Comment faire pour configurer un VPN IPSEC avec la configuration route et tunnel à partir de CLI
Resolution
Vue d’ensemble
Ce document fournit les commandes CLI pour créer un VPN IPSec, y compris la configuration du tunnel et de l'itinéraire, sur un pare-feu de Palo Alto Networks. Avant d'exécuter les commandes, assurez-vous que les profils de cryptage IKE et IPSec sont configurés sur le pare-feu.
Remarque: pour les commandes répertoriées dans ce document, il est recommandé d'utiliser les mêmes cryptos IKE et IPSec pour les nouveaux tunnels IPSec.
Détails
Les informations suivantes sont utilisées comme exemples de données pour les commandes.
| Tunnel: | Tunnel. 10 (zone = VPN) |
| Nom du tunnel: | VPN de New York |
| Routeur virtuel: | Routeur virtuel 1 |
| Crypto IKE: | IKE-crypto-profil IKE_Profile |
| IKE Gateway : | VPN de New York |
| Cryptage IPsec: | IPSec-crypto-profil IPsec_Profile |
| Adresse IP de l'homologue: | 100.100.100.1 |
| Sous-réseau de L'autre côté du tunnel: | 192.168.3.0/24 |
Les commandes ci-dessous doivent être exécutées dans l'ordre indiqué.
> configurer
# Set Network Interface tunnel Units tunnel. 10 IPv6 activé non
# Set Network Interface tunnel Units tunnel. 10 IPv6 interface-ID-64
# Set Network Interface tunnel Units tunnel. 10 commentaire "New York VPN"
# Set zone VPN réseau Layer3 tunnel. 10
# Set Network Virtual-routeur "Virtual Router 1" interface [ethernet1/1 ethernet1/2 ethernet1/3 ethernet1/4 tunnel. 10]
# Set réseau IKE Gateway New York VPN Protocol IKEv1 DPD ne permettent pas
# Set réseau IKE Gateway New York VPN Protocol IKEv1 DPD intervalle 5
# Set réseau IKE Gateway New York VPN Protocol IKEv1 DPD Retry
# Set Network IKE Gateway New York VPN Protocol IKEv1 IKE-crypto-profil IKE_Profile
# Set Network IKE Gateway New York VPN Protocol IKEv1 Exchange-mode auto
# Set réseau IKE Gateway New York authentification VPN pré-partagée-clé key paloalto
# Set réseau IKE Gateway New York VPN Protocol-Common NAT-parcours ne permet pas
# Set réseau IKE Gateway New York VPN Protocol-Common passive-mode no
# Set réseau IKE Gateway New York VPN Peer-Address IP 100.100.100.1
# Set réseau IKE Gateway New York VPN local-Address interface ethernet1/1
# Set Network tunnel IPSec New York VPN Auto-Key IKE-Gateway New York VPN
# Set Network tunnel IPSec New York VPN Auto-Key IPSec-crypto-profil IPsec_Profile
# Set tunnel réseau IPSec New York VPN Tunnel-Monitor activer non
# Set Network tunnel IPSec New-York VPN anti-Replay Oui
# Set Network tunnel IPSec New York VPN Copy-TOS no
# Set tunnel réseau IPSec New York VPN Tunnel-interface tunnel. 10
# Set Network Virtual-routeur "Virtual Router 1" routage-table IP static-route Route_to_NewYork interface tunnel. 10
# Set Network Virtual-routeur "Virtual Router 1" routage-table IP statique-route Route_to_NewYork métrique 10
# Set Network Virtual-routeur "Virtual Router 1" routage-table IP static-route Route_to_NewYork destination 192.168.3.0/24
Remarque: comme la fonction de clonage n'est pas disponible via l'interface utilisateur Web, les commandes ci-dessus peuvent être utilisées pour cloner des tunnels IPSec sur le même pare-feu ou copiées sur un autre pare-feu de Palo Alto Networks.
Pour afficher la configuration existante, exécutez la commande Show avec les options appropriées.
Par exemple :
# afficher IKE réseau
# Show tunnel réseau IPSec
propriétaire : anissa