Paloaltoでは、GlobalProtectというVPN接続により、リモートユーザ向けにVPN接続を提供できます。今回は、Paloaltoのローカルデータベースを使用してユーザ認証し、証明書は、Paloaltoが発行する自己証明書を使用します。
![](https://hirotanoblog.com/wp-content/uploads/2020/12/B52F72A2-5975-49B1-8F8C-9650B9A8E4CB-1024x678.png)
ローカルユーザでの認証のほか、Active Directory連携は以下の記事も参考にしてください。この記事は、ローカルユーザでの認証である本記事をベースに、差分を記載しています。
>> 参考記事 : GlobalProtectの設定(ActiveDirectory連携)と動作確認 PANOS9.0.9-h1.xfrローカルユーザベースの作成
ユーザ設定
Device >> ローカルユーザ データベース >> ユーザー へ移動し、追加をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-19.png)
名前をhirotano とし、パスワードを設定してOKをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-18.png)
以下の通り設定されます。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-20.png)
ユーザグループ設定
今後のユーザ追加が容易になるように、複数のSSL-VPNユーザを格納するグループを作成します。
Device >> ローカルユーザデータベース >> ユーザーグループ へ移動し、追加をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-19.png)
以下の画面で、名前をSSL-VPN-Users-Groupとし、先ほど追加したユーザhirotanoを追加します。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-21.png)
以下の画面を確認し、OKをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-20.png)
以下の通り設定されます。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-22.png)
認証プロファイルの設定
認証プロファイル設定のより、ユーザに認証先をローカルデータベースのSSL-VPN-Users-Group であることを指定します。
Device >> 認証プロファイル へ移動し、追加 をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-21.png)
認証プロファイルの名前をSSL-VPN-Auth-Profileとし、タイプをローカルデータベースにします。
次に、詳細タブをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-23.png)
許可リストの設定画面が表示されます。追加をクリックして、SSL-VPN-Users-Group を選択します。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-22.png)
以下の画面になりますので、OKをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-24.png)
以下の通り設定されます。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-23.png)
証明書の作成
Paloaltoを認証局として、ゲートウェイ、ポータル接続用のサーバ証明書を作成します。
認証局証明書の作成
Device >> 証明書の管理 >> 証明書 より 生成をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-25.png)
以下の画面が出力されます。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-24.png)
- 証明書名:任意の名前を設定。PA-Cert-Authorityとします。
- 共通名:任意の名前を設定。PA-Cert-Authorityとします。
- 認証局:チェックを入れます。
設定後、生成をクリックします。
以下のようなポップアップが表示されますので、OKをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-26.png)
サーバ証明書の作成
今回は、ゲートウェイとポータルで同じIPアドレスを使用します。そこで、ゲートウェイ、ポータル接続用の共通のサーバ証明書を作成します。
Device >> 証明書の管理 >> 証明書へ移動し、生成をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-25.png)
以下の画面になります。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-27.png)
- 証明書名:任意の名前を設定。GP-Portal-Gateway-Certとします。
- 共通名:今回は、AWS上のPAで検証しており、ゲートウェイおよびポータルに接続するElastic IPの名前 ec2-XXX-XXX-XXX-XXX.ap-northeast-1.compute.amazonaws.com を設定します。
- 署名者:PA-Cert-Authority を選択します。
- 証明書の属性:追加をクリックして、タイプ Host Name でec2-XXX-XXX-XXX-XXX.ap-northeast-1.compute.amazonaws.com を設定します。
XXX-XXX-XXX-XXX はグローバルアドレス(Elastic IP)が入ります。設定後、生成をクリックします。
以下のようなポップアップが表示されるのでOKをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-26.png)
認証局証明書(PA-Cert-Authority)の配下で、証明書(GP-Portal-Gateway-Cert)が発行されていることが確認できます。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-28.png)
SSL/TLSサービスプロファイルの作成
ゲートウェイ、およびポータルで使用するSSL/TLSサービスプロファイルを作成し、作成した証明書と紐づけます。
Device >> 証明書の管理 >> SSL/TLSサービスプロファイル へ移動し、追加をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-27-1024x593.png)
