połączenia VPN Ipsec pomiędzy tymi urządzeniami.

założenia:

vpn_srx_palo_pb

Faza 1 aes256 sha-1 pfs g2 3600s
Faza 2 aes256 sha-1 pfs g2 3600s
Palo SRX
Sieci które będą podlegały szyfrowaniu 10.20.10.0/24 10.10.10.0/24
Palo SRX
Interfejs z adresem tzw. publicznym 192.168.1.210/24 192.168.1.2/24

Konfiguracja SRX

Faza1

Faza 2

Konfiguracja polityki vpn

Dodanie obiektów

Konfiguracja polityki z Trust do Untrust

Konfiguracja polityki z Untrust do Trust

Konfiguracja Palo

Konfiguracja IKE Proposal

Web:

 

palo_ike01

CLI:

Konfiguracja IPSEC Propsal

Web:

palo_ipsec02

Cli:

Konfiguracja Fazy 1

Web:

palo_ipsec03

palo_ipsec04

 

Cli:

Konfiguracja Fazy 2:

Konfiguracja zony VPN

Web:

palo_ipsec15

 

Cli

Utworzenie interfejsu tunel z przypisaniem do zony VPN

Web:

palo_ipsec05

Cli

Utworzenie profilu IPSEC

Web:

palo_ipsec06

Dodanie proxy id

palo_ipsec07

Cli:

Dodanie routingu w kierunku SRX na Palo

palo_ipsec08Cli:

Dodanie polityk fw na Palo

Polityka z Trust to VPN

Cli:

Polityka z VPN to Trust

Sprawdzenie działania VPN

SRX:

Faza 1

Faza 2

Palo

Faza 1

Faza 2