Cómo configurar VPN duales con ISP duales con un solo Firewall sitio remoto
Resolution
Topología
Sitio principal:
- ISPs duales
- Sencillo PAN firewall con routers virtuales duales y VPN duales.
- Uno ISP se utiliza para todo el tráfico y el otro se utiliza para el tráfico de VPN Internet, así como una copia de seguridad para el VPN tráfico.
Sitio remoto:
- Individual PAN firewall con un sencillo y un solo VR ISP .
- Túnel156 (en VR2) será el VPN túnel principal.
- La estación de trabajo hará ping en el sitio remoto desde VR1.La PBF regla ruteará el paquete a la interfaz del túnel156 en vr2.
- Cuando el PBF monitor falla el paquete utiliza la ruta predeterminada de la red VPN (tunnel.56) en VR1.
VR1 Setup
- Configure una IP dirección en la interfaz del túnel para la PBR supervisión.
- Configure la static route para VPN el tráfico de monitoreo /tunnel.
VR2 Setup
- Configure IP la dirección para la supervisión del túnel.
- Configure la static route para VPN el tráfico de monitoreo /tunnel.
- Cree una ruta de retorno para el origen (ruta de vuelta a la VR otra).
PBF Policy
Seguridad Policy
admin @ Lab ‐ 56 ‐ PA500 (activo) > Mostrar PBF regla todo
Regla ID regla De acción estatal Egress / IF VSYS NextHop NextHop Estado
==== == ========== ====== ============== ============== ==============
VPNtraffic 4 Túnel activo hacia adelante.156 156.156.156.58 UP
Flujo de sesión:
admin @ Lab ‐ 56 ‐ PA500 (activo) > Mostrar Session ID 29290
Sesión 29290
flujo c2s:
fuente: 192.168.56.30[Confianza]
dst: 192.168.57.1
proto: 6
deporte: 3045 dport: 443
Estado: Tipo: ACTIVE FLOW
usuario de src: desconocido
dst usuario: desconocido
regla pbf: VPNtraffic 4
flujo s2c:
fuente: 192.168.57.1[vr2-vpn]
dst: 192.168.56.30
proto: 6
deporte: 443 dport: 3045
estado: ACTIVE tipo: FLOW
usuario de src: desconocido
dst usuario: desconocido
hora de inicio : Lunes 8 ago 10:16:58 2011
tiempo de espera : 1800 seg
tiempo de vida : 1767 seg
número total de bytes : 47632
número de paquetes layer7 : 129
vsys : vsys1
aplicación : ssl
regla : TrafficVPN
sesión que se registrará al final : True
sesión en el ager de sesión : True
sesión sincronizada desde HA el mismo nivel: False
procesamiento de capa7 : completado
URL filtrado habilitado: False
sesión a través de sin-cookies: Falso
sesión terminada en el host : False
sesión atraviesa túnel : True
sesión del portal cautivo : Falso
interfaz de entrada : ethernet1/6
interfaz de salida : tunnel.156
regla QoS de sesión : N / A (clase 4)
admin @ Lab ‐ 56 ‐ PA500 (activo) > Mostrar PBF regla todo
Regla ID regla De acción estatal Egress / IF VSYS NextHop NextHop Estado
==== == ========== ====== ============== ============== ==============
VPNtraffic 4 Túnel activo hacia adelante.156 156.156.156.58 DOWN
admin @ Lab ‐ 56 ‐ PA500 (activo) > Mostrar Session ID 61386
Sesión 61386
flujo c2s:
fuente: 192.168.56.30[Confianza]
dst: 192.168.57.1
proto: 6
deporte: 512 dport: 55042
estado: INIT tipo: FLOW
usuario de src: desconocido
dst usuario: desconocido
flujo s2c:
fuente: 192.168.57.1[vpn]
dst: 192.168.56.30
proto: 1
deporte: 55042 dport: 512
Estado: Tipo: INIT FLOW
usuario de src: desconocido
dst usuario: desconocido
hora de inicio : Lunes 8 ago 10:49:18 2011
tiempo de espera : 6 seg
número total de bytes : 74
número de paquetes layer7 : 1
vsys : vsys1
aplicación : ping
regla : TrafficVPN
sesión que se registrará al final : True
sesión en el ager de sesión : False
sesión sincronizada desde HA el par : Falso
procesamiento de capa7 : habilitado
URL filtrado habilitado: False
sesión a través de sin-cookies: Falso
sesión terminada en el host : False
sesión atraviesa túnel : True
sesión del portal cautivo : Falso
interfaz de entrada : ethernet1/6
interfaz de salida : tunnel.56
regla QoS de sesión : N / A (clase 4)
Propietario: panagent