Jsem poměrně nový v Paloalto Firewallu, přišla k nám firma, instalovala firewall a vytvořila Global Protect Gateway, vše funguje, VPN klienti mohou bez problémů přistupovat k interní síti, jediný problém je, že interní síť nemůže pingnout vzdálené klienty.
Kvůli covidu jsme začali pracovat na dálku a někteří uživatelé potřebují vzdálenou podporu na svých počítačích. Používáme TeamViewer, ale problém je kvůli licencím. Používáme vzdálený desktop pro podporu v interní síti, ale nemohu pingnout nebo kontaktovat VPN klienty, avšak když jsem mimo síť pomocí VPN, mohu pingnout vše v interní síti. Existuje nastavení, které by to umožnilo?
Jsou vaši uživatelé Global Protect ve stejné zóně nebo v jiné zóně než vaše interní sítě?
Pokud v jiné, máte bezpečnostní politiku, která to umožňuje?
Musíte povolit aplikaci: ping a ms-rdp; nebo protokol icmp a port tcp/3389 do zóny globalprotect. Aplikace je lepší.
Protokol a port, pokud jsou vaše metody připojení nestandardní.
Jak ostatní řekli, potřebujete politiku, která to umožní.
Také, ve většině případů by RDP tímto směrem prováděli pouze pracovníci helpdesku. Pokud je to i ve vaší situaci, doporučuji omezit přístup podle uživatele/skupiny.
Pokud jsou ve různých zónách, pravděpodobně existuje bezpečnostní politika, která povoluje provoz z VPN klientů do interní sítě, včetně PINGu. Někdo mě opravte, pokud se mýlím, ale toto by mělo automaticky umožnit odchozí odpověď, takže ping odpoví.
Z vašeho příspěvku vyplývá, že neexistuje bezpečnostní politika, která by umožnila odchozí interní provoz do VPN klientů.
Vytvořte prosím bezpečnostní politiku, která povolí tento provoz přes firewall - “Interní zóna” do “VPN zóny” a mělo by to fungovat. Můžete dále zpřísnit na ping a RDP, pokud to preferujete po ověření funkčnosti.
Doufám, že to pomůže.
Uprava: odstranil jsem překlep.
Potřebujete politiku, která umožní interní zóně komunikovat se zónou Global Protect.
Nebo, pokud již máte pravidlo odchozího pingování (zevnitř ven), přidejte do toho pravidla zónu Global Protect.
AKTUALIZACE
Problém byl v bezpečnostní zóně, nyní se můžu připojit přes RDP, jediný problém je, že nemohu nainstalovat vzdálené ovladače na klienty, zobrazí se jako expirované, to vyřeším později, ale pokud mají VPN klienti ovladače před odchodem ze sítě, funguje to!!
Různé zóny
Právě jsem si všiml, že existuje pravidlo s názvem GPVPN Traffic, které umožňuje GP-VPN-zóně do vnitřní zóny. Takže si myslím, že pokud vytvořím pravidlo, které povolí vnitřní zónu do GP-VPN-zóny, mělo by to technicky fungovat, že?
Sorry, pokud je to hloupá otázka, jsem nováček s PaloAlto a firewally.
Přesně to se snažíme udělat, právě jsem vytvořil politiku, a momentálně povoluji vše do VPN zóny, budu pracovat na omezení přístupu pro helpdesk, rád bych to udělal přes skupinu AD, jediný problém je, že s tím nejsem tak obeznámen, ale snad brzy budu moci.
Mám otázku, místo používání dvou pravidel, by to fungovalo, kdybych použil jedno pravidlo.
To znamená, že na zdrojové zóně vyberu vnitřní zónu a GP-VPN-zónu a stejnou věc u cílové zóny.
Všechen provoz by měl být v záznamech. Měli byste být schopni potvrdit tento problém tím, že budete hledat zablokovaný provoz.
Perfektní. A možná ještě nemáte zkušenosti přímo s PaloAlto, ale víte, co potřebujete udělat, jen možná ne jak na to. Ale pokud znáte první krok, je obvykle dost snadné najít odpověď na otázku “jak”.
To znamená, že na zdrojové zóně vyberu vnitřní zónu a GP-VPN-zónu
a cílovou zónu stejnou věc.
Ne.. bude potřeba více než jedno pravidlo.
Pravidlo 1:
GP zóna ~~~> vnitřní zóna
(toto umožňuje, aby GP subnet mohl začít komunikovat s vnitřní sítí)
Pravidlo 2:
Vnitřní zóna ~~~> GP zóna
(toto umožňuje vnitřní LAN iniciovat provoz na GP subnety)