Comment configurer deux VPN avec deux FAI avec un seul Firewall site distant
Resolution
Topologie
Site principal:
- Double FAI
- Single PAN firewall avec routeurs virtuels doubles et dual VPN.
- ISPL’un est utilisé pour tout le trafic et VPN l’autre est utilisé pour le trafic Internet, ainsi qu’une sauvegarde pour le VPN trafic.
Site distant:
- Single PAN firewall avec un seul et un single VR ISP .
- Tunnel156 (en VR2) sera le VPN tunnel principal.
- Le poste de travail va ping le site distant de VR1.La PBF règle acheminera le paquet vers l’interface de Tunnel156 en VR2.
- Lorsque le PBF moniteur échoue, le paquet utilise l’itinéraire par défaut VPN du réseau (tunnel.56) en VR1.
VR1 Setup
- Configurer une IP adresse sur l’interface du tunnel pour PBR la surveillance.
- Configurer l’itinéraire statique pour VPN /tunnel de surveillance du trafic.
VR2 Setup
- Configurer IP l’adresse pour la surveillance des tunnels.
- Configurer l’itinéraire statique pour VPN /tunnel de surveillance du trafic.
- Créer un itinéraire de retour pour la source (route de retour à l’autre VR ).
PBF Policy
Sécurité Policy
admin @ Lab ‐ 56 ‐ PA500 (active) > Show PBF règle All
Règle ID règle State Action Egress / IF VSYS NextHop NextHop Status
==== == ========== ====== ============== ============== ==============
VPNtraffic 4 Active Forward tunnel.156 156.156.156.58 UP
Flux de session:
admin @ Lab ‐ 56 ‐ PA500 (active) > Show session ID 29290
Session 29290
flux c2s:
source: 192.168.56.30[Trust]
tél. : 192.168.57.1
proto: 6
sport: 3045 dport: 443
État: Type: ACTIVE FLOW
src utilisateur: inconnu
utilisateur dst: inconnu
règle pbf: VPNtraffic 4
flux s2c:
source: 192.168.57.1[vr2-vpn]
tél. : 192.168.56.30
proto: 6
sport: 443 dport: 3045
état: ACTIVE type: FLOW
src utilisateur: inconnu
utilisateur dst: inconnu
heure de départ : Lun Aug 8 10:16:58 2011
délai d’attente : 1800 sec
temps de vivre : 1767 sec
nombre total d’au-tets : 47632
nombre de paquets layer7 : 129
vsys : vsys1
application : ssl
règle : TrafficVPN
session à connecter à la fin : Vrai
session en session ager : Vrai
session synchronisée à partir de l’homologue HA : False
traitement layer7 : terminé
URL filtrage activé : Faux
session via syn‐cookies: False
session terminée sur l’hôte : Faux
session traverse le tunnel : Vrai
session portail captif : Faux
interface d’entrée : ethernet1/6
interface d’évacuation : tunnel.156
session QoS règle : N / A (classe 4)
admin @ Lab ‐ 56 ‐ PA500 (active) > Show PBF règle All
Règle ID règle State Action Egress / IF VSYS NextHop NextHop Status
==== == ========== ====== ============== ============== ==============
VPNtraffic 4 Active Forward tunnel.156 156.156.156.58 DOWN
admin @ Lab ‐ 56 ‐ PA500 (active) > Show session ID 61386
Session 61386
flux c2s:
source: 192.168.56.30[Trust]
tél. : 192.168.57.1
proto: 6
sport: 512 dport: 55042
état: INIT type: FLOW
src utilisateur: inconnu
utilisateur dst: inconnu
flux s2c:
source: 192.168.57.1[vpn]
tél. : 192.168.56.30
proto: 1
sport: 55042 dport: 512
État: Type: INIT FLOW
src utilisateur: inconnu
utilisateur dst: inconnu
heure de départ : Lun Aug 8 10:49:18 2011
délai d’attente : 6 sec
nombre total d’au-tets : 74
nombre de paquets layer7 : 1
vsys : vsys1
application : ping
règle : TrafficVPN
session à connecter à la fin : Vrai
session en session ager : Faux
session synchronisée à partir HA de peer : Faux
traitement layer7 : activé
URL filtrage activé : Faux
session via syn‐cookies: False
session terminée sur l’hôte : Faux
session traverse le tunnel : Vrai
session portail captif : Faux
interface d’entrée : ethernet1/6
interface d’évacuation : tunnel.56
session QoS règle : N / A (classe 4)
propriétaire : panagent