Cómo configurar IPSec VPN
885576
Created On 09/25/18 17:36 PM - Last Modified 06/08/23 01:58 AM
Symptom
La documentación proporciona información sobre la configuración IPSEC del túnel. En este artículo se proporciona un ejemplo con capturas de pantalla y IP direcciones.
Environment
- Palo Alto Firewall
- IPSEC VPN Configuración
- Soportado PAN-OS.
Topología
Resolution
NOTE: Las redes de Palo Alto solo admiten el modo túnel para VPN IPSec. El modo de transporte no es compatible con IPSec VPN .
Paso 1
Vaya a la pestaña Red >Interfaz > túnel, haga clic en Agregar para crear una nueva interfaz de túnel y asigne los siguientes parámetros:- Nombre: túnel.1
- Enrutador virtual: (seleccione el enrutador virtual en el que desea que resida la interfaz del túnel)
- Zona de seguridad: (configure una nueva zona para la interfaz del túnel para un control más granular de la entrada / salida del túnel del tráfico)
NOTE: Si la interfaz del túnel se encuentra en una zona diferente de la zona donde se originará o saldrá el tráfico, se requiere un policy para permitir que el tráfico fluya desde la zona de origen a la zona que contiene la interfaz del túnel.
La configuración de la dirección IP en la interfaz del túnel es opcional. Uno necesita IP-una dirección si tiene la intención de ejecutar protocolos de enrutamiento dinámico a través de la interfaz del túnel.
Paso 2
- Vaya a Red > Perfiles de red > IKE Crypto ,
- haga clic en Agregar y defina los parámetros del IKE perfil Crypto (IKEv1 Fase-1).
- El nombre no importa, sea lo que quieras.
- Estos parámetros deben coincidir en el control remoto firewall para que la negociación de la IKE Fase 1 sea exitosa.
Paso 3
- Vaya a Perfiles de red > red > IKE puerta de enlace para configurar la puerta de enlace de IKE fase 1.
- Versión: Hay opciones para la versión donde puede seleccionar el modo solo IKEv1, el modo solo IKEv2 o el modo preferido IKEv2.
Seleccione la versión que admite la puerta de enlace y debe aceptar usarla con la IKE puerta de enlace del mismo nivel.El modo preferido IKEv2 hace que el gateway negocie para IKEv2, y si el par también soporta el IKEv2, eso es lo que van a utilizar. De lo contrario, la puerta de enlace cae de nuevo a IKEv1.
- Interfaz: La interfaz externa conectada a Internet.
- Identificación local y de pares: Define el formato y la identificación de la puerta de enlace local/del mismo nivel, que se utilizan con la clave previamente compartida para el establecimiento de IKEv1 fase 1 SA e IKEv2 SA .
Elija uno de los siguientes tipos e introduzca el valor: FQDN (nombre de host), IP dirección (cadena de formato ID binario en HEX) o Usuario FQDN (dirección KEYID de correo electrónico). Si no se especifica el valor, la puerta de enlace utilizará la dirección local/del mismo nivel como valor de identificación local/del mismo nivel IP .
Haga clic en la pestaña Opciones avanzadas:
- Habilitar modo pasivo : el firewall modo para estar en modo de solo respuesta. Solo firewall responderá a IKE las conexiones y nunca las iniciará.
- Modo de intercambio : el dispositivo puede aceptar solicitudes de negociación tanto en modo principal como en modo agresivo; Sin embargo, siempre que sea posible, inicia la negociación y permite intercambios en modo principal.
Paso 4
- En Perfiles de red > red > IPSec Crypto , haga clic en Agregar para crear un nuevo perfil, defina el perfil crypto IPSec para especificar protocolos y algoritmos para la identificación, autenticación y cifrado en VPN túneles basados en la negociación IPSec SA (IKEv1 Phase-2).
- Estos parámetros deben coincidir en el control remoto firewall para que la negociación de la IKE Fase 2 sea exitosa.
Paso 5
- En Túneles IPSec > de red, haga clic en Agregar para crear un nuevo túnel IPSec.
- En la ventana General, utilice la interfaz de túnel, la puerta de enlace y el IKE perfil criptográfico IPSec de arriba para configurar los parámetros para establecer túneles IPSec VPN entre firewalls.
NOTE: Si el otro lado del túnel es un elemento del mismo nivel que admite policy-based VPN, debe definir identificadores
de proxy Al configurar una configuración de proxy de túnel IPSec para identificar redes locales y remotas IP para el tráfico que se NATed, la configuración de proxy para el túnel IPSec debe configurarse con la información de red posteriorNAT IP, ya que la información de proxyIDIDID define las redes que se permitirán a través del túnel en ambos lados para la configuración IPSec.
Paso 6
- En Network > Virtual Routers (Enrutadores virtuales de de red), haga clic en su perfil de enrutador virtual y, a continuación, haga clic en Rutas estáticas.
- Agregue una nueva ruta para la red que está detrás del otro VPN extremo. Utilice la interfaz de túnel adecuada.
- Haga clic OK cuando haya terminado.
Paso 7
Configurar las reglas/políticasde seguridad necesarias Permitir IKE negociación y paquetes IPSec/ESP . De forma predeterminada, la negociación y los IKE paquetes IPSec/ESP se permitirían a través del permiso predeterminado intrazona.
Si desea tener un control más granular, puede permitir específicamente el tráfico requerido y negar el resto.
Permitir el tráfico entrante y saliente a través del túnel. Si necesita un control granular del tráfico entrante y saliente, puede crear reglas independientes para cada dirección.
Paso 8
Confirme la configuración.NOTE:
El túnel aparece solo cuando hay tráfico interesante destinado al túnel.
Para iniciar manualmente el túnel, compruebe el estado y borrar túneles consulte:
Cómo comprobar el estado, borrar, restaurar y supervisar un IPSEC VPN túnel
Additional Information
IPSec y el hacer un túnel - lista de recursos
Cómo configurar una red palo alto Firewall con ISP duales y VPN conmutación automática por error
Selección de una IP dirección para usar o monitoreo de PBF túneles