名前は任意(今回はGP-SSL-Profileと設定)とし、証明書はGP-Portal-Gateway-Certを選択します。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-29.png)
以下の画面になるので、OKをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-28.png)
以下の画面となります。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-30.png)
トンネルインタフェースの追加
SSL-VPNを終端するトンネルインタフェースを設定します。
Network >> インタフェース から トンネル タブへ移動し、追加をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-29.png)
以下の画面で、サブインタフェース番号を設定(今回は1とします)とし、仮想ルータはdefaultを選択します。 セキュリティゾーンは、今回、SSL-VPNに接続されたユーザを特定のゾーン(ゾーン名はSSL-VPNとします)に収容し、 他ゾーンとの通信はセキュリティポリシーを適用できるようにします。プルダウンの下の新規追加リンクをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-31.png)
名前は、任意(今回はSSL-VPNとします)とし、ユーザIDの有効化にチェックを入れます。 ユーザIDの有効化により、このゾーンに所属する認証済みユーザを識別することができるようになります。 その後、OKをクリックします
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-30.png)
以下の画面になるので、OKをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-32.png)
以下のように登録されました。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-31.png)
ゲートウェイの設定
外部(インターネット)からSSL-VPNアクセスしてくるゲートウェイの設定をします。
Network >> GlobalProtect >> ゲートウェイへ移動し、追加をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-33.png)
以下の画面で設定します。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-32-1024x396.png)
- 名前:任意の名前。今回はGP-Gatewayとします。
- インタフェース:SSL-VPNの受け口であるethernet1/1を選択
- IPアドレスタイプ:IPv4 Only を選択
- IPv4アドレス:ゲートウェイとして受け付けるIPアドレス。今回は192.168.20.120/24を選択します。
次に認証タブへ移動します。SSL/TLSサービスプロファイルはGP-SSL-Profileを選択し、クライアント認証の追加をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-34-1024x598.png)
クライアント認証の設定画面が表示されます。名前は任意(今回はClient-Authとします)とし、認証プロファイルにSSL-VPN-Auth-Profileを選択します。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-33.png)
設定後、OKをクリックすると、以下の通り登録されます。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-35-1024x599.png)
次にエージェント タブへ移動します。 まず、トンネル設定 タブを設定します。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-34-1024x476.png)
- トンネルモード:チェックを入れ、有効化します。
- トンネルインタフェース:tunnel.1を選択します。
- IPSecの有効化:チェックを外します。
次にクライアントの設定タブに移動し、追加をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-36-1024x523.png)
設定の選択条件の名前を任意の名前(今回はGP-Client-Setting)を設定します。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-35.png)
IPプール タブへ移動します。IPプールの設定で、追加 をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-37.png)
プールアドレスとして、192.168.100.0/24を設定し、OKをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-36.png)
以下画面となるので、OKをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-38-1024x519.png)
以下の通り、ゲートウェイが登録されます。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-37-1024x148.png)
ポータル設定
SSL-VPNユーザのアクセスの受付、認証を提供するポータルを設定します。
Network >> GlobalProtect >> ポータル へ移動し、追加をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-39-1024x512.png)
全般タブで以下の通り設定します。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-38.png)
- 名前;任意の名前。今回は、GP-Portalとします。
- インタフェース:SSL-VPNの受け口であるethernet1/1を選択
- IPアドレスタイプ:IPv4 Only を選択
- IPv4アドレス:ポータルとして受け付けるIPアドレス。今回は192.168.20.120/24を選択します。
次に認証タブへ移動し、SSL/TLSサービスプロファイルにGP-SSL-Profileを選択し、追加をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-40.png)
クライアント認証の設定画面が表示されます。名前は任意(今回はClient-Authとします)とし、認証プロファイルにSSL-VPN-Auth-Profileを選択します。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-39.png)
