# Useroam Cloud Palo Alto Entegrasyon Rehberi

<div class="step" id="bkmrk-paloalto-cihaz-ekleme-konteyner"></div>### **<span class="step-number">1 - </span><span class="step-title">Panele Güvenlik Duvarının Eklenmesi</span>**

İlk olarak **<span style="background-color: rgb(188, 216, 0);">[panel.useroam.com](https://panel.useroam.com)</span>** panelinize giriş yapıp **"Yeni Cihaz"** ekleyiniz. Cihaz Adresi kısmına firewall üzerinden hangi IP adresi ile iletişim kuracaksanız, ilgili dış bacak IP adresini giriniz.

<div class="step" id="bkmrk-paloalto-5651-kutusu">- **Cihaz tipi:** PaloAlto seçiniz.
- **5651 Loglama:** 5651 Loglama kutucuğunu aktif ediniz.

</div><div class="step" id="bkmrk-paloalto-cihaz-gorsel"><div class="image-container">![Palaalto-Entegrasyon_v13102025.pdf.pdf_12.jpg](https://help.useroam.com/uploads/images/gallery/2026-07/palaalto-entegrasyon-v13102025-pdf-pdf-12.jpg)</div></div>### <span class="step-number">2 - </span><span class="step-title">Zone Ayarları</span>

Useroam'u aktif edeceğimiz interface için <span style="background-color: rgb(188, 216, 0);">**Network / Zone**</span> menüsünden yeni bir zone oluşturup, **"Enable User Identification"** kutucuğunu seçiyoruz.

<div class="step" id="bkmrk-paloalto-zone-gorsel"><div class="image-container">![Palaalto-Entegrasyon_v13102025.pdf.pdf_12 (1).jpg](https://help.useroam.com/uploads/images/gallery/2026-07/palaalto-entegrasyon-v13102025-pdf-pdf-12-1.jpg)</div></div>### <span class="step-number">3 - </span><span class="step-title">Interface ve Profil Ayarları</span>

Firewall üzerinden Useroam'u aktif edeceğimiz interface'de (arayüz) **Advanced** Kısmından yeni bir Profil oluşturuyoruz. Bunu yaparken <span style="background-color: rgb(188, 216, 0);">**Response Pages**</span> kutucuğunu seçiyoruz.

<div class="step" id="bkmrk-paloalto-interface-gorseller"><div class="image-container">![Palaalto-Entegrasyon_v13102025.pdf.pdf_17.png](https://help.useroam.com/uploads/images/gallery/2026-07/palaalto-entegrasyon-v13102025-pdf-pdf-17.png)</div><div class="image-container">  
</div></div>### <span class="step-number">4 - </span><span class="step-title">Radius Ayarları</span>

İlgili ayarları <span style="background-color: rgb(188, 216, 0);">**Device &gt; Server Profiles &gt; Radius**</span> menüsünden şu şekilde uyguluyoruz:

<div class="step" id="bkmrk-paloalto-radius-parametreler">- **Authentication Protocol:** PAP
- **Radius Server / FQDN:** panel.useroam.com
- **Secret:** panel.useroam.com'da Sistem Ayarları / Cihaz Detaylarından almış olduğunuz cihaz şifresi

</div><div class="step" id="bkmrk-paloalto-radius-gorsel"><div class="image-container">![Palaalto-Entegrasyon_v13102025.pdf.pdf_27.jpg](https://help.useroam.com/uploads/images/gallery/2026-07/palaalto-entegrasyon-v13102025-pdf-pdf-27.jpg)</div><div class="image-container">[![Palaalto-Entegrasyon_v13102025.pdf.pdf_28.jpg](https://help.useroam.com/uploads/images/gallery/2026-07/scaled-1680-/palaalto-entegrasyon-v13102025-pdf-pdf-28.jpg)](https://help.useroam.com/uploads/images/gallery/2026-07/palaalto-entegrasyon-v13102025-pdf-pdf-28.jpg)</div></div>### <span class="step-number">5 - </span><span class="step-title">Authentication Profile Ayarı</span>

<span style="background-color: rgb(188, 216, 0);">**Device &gt; Authentication Profile**</span> menüsünden yeni profilimizi tanımlıyoruz.

<div class="step" id="bkmrk-paloalto-auth-profile-detay">- **Type:** RADIUS
- **Server Profile:** Oluşturmuş olduğumuz Radius Server Profilini seçiyoruz.
- **Retrieve user group from RADIUS:** Bu kutucuğu işaretleyerek seçili olduğundan emin oluyoruz.
- **Advanced:** Advanced kısmında ise Allow List'e **all** nesnesini ekliyoruz.

