NOTE: Palo Alto Networks は、IPSec のトンネル モードのみをサポートします。VPN . トランスポート モードは IPSec ではサポートされていませんVPN.
ステップ1
に行く
ネットワーク > インターフェース > トンネル タブ、クリック
追加新しいトンネル インターフェイスを作成し、次のパラメータを割り当てます。
- 名前: tunnel.1
- 仮想ルーター: (トンネル インターフェイスを配置する仮想ルーターを選択します)
- セキュリティ ゾーン:(トンネル インターフェースの新しいゾーンを構成して、トンネルへのトラフィックの出入りをより細かく制御します)
NOTE:トンネル インターフェースが、トラフィックが開始または出発するゾーンとは異なるゾーンにある場合、policyソース ゾーンからトンネル インターフェースを含むゾーンへのトラフィックのフローを許可するために必要です。
トンネル インターフェイスでの IP アドレスの設定はオプションです。 必要なものIP-トンネル インターフェイス上でダイナミック ルーティング プロトコルを実行する場合は、アドレスを指定します。
ステップ2
- に行くネットワーク > ネットワーク プロファイル >IKEクリプト ,
- クリック追加を定義します。IKEクリプト プロファイル (IKEv1 フェーズ 1) パラメーター。
- 名前は何でも構いません。
- これらのパラメータは、リモートで一致する必要がありますfirewallのためにIKEフェーズ 1 ネゴシエーションが成功すること。
ステップ 3
- に行くネットワーク > ネットワーク プロファイル >IKEゲートウェイを構成するにはIKEフェーズ 1 ゲートウェイ。
- バージョン: IKEv1 のみのモード、IKEv2 のみのモード、または IKEv2 優先モードを選択できるバージョンのオプションがあります。
を選択IKEゲートウェイがサポートするバージョンであり、ピア ゲートウェイで使用することに同意する必要があります。IKEv2 優先モードでは、ゲートウェイが IKEv2 をネゴシエートします。ピアも IKEv2 をサポートしている場合は、それが使用されます。 それ以外の場合、ゲートウェイは IKEv1 にフォールバックします。
- インターフェース:インターネットに接続する外部インターフェース。
- ローカルおよびピア識別:両方の IKEv1 フェーズ 1 の事前共有キーで使用される、ローカル/ピア ゲートウェイの形式と ID を定義します。SAおよびIKEv2SA確率。
次のタイプのいずれかを選択し、値を入力します。FQDN (ホスト名)、IP住所、KEYID (バイナリ形式ID文字列HEX)、またはユーザーFQDN(電子メールアドレス)。 値を指定しない場合、ゲートウェイはローカル/ピアを使用しますIPローカル/ピア識別値としてのアドレス。
[詳細オプション] タブをクリックします。
- パッシブ モードを有効にする- のfirewallレスポンダーのみのモードになります。 のfirewallにのみ応答しますIKE接続を開始しないでください。
- 交換モード- デバイスは、メイン モードとアグレッシブ モードの両方のネゴシエーション要求を受け入れることができます。ただし、可能な限りネゴシエーションを開始し、メイン モードでの交換を許可します。
ステップ 4
- 下ネットワーク > ネットワーク プロファイル > IPSec 暗号、 クリック追加新しいプロファイルを作成するには、IPSec Crypto プロファイルを定義して、識別、認証、および暗号化のプロトコルとアルゴリズムを指定します。VPN IPSec に基づくトンネルSAネゴシエーション (IKEv1 Phase-2)。
- これらのパラメータは、リモートで一致する必要がありますfirewallのためにIKEフェーズ 2 ネゴシエーションが成功すること。
ステップ 5
- 下ネットワーク > IPSec トンネル、 クリック追加新しい IPSec トンネルを作成します。
- [General] ウィンドウで、Tunnel Interface を使用します。IKE上記のゲートウェイと IPSec 暗号化プロファイルを設定して、IPSec を確立するためのパラメータを設定します。VPNファイアウォール間のトンネル。
NOTE:トンネルの反対側がサポートするピアである場合policyベースVPN、プロキシ ID を定義する必要があります
IPSec トンネル プロキシを構成する場合 -IDローカルとリモートを識別するための構成IPNATed されたトラフィックのネットワーク、Proxy-ID IPSec トンネルの構成は、Post-NAT IP Proxy-ID情報は、IPSec 構成の両側でトンネルを通過できるネットワークを定義します。
ステップ 6
- 下ネットワーク > 仮想ルーターをクリックし、仮想ルーター プロファイルをクリックしてから、静的ルート、
- 他のネットワークの背後にあるネットワークの新しいルートを追加しますVPN終点。 適切なトンネル インターフェイスを使用します。
- クリックOKそれが終わったら。
ステップ 7
必要なセキュリティ ルール/ポリシーを構成する
許可するIKEネゴシエーションと IPSec/ESPパケット。 デフォルトでは、IKEネゴシエーションと IPSec/ESPパケットはイントラゾーンのデフォルトの許可を介して許可されます。
より細かく制御したい場合は、必要なトラフィックを明確に許可し、残りを拒否することができます。
トンネルを通過する着信および発信トラフィックを許可します。 着信トラフィックと発信トラフィックをきめ細かく制御する必要がある場合は、方向ごとに個別のルールを作成できます。
ステップ 8
専念構成。
NOTE:
トンネルは、トンネル宛ての対象トラフィックがある場合にのみアップします。
トンネルを手動で開始するには、ステータスを確認してトンネルをクリアします。以下を参照してください。
ステータスの確認、クリア、復元、監視の方法IPSEC VPNトンネル