OKをクリックすると、以下の通り登録されます。次に、エージェントタブへ移動します。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-41.png)
以下画面で、エージェントの追加をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-40.png)
以下の画面が表示されるので、任意の名前(今回は、GP-Agentとします)を設定します。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-42.png)
外部タブをクリックし、追加をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-41.png)
外部ゲートウェイを設定します。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-43.png)
- 名前:任意の名前。今回はGatewayとします。
- アドレス:FQDNを選択し、 ec2-XXX-XXX-XXX-XXX.ap-northeast-1.compute.amazonaws.com を設定します。 追加をクリックし、送信元地域Any、優先順位をHighestにします。
- 手動:チェックを入れます
設定後、OKをクリックします。
以下の通り登録されるので、OKをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-42.png)
OK をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-44.png)
Commitの実行
設定反映のため、Commitを実行すると、成功しますが、以下の通り、トンネルインタフェースでIPv6が有効でないと警告が出ます。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-43.png)
このままでも問題はないですが、警告が出ないように設定変更します。 Network >> インタフェース へ移動し、トンネルタブから tunnel.1を選択します。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-45.png)
IPv6タブへ移動し、インタフェースでのIPv6の有効化にチェックを入れて、OKをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-44.png)
これでCommitを実行してもトンネルインタフェースに対するIPv6の警告が出ません。
GlobalProtect クライアントの準備
Device >> GlobalProtectクライアントへ移動し、今すぐチェックをクリックすることで、ダウンロードできるGlobalProtect クライアントの一覧を取得します。 その後、使用するGlobalProtectクライアントをダウンロードし、アクティベーションしておきます。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-46-1024x610.png)
下記のポップアップが出力されます。はい をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-45.png)
端末の接続
GlobalProtectのインストール
ブラウザ(今回はEdgeを使用)より、https:// ec2-XXX-XXX-XXX-XXX.ap-northeast-1.compute.amazonaws.com へアクセスします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-2-5.png)
証明書エラーが出ますが、続行すると、ポータル画面が表示されます。 登録したユーザ(hirotano)でログインします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-47.png)
GlobalProtectクライアントのインストールリンクが表示されますので、OSにあったソフトを実行します。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-46.png)
インストール画面が表示されます。順番にNextを押下し、インストールを実行します。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-48.png)
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-47.png)
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-49.png)
![](https://hirotanoblog.com/wp-content/uploads/2020/12/4143E55B-72CF-4BBD-946B-2E32D304AA12.png)
クライアントからの接続(証明書インストール前)
右下のタスクトレイに、GlobalProtectのソフトが起動しますので、ポータル接続先( ec2-XXX-XXX-XXX-XXX.ap-northeast-1.compute.amazonaws.com)を入力して、 接続をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-2-6.png)
すると、以下のようにサーバ証明書エラーが発生します。PAからのサーバ証明書が信頼されたルート証明機関で署名されていないため、エラーとなります。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-50.png)
ルート証明書のインストール
Device >>証明書 へ移動し、認証局証明書であるPA-Cert-Authority を選択し、証明書のエクスポートをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-48.png)
ファイルフォーマットは 暗号化された秘密鍵と証明書(PKCS12)を選択し、パスフレーズを設定の上、OKをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-51.png)
下記のとおり、証明書が保存されます。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-49.png)
この証明書を端末にインストールします。 証明書を右クリックして、PFXのインストールをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-52.png)
証明書のインポートウィザードが開始されます。ローカルコンピュータを選択し、次へをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-50.png)
インポートする証明書が選択されていることを確認し、次へをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-53.png)