</div><div class="step" id="bkmrk-paloalto-auth-profile-gorsel"><div class="image-container">![Palaalto-Entegrasyon_v13102025.pdf.pdf_33.png](https://help.useroam.com/uploads/images/gallery/2026-07/palaalto-entegrasyon-v13102025-pdf-pdf-33.png)</div></div>### <span class="step-number">6 - </span><span class="step-title">Sertifika Ayarlarının Yapılması</span>

Cihazımıza tanımlanacak sertifikalar yüklenmeden önce, ilgili Root CA veya Intermediate gibi kök sertifikaların sisteme eklenmiş olması gerekir. Bu işlem, mevcut sertifikanın güven zincirinin (trust chain) eksiksiz şekilde oluşturulmasını sağlar ve bağlanacak istemci cihazlarda SSL/TLS hatalarının önüne geçer.

#### <span class="step-title">6A - Root CA Import İşlemi</span>

İlk adım olarak, Root CA veya CA sertifikasını import ediniz.

<div class="step" id="bkmrk-paloalto-root-ca-gorsel"><div class="image-container">![Palaalto-Entegrasyon_v13102025.pdf.pdf_32.jpg](https://help.useroam.com/uploads/images/gallery/2026-07/palaalto-entegrasyon-v13102025-pdf-pdf-32.jpg)</div></div>#### <span class="step-title">6B - Sertifika ve Anahtar Dosyasının Yüklenmesi</span>

Sonraki adımda; sertifika dosyasını, anahtar dosyası (key) ve şifreyle birlikte güvenlik duvarına yükleyiniz.

<div class="step" id="bkmrk-paloalto-key-yukleme-gorsel"><div class="image-container">![Palaalto-Entegrasyon_v13102025.pdf.pdf_39.jpg](https://help.useroam.com/uploads/images/gallery/2026-07/palaalto-entegrasyon-v13102025-pdf-pdf-39.jpg)</div></div>#### <span class="step-title">6C - Katmanlı Sertifika Zinciri Kontrolü</span>

Yükleme işlemi tamamlandığında, karşımıza çıkan görüntü; katmanlı bir yapı şeklinde, birbirine bağlı bir sertifika zinciri şeklinde olmalıdır.

<div class="step" id="bkmrk-paloalto-zincir-gorsel"><div class="image-container">![Palaalto-Entegrasyon_v13102025.pdf.pdf_38.jpg](https://help.useroam.com/uploads/images/gallery/2026-07/palaalto-entegrasyon-v13102025-pdf-pdf-38.jpg)</div></div>### <span class="step-number">7 - </span><span class="step-title">Authentication Portal Ayarları</span>

Ardından <span style="background-color: rgb(188, 216, 0);">**Device &gt; User Identification &gt; Authentication Portal**</span> menüsünden Settings kısmını açınız.

![Palaalto-Entegrasyon_v13102025.pdf.pdf_45.jpg](https://help.useroam.com/uploads/images/gallery/2026-07/palaalto-entegrasyon-v13102025-pdf-pdf-45.jpg)

<div class="step" id="bkmrk-paloalto-auth-portal-parametreler">- <span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none">Enable Authentication Portal:</span><span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none"> Bu seçeneği işaretleyerek hotspotu aktif hale getiriniz.</span>
- <span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none">Idle Timer ve Timer:</span><span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none"> Her iki alan için de maksimum değer olan 1440 dakika (24 saat) girilir. Bu, bir kullanıcının hotspot ekranını günde yalnızca bir kez görmesini sağlar. Biz bir kullanıcının önüne hotspot ekranının 24 saatte bir gelmesini istediğimiz için bu değeri giriyoruz. Daha kısa oturum süreleri tercih ediyorsanız, bu değeri ihtiyacınıza göre güncelleyebilirsiniz.</span>
- <span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none">SSL/TLS Service Prole: </span><span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none">Bu alandan, daha önce oluşturulan SSL prolini seçiniz. Ancak burada şuna dikkat etmeniz gerekmektedir: Palo Alto'nun bazı sürümlerinde, önceden oluşturulmuş proller bu alanda görünmeyebilir. Bu durumda, “New” seçeneği ile bu ekrandan yeni bir SSL/TLS proli oluşturularak işlem tamamlanmalıdır.</span>
- <span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none">Eğer sisteminizde seçim yapılabiliyorsa, önceden oluşturulmuş prol kullanılabilir</span>

