Raspberry-pi | Passerelle GlobalProtect PaloAlo

Besoin: faire une passerelle GlobalProtect PaloAlto avec un raspberry-pi (profiter de sa connexion internet hors entreprise)

  • Installation du client GlobalProtect sous Linux:

Pour vous procurer le client GP pour Linux, je vous laisse voir avec votre entreprise, je ne le proposerais pas ici.

L'installation est assez simple, il suffit de décompresser le fichier puis d'installer le .deb avec :

dpkg -i GlobalProtect_deb-x.x.x.deb

De renseigner l'adresse de votre portail et votre nom d'utilisateur / mot de passe

Une fois installé, pour démarrer la connexion:

globalprotect connect

ou

globalprotect connect --portal <adresse du portail>

et pour se déconnecter:

globalprotect disconnect

Quand vous configurez plusieurs interfaces réseau sous linux et que vous désirez faire transiter du trafic d’une interface à l’autre (partage de connexion internet par exemple), il faut que linux sache qu’il doit le faire. Cette fonctionnalité, connue sous le nom d’ “IP Forwarding” doit généralement être activée manuellement.

Pour se faire, vérifiez d’abord que l’IP Forwarding est bien désactivé en tapant la commande suivante : 

cat /proc/sys/net/ipv4/ip_forward


Si la commande retourne la valeur 0, c’est que l’IP Forwarding n’est pas activé.


Pour l’activer, il suffit de taper la commande : 

echo 1 > /proc/sys/net/ipv4/ip_forward


Vérifiez ensuite avec la commande précédente que le changement a bien été pris en compte.

Pour laisser passer les flux:

iptables -t nat -A POSTROUTING -o gpd0 -j MASQUERADE
iptables -t filter -A FORWARD -i gpd0 -j ACCEPT
iptables -t filter -A FORWARD -o gpd0 -j ACCEPT

ou "gpd0" est l'interface réseau du client GP, pour l'identifier:

ip a

Votre raspberry est pret pour laisser passer les flux.

Sur Windows il faut ajouter une route pour qu'il sache que quand une ip d'entreprise est contactée, il faut passer par le raspberry-pi.

Ouvrir une invite de commande en administrateur.

pour lire les routes:

route print

Pour ajouter une route:

route add -p [adresse ip destination] MASK [masque de l'adresse ip destination] [adresse ip de la gateway de la carte réseau à utiliser]

Pour supprimer une route:

route delete [adresse ip destination]

Et c'est tout, à partir de maintenant, dés que vous contacterez une adresse ip de votre entreprise, vous passerez par le raspberry-pi.

Écrire un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec une *

Quelle est le cinquième caractère du mot 5kytnq0x ? :