IPSec の構成方法 VPN

IPSec の構成方法 VPN

881093
Created On 09/25/18 17:36 PM - Last Modified 06/08/23 01:58 AM


Symptom


ドキュメンテーションは、設定中IPSECトンネル. この記事では、スクリーン キャプチャとIPアドレス。

Environment


  • パロアルト Firewall
  • IPSEC VPN 構成
  • 対応PAN-OS.


 

トポロジー


基本的な VPN トポロジ

 

Resolution


NOTE: Palo Alto Networks は、IPSec のトンネル モードのみをサポートします。VPN . トランスポート モードは IPSec ではサポートされていませんVPN.

ステップ1

に行くネットワーク > インターフェース > トンネル タブ、クリック追加新しいトンネル インターフェイスを作成し、次のパラメータを割り当てます。
  • 名前: tunnel.1
  • 仮想ルーター: (トンネル インターフェイスを配置する仮想ルーターを選択します)
  • セキュリティ ゾーン:(トンネル インターフェースの新しいゾーンを構成して、トンネルへのトラフィックの出入りをより細かく制御します)
トンネル インターフェイス


NOTE:トンネル インターフェースが、トラフィックが開始または出発するゾーンとは異なるゾーンにある場合、policyソース ゾーンからトンネル インターフェースを含むゾーンへのトラフィックのフローを許可するために必要です。
トンネル インターフェイスでの IP アドレスの設定はオプションです。 必要なものIP-トンネル インターフェイス上でダイナミック ルーティング プロトコルを実行する場合は、アドレスを指定します。

ステップ2

  • に行くネットワーク > ネットワーク プロファイル >IKEクリプト ,
  • クリック追加を定義します。IKEクリプト プロファイル (IKEv1 フェーズ 1) パラメーター。
  • 名前は何でも構いません。
  • これらのパラメータは、リモートで一致する必要がありますfirewallのためにIKEフェーズ 1 ネゴシエーションが成功すること。

p1-max-暗号

ステップ 3

  • に行くネットワーク > ネットワーク プロファイル >IKEゲートウェイを構成するにはIKEフェーズ 1 ゲートウェイ。
  • バージョン: IKEv1 のみのモード、IKEv2 のみのモード、または IKEv2 優先モードを選択できるバージョンのオプションがあります。
を選択IKEゲートウェイがサポートするバージョンであり、ピア ゲートウェイで使用することに同意する必要があります。IKEv2 優先モードでは、ゲートウェイが IKEv2 をネゴシエートします。ピアも IKEv2 をサポートしている場合は、それが使用されます。 それ以外の場合、ゲートウェイは IKEv1 にフォールバックします。
  • インターフェース:インターネットに接続する外部インターフェース。
  • ローカルおよびピア識別:両方の IKEv1 フェーズ 1 の事前共有キーで使用される、ローカル/ピア ゲートウェイの形式と ID を定義します。SAおよびIKEv2SA確率。
次のタイプのいずれかを選択し、値を入力します。FQDN (ホスト名)、IP住所、KEYID (バイナリ形式ID文字列HEX)、またはユーザーFQDN(電子メールアドレス)。 値を指定しない場合、ゲートウェイはローカル/ピアを使用しますIPローカル/ピア識別値としてのアドレス。

ike-gw-一般

[詳細オプション] タブをクリックします。

ike-gw-advanced
  • パッシブ モードを有効にする- のfirewallレスポンダーのみのモードになります。 のfirewallにのみ応答しますIKE接続を開始しないでください。
  • 交換モード- デバイスは、メイン モードとアグレッシブ モードの両方のネゴシエーション要求を受け入れることができます。ただし、可能な限りネゴシエーションを開始し、メイン モードでの交換を許可します。

ステップ 4

  • ネットワーク > ネットワーク プロファイル > IPSec 暗号、 クリック追加新しいプロファイルを作成するには、IPSec Crypto プロファイルを定義して、識別、認証、および暗号化のプロトコルとアルゴリズムを指定します。VPN IPSec に基づくトンネルSAネゴシエーション (IKEv1 Phase-2)。
  • これらのパラメータは、リモートで一致する必要がありますfirewallのためにIKEフェーズ 2 ネゴシエーションが成功すること。
ipsec-p2-暗号
 

ステップ 5

  • ネットワーク > IPSec トンネル、 クリック追加新しい IPSec トンネルを作成します。
  • [General] ウィンドウで、Tunnel Interface を使用します。IKE上記のゲートウェイと IPSec 暗号化プロファイルを設定して、IPSec を確立するためのパラメータを設定します。VPNファイアウォール間のトンネル。
ユーザーが追加した画像

 

NOTE:トンネルの反対側がサポートするピアである場合policyベースVPN、プロキシ ID を定義する必要があります
IPSec トンネル プロキシを構成する場合 -IDローカルとリモートを識別するための構成IPNATed されたトラフィックのネットワーク、Proxy-ID IPSec トンネルの構成は、Post-NAT IP Proxy-ID情報は、IPSec 構成の両側でトンネルを通過できるネットワークを定義します。


ユーザーが追加した画像
 

ステップ 6

  • ネットワーク > 仮想ルーターをクリックし、仮想ルーター プロファイルをクリックしてから、静的ルート
  • 他のネットワークの背後にあるネットワークの新しいルートを追加しますVPN終点。 適切なトンネル インターフェイスを使用します。
  • クリックOKそれが終わったら。
ユーザーが追加した画像
 

ステップ 7

必要なセキュリティ ルール/ポリシーを構成する

許可するIKEネゴシエーションと IPSec/ESPパケット。 デフォルトでは、IKEネゴシエーションと IPSec/ESPパケットはイントラゾーンのデフォルトの許可を介して許可されます。
より細かく制御したい場合は、必要なトラフィックを明確に許可し、残りを拒否することができます。
ユーザーが追加した画像

トンネルを通過する着信および発信トラフィックを許可します。 着信トラフィックと発信トラフィックをきめ細かく制御する必要がある場合は、方向ごとに個別のルールを作成できます。
ユーザーが追加した画像


ステップ 8

専念構成。

NOTE:
トンネルは、トンネル宛ての対象トラフィックがある場合にのみアップします。
トンネルを手動で開始するには、ステータスを確認してトンネルをクリアします。以下を参照してください。
ステータスの確認、クリア、復元、監視の方法IPSEC VPNトンネル

 

Additional Information


IPSec とトンネリング - リソース リスト

パロアルトネットワークを構成する方法Firewallデュアル ISP および自動VPNフェイルオーバー

を選択するIP使用するアドレスPBFまたはトンネル監視

デッド ピア検出とトンネル モニタリング
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGkCAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language