Serait-il possible d’utiliser GlobalProtect VPN pour se connecter à plusieurs sites simultanément ? Si oui, quelles seraient les démarches pour y parvenir ? Un partenaire externe a demandé si c’était possible, et j’étais curieux.
Merci !
Tu devrais regarder Prisma access à la place.
Non, ce ne serait pas le cas.
Ce que les autres ont dit. Non. Un portail à la fois. Ce à quoi ressemblera ton réseau derrière déterminera ce qu’ils peuvent accéder.
Dans le cas de Prisma Access, tu peux avoir un portail connecté à plusieurs connexions de service, qui tunnèlent vers plusieurs sites (spokes vers hubs en gros).
Je ne pense pas que ce soit possible. GlobalProtect crée un seul adaptateur réseau virtuel sur ton PC, qui te donne une adresse IP basée sur la plage IP configurée sur ton Gateway. Par conséquent, tu ne seras connecté qu’à un seul réseau.
Mais je ne l’ai travaillé que pendant un mois, peut-être que quelqu’un d’autre sait si c’est possible.
Soit en connectant tes gateways GP en backhaul via IPsec Palo à Palo pour que chaque gateway puisse router vers d’autres LANs de Gateways, soit en laissant tes utilisateurs choisir le Gateway dont ils ont besoin pour accéder au LAN via la liste déroulante, soit en utilisant un VPN sans client + SSO + MFA, ou en configurant plusieurs tunnels sur le client vers chaque IPsec de chaque gateway et simplement en contrôlant le routage dans Windows/Linux/etc au client (NAT nécessaire si chevauchement d’IP) - utilise l’agent GP ou un portail captif pour l’identité.
Tu peux aussi définir des préférences de gateway selon l’emplacement / la disponibilité / l’identité.
Tu pourrais établir des connexions VPN site-à-site entre les sites, puis router via celles-ci. Bonus si tu mets plusieurs sites avec GP et utilises un DNS dynamique pour le load balancing et la défaillance.
Peut-être que je devrais abandonner mon job et simplement résoudre tous ces problèmes ? Quelqu’un veut commencer une entreprise de conseil et prendre des clients via des formulaires ?
Cherche Prisma, c’est ce qu’il te faut. Les extrémités se connectent à Prisma (cloud) et tu connectes plusieurs autres destinations dans Prisma via tunnels ou en cloud/on-ramp on-orem (tunnels VPN vers les extrémités WAN existantes), etc.
Attention aux licences minimales requises par Palo (200 au dernier comptage) et à l’exigence pour Panorama.
Tu ne peux pas faire ça avec un seul client. Quand j’étais consultant, je créais une machine virtuelle avec le client VPN pour chaque site auquel je voulais me connecter.
Je ne suis pas sûr de l’usage prévu mais la réponse courte est non.
Cependant, tu peux configurer GP sur 3 pare-feu pour avoir des gateways redondants, puis établir des tunnels site-à-site, et restreindre l’accès uniquement aux sous-réseaux GP.