PaloAlto Firewall – Its a Bug, not a feature

Bereits seit 3 Jahren setzen wir auf PaloAlto bei den Firewalls in der Firma. Bisher war ich mit der Leistung, vor allem aber mit den umfangreichen Konfigurationsmöglichkeiten der bei uns eingesetzten Firewall PA-500 sehr zufrieden. Insbesondere die Möglichkeiten, die eine Anbindung von Remote-Clients per VPN und  zur LAN-LAN-Kopplung fanden und finden in unseren Umgebung breite Anwendung. Besonders hier stellt Palo Alto seine Fähigkeiten unter Beweis. Die Sicherheitsfeatures, neben SSL-VPN u.a. Antivirus, Anti-Malware und applikationsbasierte Zugriffssteuerung, arbeiten zuverlässig und effizient.

Der Zugriff per VPN erfolgt für Windows und iOS über einen separaten Client, der auf die Komponenten der Firewall zugreift. Auf der Firewall selbst werden die Sicherheitsfeatures für das VPN konfiguriert und hier gibt es alles was das Adminherz begehrt: SSL, TLS, verschiedene Protokolle von OpenVPN bis IPSec, Verzeichnisintegration (LDAP und AD), verschiedene Authentifizierungsmöglichkeiten usw. usf. Die Anbindung von Linux- und Android-Clienten stellt(e) ebenfalls kein Problem dar: auf meinen Linuxbüchsen nutze ich den Cisico-basierten Client (VPNC), auf den Androiden habe ich mit VPNCilla sehr gute Erfahrungen gemacht.

Die Anbindung funktionierte tadellos bis, ja bis Dezember letzten Jahres. Nach einem Update der PANOS genannten Firmware der Firewall war der Aufbau eines VPNs von den Clients aus nicht mehr möglich, die LAN-LAN-Kopplung hingegen werkelte weiter ohne Probleme vor sich hin. Für die Windows-Clients erledigte sich das Problem relativ schnell: eine neue Version der GlobalProtect genannten Clientsoftware wurde bereit gestellt und alles war wieder in Butter. Nur ich selbst – der ich mich immer noch ohne Windows in der digitalen Welt bewege – konnte ums Verrecken keine Verbindung mehr zu „meinem“ Netzwerk herstellen. Natürlich suchte ich die Ursache in der Konfiguration der Clients, aber es gelang mir nicht, den Fehler einzukreisen.

Gestern stiess ich nun auf den lapidaren Kommentar zu einem Artikel über die Anbindung von Android-Clients per IPSec an die PaloAlto:

If you upgrade from some lower version to 7.x there is a bug which can be fixed by removing the gateway config and configuring to again or by changing a keyword from „any“ to Any.

Also wer ein ähnliches Problem hat: es reicht tatsächlich, die Gatewaykonfiguration zu löschen und sie mit genau denselben Einstellungen neu zu erstellen (achtet darauf das eure Dokumentation aktuell ist 😉 ). Diese Einstellungen dann auf die Firewall übertragen, fertig! Der Zugriff sowohl vom Androiden als auch den Linuxrechnern ist wieder ohne Probleme möglich.

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.