パスフレーズを入力して、次へをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-51.png)
証明書ストアを信頼されたルート証明機関として、次へをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-54.png)
確認画面が表示されるので、完了をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-52.png)
以下のポップアップが出力されます。
![](https://hirotanoblog.com/wp-content/uploads/2020/12/1E0D0B36-6CA8-45F0-8FE7-75B234563EFA-1.png)
証明書がローカルコンピュータに保存されているか確認します。 ファイル名を指定して実行で、certlm.mscと入力します。
![](https://hirotanoblog.com/wp-content/uploads/2020/12/D1365B4A-1B96-4EEA-8A50-BD9B0E92EC19.png)
ローカルコンピュータに保存されている証明書が確認できます。信頼されたルート証明機関の下に、PA-Cert-Authorityが保存されていることを確認します。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-55.png)
クライアントからの接続(証明書インストール後)
右下のタスクトレイに常駐しているGlobalProtectクライアントをクリックし、以下画面で接続をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-53.png)
ユーザ名(hirotano)とパスワードを入力し、サインインします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-56.png)
すると、以下のように、接続済みとなります。これでSSL-VPN接続は完了です。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-54.png)
端末のIPアドレスを確認すると、IPプールで設定した192.168.100.0/24より払い出されています。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-57.png)
ログ確認
Monitor >> ログ >> GlobalProtect へ移動すると、GlobalProtect関連のログを確認することができます。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-59-1024x399.png)
今、どのユーザがログインしているか否かは、GUIもしくはCLIで確認できます。
Network >> GlobaProtect >> ゲートウェイ へ移動し、リモートユーザをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-58.png)
以下のように、ゲートウェイに接続しているユーザの一覧を確認できます。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-61.png)
CLIでは、以下のコマンドで確認できます。
admin@PA-VM> show global-protect-gateway current-user GlobalProtect Gateway: GP-Gateway (1 users) Tunnel Name : GP-Gateway-N Domain-User Name : \hirotano Computer : DESKTOP-DC9R5P1 Primary Username : hirotano Region for Config : JP Source Region : JP Client : Microsoft Windows 10 Enterprise Evaluation , 64-bit VPN Type : Device Level VPN Host ID : xxx Client App Version : 5.2.13-48 Mobile ID : Client OS : Windows Private IP : 192.168.100.1 Private IPv6 : :: Public IP (connected) : xxx.xxx.xxx.xxx Public IPv6 : :: Client IP : xxx.xxx.xxx.xxx ESP : removed SSL : exist Login Time : xxx.xx 03:29:24 Logout/Expiration : xxx.xx 02:29:24 TTL : 2591686 Inactivity TTL : 10788 Request - Login : 2023-xx-xx 03:29:24.271 (1698575364271), xxx.xxx.xxx.xxx Request - GetConfig : 2023-xx-xx 03:29:24.513 (1698575364513), xxx.xxx.xxx.xxx Request - SSLVPNCONNECT : 2023-xx-xx 03:29:24.726 (1698575364726), xxx.xxx.xxx.xxx
ポリシー制御
接続したユーザはSSL-VPNゾーンに所属されます。 では、SSL-VPNゾーンからインターネットへ接続できるように設定変更します。
NAT設定
SSL-VPNゾーンからUntrustゾーンへ送信元NATするよう設定します。
Polices >> NAT で追加をクリックし、以下の通りNATポリシーを追加します。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-59-1024x261.png)
セキュリティポリシー設定
SSL-VPNゾーンからインターネットへのUntrustゾーンへすべての通信を許可します。 Polices >> セキュリティより、追加をクリックし、以下の通りセキュリティポリシーを追加します。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-57-1024x212.png)
Commitを実行し、端末からインターネットへ接続します。端末のDNSは端末ローカルで設定したDNSサーバを使用し、インターネットへアクセスできるようになります。
Monitor >> ログ >> トラフィックを確認すると、ユーザ hirotano が プールIPである192.168.100.1よりインターネットへアクセスしていることが確認できます。
![](https://hirotanoblog.com/wp-content/uploads/2023/10/image-1-58-1024x523.png)
コメント