NOTE:帕洛阿尔托网络仅支持 IPSec 的隧道模式VPN. IPSec 不支持传输模式VPN.
第1步
去
网络 > 接口 > 隧道选项卡,点击
添加创建一个新的隧道接口并分配以下参数:
- 名称:隧道.1
- 虚拟路由器:(选择您希望隧道接口所在的虚拟路由器)
- 安全区域:(为隧道接口配置一个新区域,以便更精细地控制进/出隧道的流量)
NOTE:如果隧道接口所在的区域与流量将起源或离开的区域不同,则policy需要允许流量从源区域流向包含隧道接口的区域。
在隧道接口上配置 ip-address 是可选的。 一个需要IP-地址,如果您打算在隧道接口上运行动态路由协议。
第2步
- 去网络 > 网络配置文件 >IKE加密货币,
- 点击添加并定义IKE加密配置文件(IKEv1 Phase-1)参数。
- 名字无所谓,随心所欲。
- 这些参数应该在遥控器上匹配firewall为了IKE第一阶段谈判成功。
步骤 3
- 去网络 > 网络配置文件 >IKE网关配置IKE第一阶段网关。
- 版本:有版本选项,您可以在其中选择仅 IKEv1 模式、仅 IKEv2 模式或 IKEv2 首选模式。
选择IKE网关支持并且必须同意与对等网关一起使用的版本。IKEv2 首选模式导致网关为 IKEv2 进行协商,如果对等方也支持 IKEv2,则它们将使用该模式。 否则,网关回退到 IKEv1。
- 界面:连接到互联网的外部接口。
- 本地和对等标识:定义本地/对等网关的格式和标识,它们与 IKEv1 阶段 1 的预共享密钥一起使用SA和 IKEv2SA成立。
选择以下类型之一并输入值:FQDN (主机名),IP地址,KEYID (二进制格式ID串入HEX), 或用户FQDN(电子邮件地址)。 如果没有指定值,网关将使用本地/对等IP地址作为本地/对等标识值。
单击高级选项选项卡:
- 启用被动模式- 这firewall处于仅响应者模式。 这firewall只会回应IKE连接,从不启动它们。
- 交换模式- 设备可以接受主模式和攻击模式协商请求;但是,只要有可能,它就会启动协商并允许在主模式下进行交换
第四步
- 在下面网络 > 网络配置文件 > IPSec 加密, 点击添加要创建新配置文件,请定义 IPSec 加密配置文件以指定用于识别、身份验证和加密的协议和算法VPN基于 IPSec 的隧道SA协商(IKEv1 阶段 2)。
- 这些参数应该在遥控器上匹配firewall为了IKE第二阶段谈判成功。
步骤 5
- 在下面网络 > IPSec 隧道, 点击添加创建一个新的 IPSec 隧道。
- 在 General 窗口中使用 Tunnel Interface,IKE Gateway 和 IPSec Crypto Profile 从上面设置参数来建立 IPSecVPN防火墙之间的隧道。
NOTE:如果隧道的另一端是支持policy-基于VPN,您必须定义代理 ID
配置 IPSec 隧道代理时 -ID配置以识别本地和远程IP用于 NATed 流量的网络,Proxy-ID IPSec 隧道的配置必须使用 Post-NAT IP网络信息,因为 Proxy-ID信息定义了 IPSec 配置允许通过隧道的网络。
步骤 6
- 在下面网络 > 虚拟路由器,单击您的虚拟路由器配置文件,然后单击静态路由,
- 为落后于另一个的网络添加一条新路由VPN端点。 使用正确的隧道接口。
- 点击OK完成后。
步骤 7
配置所需的安全规则/策略
允许IKE协商和 IPSec/ESP数据包。 默认情况下IKE协商和 IPSec/ESP数据包将通过 intrazone 默认允许被允许。
如果您希望进行更精细的控制,您可以专门允许所需的流量并拒绝其余流量。
允许传入和传出流量通过隧道。 如果您需要对传入和传出流量进行精细控制,您可以为每个方向创建单独的规则。
步骤 8
犯罪配置。
NOTE:
只有当有有趣的流量流向隧道时,隧道才会出现。
手动发起隧道,检查状态和清除隧道参考:
如何检查状态、清除、恢复和监控IPSEC VPN隧道