Wie man ein IPSEC VPN mit Route und Tunnel Konfiguration von CLI konfiguriert
Resolution
Übersicht
Dieses Dokument stellt die CLI-Befehle zur Verfügung, um ein IPSec VPN, einschließlich der Tunnel-und Routen Konfiguration, auf einer Palo Alto Networks Firewall zu erstellen. Stellen Sie vor dem Ausführen der Befehle sicher, dass die IKE und IPSec Krypto-Profile auf der Firewall konfiguriert sind.
Hinweis: für die in diesem Dokument aufgeführten Befehle wird empfohlen, die gleichen IKE und IPSec-Kryptos für die neuen IPSec-Tunnel zu verwenden.
Details
Die folgenden Informationen werden als Beispiel Daten für die Befehle verwendet.
Tunnel: | Tunnel. 10 (Zone = VPN) |
Name des Tunnels: | NewYork VPN |
Virtueller Router: | Virtual Router 1 |
IKE Crypto: | IKE-Crypto-profile IKE_Profile |
IKE-Gateway: | NewYork VPN |
IPsec Crypto: | IPSec-Crypto-profile IPsec_Profile |
Peer-IP-Adresse: | 100.100.100.1 |
Subnetz auf der anderen Seite des Tunnels: | 192.168.3.0/24 |
Die folgenden Befehle sollten in der aufgelisteten Reihenfolge ausgeführt werden.
> configure
# Set Netzwerkschnittstellen tunneleinheiten Tunnel. 10 IPv6 ermöglicht keine
# Set Netzwerkschnittstellen tunneleinheiten Tunnel. 10 IPv6 Interface-ID EUI-64
# Set Netzwerkschnittstellen tunneleinheiten Tunnel. 10 Kommentar "NewYork VPN"
# Set Zone VPN Network Layer3 Tunnel. 10
# Set Netzwerk Virtual-Router "Virtual Router 1" Interface [Ethernet1/1 Ethernet1/2 Ethernet1/3 Ethernet1/4 Tunnel. 10]
# Set-Netzwerk IKE Gateway NewYork VPN-Protokoll ikev1 DPD aktivieren Sie keine
# Set Netzwerk IKE Gateway NewYork VPN Protocol ikev1 DPD Intervall 5
# Set-Netzwerk IKE Gateway NewYork VPN-Protokoll ikev1 DPD Retry
# Set Netzwerk IKE Gateway NewYork VPN Protocol ikev1 IKE-Crypto-profile IKE_Profile
# Set-Netzwerk IKE Gateway NewYork VPN-Protokoll ikev1 Exchange-Mode Auto
# Set-Netzwerk IKE Gateway NewYork VPN-Authentifizierung vor dem gemeinsamen Schlüssel-Schlüssel paloalto
# Set-Netzwerk IKE Gateway NewYork VPN-Protokoll-Common NAT-Traversal aktivieren Sie keine
# Set-Netzwerk IKE Gateway NewYork VPN-Protokoll-Common passive-Modus No
# Set Netzwerk IKE Gateway NewYork VPN Peer-Address IP 100.100.100.1
# Set-Netzwerk IKE Gateway NewYork VPN local-Adress Schnittstelle Ethernet1/1
# Set Netzwerk Tunnel IPSec NewYork VPN Auto-Key IKE-Gateway NewYork VPN
# Set Netzwerk Tunnel IPSec NewYork VPN Auto-Key IPSec-Crypto-profile IPsec_Profile
# Set Network Tunnel IPSec NewYork VPN Tunnel-Monitor ermöglichen keine
# Set Netzwerk Tunnel IPSec NewYork VPN Anti-Replay ja
# Set Netzwerk Tunnel IPSec NewYork VPN Copy-TOS No
# Set Netzwerk Tunnel IPSec NewYork VPN Tunnel-Interface Tunnel. 10
# Set Network Virtual-Router "Virtual Router 1" Routing-Tabelle IP statisch-Route Route_to_NewYork Interface Tunnel. 10
# Set Network Virtual-Router "Virtual Router 1" Routing-Tabelle IP statisch-Route Route_to_NewYork Metric 10
# Set Network Virtual-Router "Virtual Router 1" Routing-Tabelle IP statisch-Route Route_to_NewYork Destination 192.168.3.0/24
Hinweis: da die Klon Funktion nicht über das Web-UI verfügbar ist, können die obigen Befehle verwendet werden, um IPSec-Tunnel auf der gleichen Firewall zu klonen oder auf eine andere Palo Alto Networks-Firewall zu kopieren.
Um die vorhandene Konfiguration anzuzeigen, führen Sie den Befehl Show mit den entsprechenden Optionen aus.
Zum Beispiel:
# Show Network IKE
# Show Network Tunnel IPSec
Besitzer: Kadak