Sophos XG SSLVPN 限時登入

先設定沒有時限的用戶

我的Policy rule比較小, 所以不喜歡使用Rule group

開放HTTPS和SSH會增加security風險, 請自行按需要選擇, User portal亦一樣

使用剛才建立的用戶登入User Portal

選擇需要的設定檔, 本文測試下載IOS設定檔然後email到手機裏

先安裝OpenVPN的手機裏

如果這個Profile不是你外網的IP, 你可以修改剛才下載的ovpn文件

如果用戶只能在只是時間才可以登入SSLVPN就需要設定Schedule

Reference:

https://docs.sophos.com/nsg/sophos-firewall/19.5/Help/en-us/webhelp/onlinehelp/AdministratorHelp/RemoteAccessVPN/HowToArticles/RAVPNSSLWithSConClient/index.html#install-and-configure-sophos-connect-client-on-endpoints

Sophos XG 基本上網NAT設定

預設管理URL: https://172.16.16.16:4444

開放https管理頁面會增加風險, 請自行決定

在登入時先設定好secure storage master key, 再設定Encryption password, 在restore的時候需要使用密碼還原

本人習慣清除所有build-in的rules, 再增加所需要的policy, 而下圖所看到的Drop all上面再增加一條Deny All的目的是所有被Drop的package都需要有Log, 因為Build-in的那一條改不了

包括刪除NAT的所有rules

開放上網的Policy給Lan用戶

還要增加NAT設定, Lan用戶才能夠上網

Paloalto firewall 8.1.x upgrade to 9.1.x

升級版本: 8.1.15-h3 -> 9.1.14-h1
預先下載: 8.1.24, 9.0.0, 9.0.16-h3, 9.1.0, 9.1.14-h1
安裝次序: 8.1.24 -> 9.0.16-h3 -> 9.1.14-h1

假設PA1是Active, PA2是Passive

PA2 升級 8.1.24
PA1 升級 8.1.24
PA1 升級 9.0.16-h3
PA2 升級 9.0.16-h3
PA2 升級 9.1.14-h1
PA1 升級 9.1.14-h1

首先查看Application and Threats是否為最新的版本, 如果不是, 請下載

下載全部所需要的Software版本(8.1.24, 9.0.0, 9.0.16-h3, 9.1.0, 9.1.14-h1), 另一台亦需要下載(勾選Sync to HA Peer)

然後需要Export兩隻Firewall的Config設定, 兩隻Firewall都各Export一次

然後確定不要勾選Preemptive以免自動跳回Active影響升級計劃

升級前請必須確認HA的Status正常, 以免影響在線運作

首先升級後備的Firewall (PA2) Local : Passive, 按Install, 然後等待安裝完成及重啟

注意當安下Install後是沒有任何提示訊息, 並立即安裝的 參考

重啟後轉移到Active, Reload時間改為1, 等待HA看到Passive在線的Status

Passive終於醒來, 但是Not synchronized

好的, 在Active按Sync to peer

但是問題出來了, 一直同步不了, 沒有錯誤訊息, 我立即查看之前升級的記錄 參考

只有PAN-OS Version mismatch, 這個Not synchronized使我擔心之後Active跳轉到Passive的時候會不會產生問題, 好在有經驗的同事說不用理會, 有些版本不同是會出現Not synchronized, 只要兩台一樣版本的時候就會自動Synchronized

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClaXCAS

好吧, Active改成Passive, 準備升級本來的Active (PA1)

本實例的跳轉過程中, 只有一個timeout

然後就來到第二次升級, 和之前一樣選擇8.1.24 install, reboot

PA2 升級 8.1.24
PA1 升級 8.1.24
PA1 升級 9.0.16-h3
PA2 升級 9.0.16-h3
PA2 升級 9.1.14-h1
PA1 升級 9.1.14-h1

有驚無險的, 2台PA升級到相同版本後就自動回復正常了

PA2 升級 8.1.24
PA1 升級 8.1.24
PA1 升級 9.0.16-h3
PA2 升級 9.0.16-h3
PA2 升級 9.1.14-h1
PA1 升級 9.1.14-h1

再來的都是這台PA1 升級到9.0.16-h3, 由於功能上的升級, 保險點2台準備升級前都是再備份一次

PA2 升級 8.1.24
PA1 升級 8.1.24
PA1 升級 9.0.16-h3
PA2 升級 9.0.16-h3
PA2 升級 9.1.14-h1
PA1 升級 9.1.14-h1

之後3個升級就沒有太大分別了

各自重啟3次, 共6次, 終於升級完成

本來有勾選Preemptive的, 記得要還原勾選

Reference

https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-new-features/upgrade-to-pan-os-91/upgrade-the-firewall-to-pan-os-91/upgrade-an-ha-firewall-pair-to-pan-os-91

https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-new-features/upgrade-to-pan-os-91/upgrade-the-firewall-to-pan-os-91/determine-the-upgrade-path#id85bdf6f4-2e83-49f0-8525-3eb2163f2d2e