</div><div class="step" id="bkmrk-paloalto-auth-portal-gorsel"><div class="image-container">![Palaalto-Entegrasyon_v13102025.pdf.pdf_47.jpg](https://help.useroam.com/uploads/images/gallery/2026-07/palaalto-entegrasyon-v13102025-pdf-pdf-47.jpg)</div><div class="image-container">  
</div></div><div class="image-container" id="bkmrk-paloalto-ssl-profil-uyari"><div class="alert-box"><span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none">Yeni bir profill oluşturmanız gerekiyorsa</span><span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none">a</span> <span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none">şağıdaki adımları izleyiniz.</span> </div></div><div class="alert-box" id="bkmrk--1"></div>- <span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none">Profile bir isim vererek, kullanılacak SSL sertikasını seçiniz.</span>
- <span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none">Protocol Settings bölümünden, çalışması istenen minimum ve maksimum SSL/TLS versiyon değerlerini seçiniz.</span>
- <span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none">Ayarlar tamamlandıktan sonra OK butonuna tıklanarak prol kaydediniz.</span>

<div class="image-container" id="bkmrk--2">[![Palaalto-Entegrasyon_v13102025.pdf.pdf_55.jpg](https://help.useroam.com/uploads/images/gallery/2026-07/scaled-1680-/palaalto-entegrasyon-v13102025-pdf-pdf-55.jpg)](https://help.useroam.com/uploads/images/gallery/2026-07/palaalto-entegrasyon-v13102025-pdf-pdf-55.jpg)</div><div class="image-container" id="bkmrk--3"></div><div class="image-container" id="bkmrk--4">[![Palaalto-Entegrasyon_v13102025.pdf.pdf_55 (1).jpg](https://help.useroam.com/uploads/images/gallery/2026-07/scaled-1680-/palaalto-entegrasyon-v13102025-pdf-pdf-55-1.jpg)](https://help.useroam.com/uploads/images/gallery/2026-07/palaalto-entegrasyon-v13102025-pdf-pdf-55-1.jpg)</div><span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none">Authentication Prole :</span><span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none"> Oluşturulan Useroam prolini seçerek devam ediniz.</span>

<span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none">Session Cookie / Timeout :</span><span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none"> Bu alanda da daha önce belirlediğimiz gibi </span><span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none">1440 dakika (24 saat)</span><span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none">d</span> <span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none">eğerini </span><span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none">girerek oturum süresini tanımlayınız.</span>

<span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none">Redirect Host :</span><span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none"> Buraya sertika üzerinden yönlendirme yapılacağı için subdomaini giriniz.</span>

<span class="a_GcMg font-feature-liga-off font-feature-clig-off font-feature-calt-off text-decoration-none text-strikethrough-none">[![Palaalto-Entegrasyon_v13102025.pdf.pdf_55 (2).jpg](https://help.useroam.com/uploads/images/gallery/2026-07/scaled-1680-/palaalto-entegrasyon-v13102025-pdf-pdf-55-2.jpg)](https://help.useroam.com/uploads/images/gallery/2026-07/palaalto-entegrasyon-v13102025-pdf-pdf-55-2.jpg)</span>

### <span class="step-number">8 - </span><span class="step-title">Captive Portal Tasarımının Yüklenmesi (Comfort Page)</span>

panel.useroam.com'dan Sistem Ayarları / Cihaz Detayları'nda bulunan `<html>` olarak başlayan kod satırının hepsini kopyalayıp, not defteri veya benzeri bir uygulamaya yapıştırıp, ilgili kodu **"captive.html"** gibi bir isimle, html formatında olacak şekilde kaydediniz. Sonrasında firewall'da <span style="background-color: rgb(188, 216, 0);">**Device &gt; Response Pages &gt; Captive Portal Comfort Page**</span> üzerinden oluşturduğumuz dokümanı yüklüyoruz.

