Konfigurieren von IPSec VPN

NOTE: Palo Alto Networks unterstützt nur den Tunnelmodus für IPSec VPN . Der Transportmodus wird für IPSec nicht VPN unterstützt.

Schritt 1

Gehen Sie zu Network >Interface > Tunnel, klicken Sie auf Hinzufügen, um eine neue Tunnelschnittstelle zu erstellen, und weisen Sie die folgenden Parameter zu:
– Name: tunnel.1
– Virtueller Router: (Wählen Sie den virtuellen Router aus, in dem sich Ihre Tunnelschnittstelle befinden soll)
– Sicherheitszone:(Konfigurieren Einer neuen Zone für die Tunnelschnittstelle für eine detailliertere Steuerung des Ein-/Auszugsverkehrs im Tunnel)



NOTE: Wenn sich die Tunnelschnittstelle in einer anderen Zone befindet als die Zone, in der der Verkehr entsteht oder abläuft, dann ist a erforderlich, damit der Datenverkehr von der Quellzone in die Zone fließen kann, policy die die Tunnelschnittstelle enthält.
Die Konfiguration der ip-Adresse auf der Tunnelschnittstelle ist optional. Sie benötigen ip-adresse, wenn Sie dynamische Routingprotokolle über die Tunnelschnittstelle ausführen möchten.
 

Schritt 2

Wechseln Sie zu Netzwerk > Netzwerkprofile n > IKE Crypto , klicken Sie auf Hinzufügen und definieren Sie die IKE Parameter Crypto-Profil (IKEv1 Phase-1). Name spielt keine Rolle, kann sein was du willst.Diese Parameter sollten auf der Fernbedienung übereinstimmen, firewall damit die IKE Phase-1-Aushandlung erfolgreich ist.

Schritt 3

Wechseln Sie zu Netzwerk> Netzwerkprofile > IKE Gateway, um das IKE Phase-1-Gateway zu konfigurieren.
Version: Es gibt Optionen für die Version, wo Sie NUR IKEv1-Modus, NUR IKEv2-Modus oder IKEv2 bevorzugten Modus auswählen können.
Wählen Sie die IKE Version aus, die das Gateway unterstützt und deren Verwendung mit dem Peergateway zustimmt.Der bevorzugte MODUS von IKEv2 bewirkt, dass das Gateway für IKEv2 verhandelt wird, und wenn der Peer auch IKEv2 unterstützt, wird es das verwenden. Andernfalls greift das Gateway auf IKEv1 zurück.
Schnittstelle: Die externe Schnittstelle, die mit dem Internet verbunden ist.
Lokale und Peer-Identifikation: Definiert das Format und die Identifizierung des lokalen/Peer-Gateways, die mit dem vorinstallierten Schlüssel für die IKEv1-Phase 1 und die SA IKEv2-Einrichtung verwendet SA werden.
Wählen Sie einen der folgenden Typen aus, und geben Sie den Wert ein: FQDN (Hostname), IP Adresse KEYID , (binäre ID Formatzeichenfolge in ) oder Benutzer HEX FQDN (E-Mail-Adresse).
Wenn Sie keinen Wert angeben, verwendet das Gateway die IP lokale/Peer-Adresse als Lokalen/Peer-Identifikationswert.



Erweiterte Optionen:


Aktivieren Sie den passiven Modus - Der nur im firewall Responder-Modus. Der firewall reagiert nur auf Verbindungen und initiiert sie IKE niemals.
Exchange-Modus - Das Gerät kann sowohl Hauptmodus- als auch aggressive Modus-Aushandlungsanforderungen akzeptieren. Wann immer möglich, initiiert es jedoch Verhandlungen und ermöglicht den Austausch im Hauptmodus

Schritt 4

Klicken Sie unter Netzwerk- > Netzwerkprofile > IPSec Crypto auf Hinzufügen, um ein neues Profil zu erstellen, und definieren Sie das IPSec Crypto-Profil, um Protokolle und Algorithmen für die Identifizierung, Authentifizierung und Verschlüsselung in VPN Tunneln basierend auf der SA IPSec-Aushandlung anzugeben (IKEv1 Phase-2). Diese Parameter sollten auf der Fernbedienung übereinstimmen, firewall damit die IKE Phase-2-Aushandlung erfolgreich ist.


 

Schritt 5

Klicken Sie unter Netzwerk> IPSec-Tunnelauf Hinzufügen, um einen neuen IPSec-Tunnel zu erstellen.Verwenden Sie im Fenster Allgemein die Tunnelschnittstelle, das IKE Gateway- und IPSec-Kryptoprofil von oben, um die Parameter zum Einrichten von VPN IPSec-Tunneln zwischen Firewalls einzurichten.



NOTEWenn die andere Seite des Tunnels ein Gerät eines Drittanbieters ist VPN (nicht PAN-OS FW ), geben Sie dann den lokalen Proxy ID und Remoteproxy ID ein, der übereinstimmen soll, in der Regel sind dies die lokalen und LAN Remotesubnetze.

Beim Konfigurieren einer IPSec-Tunnelproxy-Konfiguration ID zum Identifizieren lokaler und IP Remote-Netzwerke für Datenverkehr, der NATed ist, muss die ID Proxy-Konfiguration für den IPSec-Tunnel mit den Post-Netzwerkinformationen konfiguriert NAT IP werden, da die Proxy-Informationen die Netzwerke definieren, die durch ID den Tunnel auf beiden Seiten für die IPSec-Konfiguration zugelassen werden.


 

Schritt 6

Klicken Sie unter Netzwerk > virtuelle Routerauf Ihr Virtual Router-Profil, dann auf Statische Routen, fügen Sie eine neue Route für das Netzwerk hinzu, die sich hinter dem anderen VPN Endpunkt befindet. Achten Sie darauf, die richtige Tunnel-Schnittstelle verwenden. Klicken OK Sie, wenn Sie fertig sind.


 

Schritt 7

Konfigurieren Sie die erforderlichen Sicherheitsregeln/-richtlinien

Zulassen von ike-Aushandlung und ipsec/esp-Paketen. Standardmäßig sind die ike-Aushandlung und ipsec/esp-Pakete über die Intrazone-Standardzulasse zulässig.
Wenn Sie eine detailliertere Steuerung wünschen, können Sie den erforderlichen Datenverkehr ausdrücklich zulassen und den Rest verweigern.


Lassen Sie eingehenden und ausgehenden Datenverkehr durch den Tunnel. Wenn Sie eine detaillierte Steuerung des eingehenden und ausgehenden Datenverkehrs benötigen, können Sie für jede Richtung separate Regeln erstellen.

Schritt 8

Übernehmen Sie die Konfiguration.
 

NOTE:
Der Tunnel kommt nur, wenn es interessanten Verkehr zum Tunnel bestimmt.
Um den Tunnel manuell zu initiieren, überprüfen Sie den Status und die Tunnel löschen:
Überprüfen von Status, Löschen, Wiederherstellen und Überwachen eines IPSEC VPN Tunnels

Siehe auch

Zusätzliche Dokumentation für komplexere Konfigurationen mit VPNs sind:

IPSec und tunneling - Ressourcenliste

Konfigurieren eines Palo Alto-Netzwerkes Firewall mit Dual ISPs und automatischem VPN Failover

Auswählen einer IP Adresse für PBF die Tunnelüberwachung oder Tunnelüberwachung

Dead Peer Detection und TunnelÜberwachung

 

Autor: Dtickoo

aktualisiert: Jdelio, Schnitter