Estamos intentando configurar otro portal VPN para contratistas/usuarios específicos.
Simplemente tengo curiosidad si es posible configurar un segundo gateway/portal de global protect en la misma interfaz física. No parece que pueda hacerlo usando la interfaz gráfica.
También estoy abierto a otras ideas, ya que queremos restringir el acceso para estos contratistas a una zona diferente.
Yo configuré mis gateways y portales de GP en interfaces de loopback en lugar de en la interfaz física. Esto te permite tener múltiples en la misma interfaz física.
Puedes hacerlo con loopbacks.
Depende de cómo definas a los contratistas, ¿están vinculados a tu AD/AAD/lo que sea de alguna manera? Si es así, simplemente ve esa ruta, colócalos en una configuración/pool diferente en los configs de GP y crea reglas en consecuencia.
Si tienes IPs públicas, puedes asignarlas a tus loopbacks y no se necesita NAT.
¿Es un requisito tener un portal separado? Si solo necesitas que tengan diferentes rangos de IP y configuraciones, no necesitas otro portal para eso. Puedes usar un solo portal con múltiples gateways.
Sí, puedes hacer esto con interfaces de loopback como se mencionó en otra parte. Incluyo una descripción general de nuestra configuración por si te ayuda.
Tenemos múltiples interfaces de loopback configuradas. Cada una tiene una IP pública. Hay una zona para cada categoría de usuario (empleado vs proveedor) y cada interfaz de loopback (o túnel) se asigna a esa zona específica. Cada dirección IP se asigna a un portal diferente - hay un portal para cada tipo de usuario.
Para cada portal, establecemos métodos de autenticación específicos y especificamos los usuarios/grupos del Active Directory que pueden conectarse.
Para cada gateway, especificamos qué usuarios tienen acceso permitido y definimos las configuraciones del cliente para establecer el grupo de IP que reciben los clientes, además de usar rutas de acceso para permitir solo el acceso a ciertos servidores necesarios (que incluyen servidores AD para autenticación).
La autenticación se realiza mediante Active Directory (AD) con un método secundario de solicitud MFA de Duo que va a los usuarios de nuestro equipo, por lo que tenemos que permitirles el acceso a través de DUO antes de que puedan conectarse.
Una vez conectados al portal de GlobalProtect, hay una política de seguridad para cada proveedor que limita el acceso a servidores según la membresía del grupo AD. Por ejemplo: La política de seguridad indica que si el usuario de AD es ‘hvacuser’, solo tiene acceso a una IP del servidor hvac.
NAT de origen se realiza en función del grupo de IP y se traduce a la IP de la interfaz de loopback.
Aquí un ejemplo generalizado de VPN de proveedor:
===
Interfaz: Loopback5
Dirección IP: 205.xxx.xxx.5
===
Zona: GlobalProtectVendor (asignada a loopback5)
===
Portal del proveedor: VendorPortal - loopback5 (205.xxx.xxx.5)
Autenticación del portal del proveedor: Perfil de autenticación AD/Duo del proveedor
===
Gateway del proveedor: VendorGateway
Autenticación del Gateway del proveedor: Autenticación AD/Duo - Usuarios = dominio/proveedorusuarios (un grupo AD que contiene diferentes nombres de usuario del proveedor, como ‘hvac’)
Configuraciones del agente → cliente: Usuarios: ‘dominio/proveedorusuarios’ (grupo AD)
Grupo de IP: 10.255.250.0/24
Ruta de acceso: (servidores a los que los proveedores necesitan acceder y AD para autenticación/DNS)
===
Políticas de seguridad (una para cada proveedor):
GP_Vendor_HVAC -
Usuarios = dominio/hvac (usuario AD para el proveedor HVAC)
IP permitida: IP del servidor HVAC
===
NAT
Dirección de origen: 10.255.250.0/24
Dirección de destino: cualquier
Traducción de origen: IP estática - 205.xxx.xxx.5
===
*Hay más en ello y no puedo asegurar que sea 100% correcto, pero esa es una visión general y cómo filtramos la seguridad, concediendo acceso solo a los recursos necesarios.
Un par de consejos que puedo dar:
Espero que esto ayude un poco.
¿Necesitaría reglas de NAT para estos loopbacks?
Si entiendo correctamente, el portal redirigirá al usuario al gateway que ahora es una interfaz de loopback. ¿Es esto una IP privada?
Creo que cuando te conectas al portal o gateway necesitas especificar un número de puerto.
Estamos buscando hacer exactamente eso. ¿Puedes compartir los detalles de tus NATs entrantes hacia los loopbacks?
Oh, tenemos IPs adicionales. Voy a probar esto. Supongo que solo asignaría los loopbacks a la zona externa/no confiable y lo trataría como cualquier otra interfaz externa. ¿El ISP sabrá cómo dirigirse a la interfaz de loopback a través de la única interfaz pública física en el firewall?
¡Sí, gracias por la información! Esto ayuda mucho.
Sí, necesitarás NAT. Revisaré mis reglas de NAT y te informaré qué necesitarás una vez tenga tiempo. Quizás no sea hasta la próxima semana.
Podrías hacerlo con NAT a IPs internas, pero se debe evitar NAT e IPSec siempre que sea posible.
Mejor: La interfaz de loopback tiene una IP pública propia que puede ser alcanzada desde WAN (zonas correctas y políticas de seguridad). Si lo haces de esta manera, la interfaz de loopback funciona como cualquier interfaz física, pero en realidad es una interfaz virtual con una IP flotante que no está ligada a una interfaz física.
Espero que entiendas a qué me refiero, y por cierto: El portal y gateway de GlobalProtect en interfaces de loopback es la mejor práctica con Firewalls Palo ^^