<div class="step" id="bkmrk-paloalto-comfort-page-gorsel"><div class="image-container">![Palaalto-Entegrasyon_v13102025.pdf.pdf_61.jpg](https://help.useroam.com/uploads/images/gallery/2026-07/palaalto-entegrasyon-v13102025-pdf-pdf-61.jpg)</div></div>### <span class="step-number">9 - </span><span class="step-title">DHCP Ayarları</span>

İç ağdan yapılacak DNS sorgularının sorunsuz şekilde işlenebilmesi için, eğer ayrı bir DNS sunucusu bulunmuyorsa, DHCP ve DNS Proxy kısmının güncellenmesi gerekmektedir. <span style="background-color: rgb(188, 216, 0);">**Network &gt; DHCP &gt; Options**</span> menüsüne gidilir.

<div class="step" id="bkmrk-paloalto-dhcp-parametreler">- **Primary DNS:** Primary DNS alanına, firewall cihazının kendi bacak IP adresi yazılır.
- **Secondary DNS:** Global bir DNS sunucusu tanımlanabilir (Örnek: `8.8.8.8` - Google DNS).

</div>`Not: Mevcutta içeride bir DNS sunucunuz varsa alan adı yönlendirmesi için gerekli kaydı iç DNS ağınızda da (Static Entries kısmında) tanımlayarak 11. adımdan devam edebilirsiniz.`

<div class="step" id="bkmrk-paloalto-dhcp-gorsel"><div class="image-container">![Palaalto-Entegrasyon_v13102025.pdf.pdf_67.jpg](https://help.useroam.com/uploads/images/gallery/2026-07/palaalto-entegrasyon-v13102025-pdf-pdf-67.jpg)</div></div>### <span class="step-number">10 - </span><span class="step-title">DNS Proxy Ayarları</span>

Ardından DNS sorgularının doğru şekilde çözümlenebilmesi için <span style="background-color: rgb(188, 216, 0);">**Network &gt; DNS Proxy**</span> menüsünden yeni bir proxy tanımlanır.

<div class="step" id="bkmrk-paloalto-dns-proxy-detay">- **Interface:** Bu kısımda Useroam'un aktif olacağı interface veya arayüzleri seçiniz.
- **Primary / Secondary DNS:** Global DNS sunucularını giriniz.
- **Static Entries:** Burada Add butonuna tıklanarak yeni bir kayıt oluşturunuz. **Bu aşamada, yönlendirme yapılacak IP'nin, firewall cihazının Management Interface'inin gateway IP adresi olması önemlidir.**

</div><div class="step" id="bkmrk-paloalto-dns-proxy-gorsel"><div class="image-container">![Palaalto-Entegrasyon_v13102025.pdf.pdf_73.jpg](https://help.useroam.com/uploads/images/gallery/2026-07/palaalto-entegrasyon-v13102025-pdf-pdf-73.jpg)</div></div>### <span class="step-number">11 - </span><span class="step-title">Logların Useroam'a Yönlendirilmesi (Log Forwarding)</span>

<span style="background-color: rgb(188, 216, 0);">**OBJECTS &gt; Log Forwarding**</span> kısmından Add ile yeni profil eklemesi yapınız. **5 farklı log tipi (auth, data, decryption, traffic, url) için ayrı ayrı profil oluşturulmalıdır.** Her eklemede Syslog kısmında Useroam profilini seçmeniz gerekmektedir.

<div class="step" id="bkmrk-paloalto-log-forwarding-gorseller"><div class="image-container">![Palaalto-Entegrasyon_v13102025.pdf.pdf_80.jpg](https://help.useroam.com/uploads/images/gallery/2026-07/palaalto-entegrasyon-v13102025-pdf-pdf-80.jpg)</div><div class="image-container">![Palaalto-Entegrasyon_v13102025.pdf.pdf_81.jpg](https://help.useroam.com/uploads/images/gallery/2026-07/palaalto-entegrasyon-v13102025-pdf-pdf-81.jpg)</div></div>## Firewall Kurallarının Oluşturulması

Palo Alto Firewall entegrasyonunda iki grup kural oluşturulması gerekmektedir. Kurallar ilk oluşturulurken Palo Alto'nun trafiği öğrenmesi gerekeceğinden Service kısmını öncelikle **Any** olarak kullanıp, sonrasında **application-default** olarak değiştirebilirsiniz.

