Comment configurer IPSec VPN

885424

Created On 09/25/18 17:36 PM - Last Modified 06/08/23 01:58 AM

Symptom

La documentation fournit des informations sur la configuration IPSEC du tunnel. Cet article fournit un exemple avec des captures d’écran et IP des adresses.

Environment

Palo Alto (Palo Alto) Firewall
IPSEC VPN Configuration
Pris en charge PAN-OS.

Topologie

Resolution

NOTE: Les réseaux Palo Alto ne prend en charge que le mode tunnel pour IPSec VPN . Le mode de transport n’est pas pris en charge pour IPSec VPN .

Étape 1

Accédez à l’onglet Interface > Tunnel réseau >, cliquez sur Ajouter pour créer une nouvelle interface de tunnel et affecter les paramètres suivants :

Nom: tunnel.1
Routeur virtuel : (sélectionnez le routeur virtuel que vous souhaitez que votre interface de tunnel réside)
Zone de sécurité : (configurez une nouvelle zone pour l’interface du tunnel pour un contrôle plus granulaire des entrées/sorties du trafic dans le tunnel)

NOTE: Si l’interface du tunnel se trouve dans une zone différente de la zone d’origine ou de départ du trafic, un policy est nécessaire pour permettre au trafic de circuler de la zone source vers la zone contenant l’interface du tunnel.
La configuration de l’adresse IP sur l’interface du tunnel est facultative. Il faut IP-une adresse si vous avez l’intention d’exécuter des protocoles de routage dynamiques sur l’interface du tunnel.

Étape 2

Accédez à Réseau > Profils réseau > IKE Crypto ,
cliquez sur Ajouter et définissez les IKE paramètres de profil de chiffrement (IKEv1 Phase-1).
Le nom n’a pas d’importance, ce soit ce que vous voulez.
Ces paramètres doivent correspondre sur la télécommande firewall pour que la négociation de la phase 1 soit couronnée de IKE succès.

Étape 3

Accédez à Réseau > Profils réseau > IKE passerelle pour configurer la IKE passerelle de phase 1.
Version : il existe des options pour la version où vous pouvez sélectionner le mode IKEv1 uniquement, le mode IKEv2 uniquement ou le mode préféré IKEv2.

Sélectionnez la version prise en charge par la passerelle et doit accepter d’utiliser avec la IKE passerelle homologue.Le mode IKEv2 préféré amène la passerelle à négocier pour IKEv2, et si le pair prend également en charge IKEv2, c’est ce qu’il utilisera. Sinon, la passerelle revient à IKEv1.

Interface: L’interface externe connectée à Internet.
Identification locale et par les pairs : Définit le format et l’identification de la passerelle locale/homologue, qui sont utilisés avec la clé pré-partagée pour la phase 1 SA IKEv1 et l’établissement IKEv2 SA .

Choisissez l’un des types suivants et entrez la valeur : FQDN (nom d’hôte), IP adresse (chaîne de format ID binaire dans HEX) ou Utilisateur FQDN (adresse KEYID e-mail). Si l’on ne spécifie pas la valeur, la passerelle utilisera l’adresse locale/homologue IP comme valeur d’identification local/homologue.

Cliquez sur l’onglet Options avancées :

Activer le mode passif - Le firewall pour être en mode répondeur uniquement. Ils firewall ne répondront qu’aux IKE connexions et ne les initieront jamais.
Mode d’échange - L’appareil peut accepter à la fois les demandes de négociation en mode principal et en mode agressif; Cependant, dans la mesure du possible, il initie la négociation et permet les échanges en mode principal

Étape 4

Sous Network > Network Profiles > IPSec Crypto , cliquez sur Ajouter pour créer un nouveau profil, définir le profil IPSec Crypto pour spécifier les protocoles et algorithmes d’identification, d’authentification et de cryptage dans les tunnels basés sur la négociation VPN SA IPSec (IKEv1 Phase-2).
Ces paramètres doivent correspondre sur la télécommande firewall pour que la négociation de la phase 2 soit couronnée de IKE succès.

Étape 5

Sous Tunnels réseau > IPSec, cliquez sur Ajouter pour créer un tunnel IPSec.
Dans la fenêtre Général, utilisez l’interface de tunnel, la passerelle et le IKE profil de chiffrement IPSec ci-dessus pour configurer les paramètres permettant d’établir des tunnels IPSec VPN entre les pare-feu.

NOTE: Si l’autre côté du tunnel est un homologue qui prend en charge policy, vous devez définir des ID de proxy Lors de la configuration d’une configuration de tunnel IPSec Proxy- pour identifier les réseaux locaux et distants IP pour le trafic NATed, la configuration Proxy- pour le tunnel IPSec doit être configurée avec les informations post-réseau, VPNcar les informations Proxy-IDIDNAT IPID définissent les réseaux qui seront autorisés à traverser le tunnel des
deux côtés pour la configuration IPSec.

Étape 6

Sous Network > Virtual Routers (Routeurs réseau virtuels), cliquez sur votre profil de routeur virtuel, puis sur Static Routes (Itinéraires statiques).
Ajoutez une nouvelle route pour le réseau qui se trouve derrière l’autre VPN point de terminaison. Utilisez l’interface tunnel appropriée.
Cliquez lorsque vous avez OK terminé.

Étape 7

Configurez les règles/stratégies

de sécurité requises Autoriser IKE la négociation et les paquets IPSec/ESP . Par défaut, la négociation et les IKE paquets IPSec/ESP seraient autorisés via l’autorisation par défaut intrazone.
Si vous souhaitez avoir un contrôle plus granulaire, vous pouvez spécifiquement autoriser le trafic requis et refuser le reste.

Autoriser le trafic entrant et sortant à travers le tunnel. Si vous avez besoin d’un contrôle granulaire du trafic entrant et sortant, vous pouvez créer des règles distinctes pour chaque direction.

Étape 8

Validez la configuration.

NOTE:
Le tunnel ne se lève que lorsqu’il y a un trafic intéressant à destination du tunnel.
Pour lancer manuellement le tunnel, vérifier l’état et effacer les tunnels
, reportez-vous à :Comment vérifier l’état, effacer, restaurer et surveiller un IPSEC VPN tunnel