Besoin: faire une passerelle GlobalProtect PaloAlto avec un raspberry-pi (profiter de sa connexion internet hors entreprise)
- Installation du client GlobalProtect sous Linux:
Pour vous procurer le client GP pour Linux, je vous laisse voir avec votre entreprise, je ne le proposerais pas ici.
L'installation est assez simple, il suffit de décompresser le fichier puis d'installer le .deb avec :
dpkg -i GlobalProtect_deb-x.x.x.deb
De renseigner l'adresse de votre portail et votre nom d'utilisateur / mot de passe
Une fois installé, pour démarrer la connexion:
globalprotect connect
ou
globalprotect connect --portal <adresse du portail>
et pour se déconnecter:
globalprotect disconnect
Quand vous configurez plusieurs interfaces réseau sous linux et que vous désirez faire transiter du trafic d’une interface à l’autre (partage de connexion internet par exemple), il faut que linux sache qu’il doit le faire. Cette fonctionnalité, connue sous le nom d’ “IP Forwarding” doit généralement être activée manuellement.
Pour se faire, vérifiez d’abord que l’IP Forwarding est bien désactivé en tapant la commande suivante :
cat /proc/sys/net/ipv4/ip_forward
Si la commande retourne la valeur 0, c’est que l’IP Forwarding n’est pas activé.
Pour l’activer, il suffit de taper la commande :
echo 1 > /proc/sys/net/ipv4/ip_forward
Vérifiez ensuite avec la commande précédente que le changement a bien été pris en compte.
Pour laisser passer les flux:
iptables -t nat -A POSTROUTING -o gpd0 -j MASQUERADE
iptables -t filter -A FORWARD -i gpd0 -j ACCEPT
iptables -t filter -A FORWARD -o gpd0 -j ACCEPT
ou "gpd0" est l'interface réseau du client GP, pour l'identifier:
ip a
Votre raspberry est pret pour laisser passer les flux.
Sur Windows il faut ajouter une route pour qu'il sache que quand une ip d'entreprise est contactée, il faut passer par le raspberry-pi.
Ouvrir une invite de commande en administrateur.
pour lire les routes:
route print
Pour ajouter une route:
route add -p [adresse ip destination] MASK [masque de l'adresse ip destination] [adresse ip de la gateway de la carte réseau à utiliser]
Pour supprimer une route:
route delete [adresse ip destination]
Et c'est tout, à partir de maintenant, dés que vous contacterez une adresse ip de votre entreprise, vous passerez par le raspberry-pi.