#### <span class="step-title">12A - KURAL SETİ 1: Authentication Kuralları</span>

<span style="background-color: rgb(188, 216, 0);">**Policies &gt; Authentication**</span> menüsüne gelerek aşağıdaki üç kuralı tanımlayınız. **Tüm kurallarda Log Forwarding alanında Useroam seçili olmalıdır.**

<div class="step" id="bkmrk-paloalto-auth-policy-rule-actions-gorsel"><div class="image-container">![Palaalto-Entegrasyon_v13102025.pdf.pdf_86.jpg](https://help.useroam.com/uploads/images/gallery/2026-07/palaalto-entegrasyon-v13102025-pdf-pdf-86.jpg)</div></div>- **KURAL 1 (DNS İzni):** DNS sorgularının authentication aşamasından sorunsuz geçebilmesi için oluşturulur. WAN yönüne doğru tüm DNS sorgularına Authentication Enforcement alanında **default-no-captive-portal** seçilerek izin verilir.
- **KURAL 2 (Useroam Cloud İzni):** Bu kural sayesinde Useroam Cloud'a sorunsuz erişim sağlanacaktır. Destination Address alanında oluşturduğunuz **UseroamCloud (panel.useroam.com)** fqdn adres nesnesini seçiniz.
- **KURAL 3 (Captive Yönlendirme):** Captive portalda henüz oturum açmamış veya ağa ilk defa giren kullanıcıların HTTP ve HTTPS trafiklerinde **default-web-form** yani captive portal ekranına yönlenmesini sağlayan ana kuraldır.

<div class="step" id="bkmrk-paloalto-auth-kurallar-liste-gorsel"><div class="image-container">![Palaalto-Entegrasyon_v13102025.pdf.pdf_87.jpg](https://help.useroam.com/uploads/images/gallery/2026-07/palaalto-entegrasyon-v13102025-pdf-pdf-87.jpg)</div><div class="image-container">  
</div></div>#### <span class="step-title">12B - KURAL SETİ 2: Security Kuralları</span>

<span style="background-color: rgb(188, 216, 0);">**Policies &gt; Security**</span> menüsüne geliniz. **Her kuralda Log Settings kısmında "Log at Session End" seçili olmalı ve Log Forwarding'te Useroam atanmalıdır.**

<div class="step" id="bkmrk-paloalto-security-policy-rule-actions-gorsel"><div class="image-container">![Palaalto-Entegrasyon_v13102025.pdf.pdf_87 (1).jpg](https://help.useroam.com/uploads/images/gallery/2026-07/palaalto-entegrasyon-v13102025-pdf-pdf-87-1.jpg)</div></div>- **KURAL 1 (WAN DNS İzni):** Tüm cihazların Captive Portal'a takılmadan WAN üzerinden DNS sorguları gerçekleştirebilmesini sağlar. Cihazın kendi global captive alan adına erişip (Örn: `captive.apple.com`) internetin varlığını anlaması ve arkasından hotspot ekranını tetiklemesi için gereklidir.
- **KURAL 2 (Useroam Erişim İzni):** Captive Portal Zone'undaki cihazların `panel.useroam.com` adresine güvenlik duvarı üzerinden sorunsuz şekilde erişebilmesi için tanımlanır.
- **KURAL 3 (İnternet Çıkış İzni):** Misafir ağınızın internete çıkışını sağlayan son kuraldır. Bu kuralda Source kısmında **Source User** değeri mutlaka **known-user** olarak seçilmelidir.

<div class="step" id="bkmrk-paloalto-security-kurallar-liste-gorsel"><div class="image-container">  
</div></div><div class="image-container" id="bkmrk-paloalto-cli-ek-bilgi"><div class="alert-box">**Ek Teknik Bilgi (Giriş Yapmış Kullanıcıyı Düşürmek):** Oturum açmış aktif bir misafir kullanıcının oturumunu sonlandırmak veya önbelleğini temizlemek için Palo Alto CLI arabirimine giriş yapılarak sırasıyla aşağıdaki komutlar çalıştırılır.</div><div class="alert-box">Giriş yapmış tüm aktif kullanıcıların listesini ve IP adreslerini görmek için:  
`show user ip-user-mapping all`</div><div class="alert-box">Listeden alınan ilgili IP adresini ağdan düşürmek için aşağıdaki kodlar tetiklenir:</div></div>`clear user-cache ip <ip-adresi>`  
`debug user-id reset captive-portal ip-address <ip-adresi>`

#### <span class="step-number">Önemli - </span><span class="step-title">Entegrasyon Tamamlandı</span>

Hepsi bu kadar! Palo Alto entegrasyon ve sunucu değişiklik işleminiz başarıyla tamamlandı. İşlem sırasında herhangi bir teknik sorunla karşılaşırsanız **destek@useroamteknoloji.com** adresinden destek ekibiyle iletişime geçebilirsiniz.