Túnel dividido basado en ruta de acceso para VPNC cliente en distribuciones Linux

Túnel dividido basado en ruta de acceso para VPNC cliente en distribuciones Linux

34157
Created On 09/25/18 17:41 PM - Last Modified 04/26/21 17:02 PM


Environment


  • GlobalProtect Gateway.
  • PAN-OS 8.1 y superior.
  • VPNC Cliente Linux.

Resolution


Visión general

VPNC es un cliente IPSec de terceros de código abierto VPN que admite la autenticación extendida X- (autenticación) y establece un VPN túnel a las puertas de enlace para acceder a las redes GlobalProtect corporativas internas.

Marque el link abajo para una lista de los clientes compatibles X- Auth IPSec:

¿Qué X- clientes Auth IPSec son compatibles?

Este documento explica cómo funciona la tunelización dividida cuando un VPNC cliente está conectado con una puerta de GlobalProtect enlace.

 

Detalles

  • Para definir las redes a ser accesibles desde el VPNC cliente (o) para que el tráfico sea enviado sobre la VPN conexión, las rutas de acceso (también conocidas como túnel dividido) necesitan ser agregadas en la GlobalProtect configuración del cliente del gateway. Refiera a GlobalProtect la nota técnica de la configuración
  • Cuando las rutas de acceso se configuran en la GlobalProtect puerta de enlace, se envía una ruta agregada de todas las rutas de acceso al VPNC cliente. Si DNS se incluyen direcciones de servidor, también se tendrán en cuenta al agregar las rutas.

 

Por ejemplo:

Si las rutas de acceso contienen las redes 10.66.22.0/23 y 192.168.87.0/24, después la ruta agregada enviada al cliente de terceros VPNC es una ruta predeterminada 0.0.0.0/0 como se muestra abajo.

> Mostrar global-Protect-Gateway Gateway Name test_vpnc

 

GlobalProtect Puerta de enlace: test_vpnc (0 usuarios)

Tipo de túnel: tunel de usuario remoto

Nombre del túnel : test_vpnc-N

Túnel ID : 7

Interfaz de túnel : tunnel.1

Interfaz Encap : ethernet1/3

Herencia de :

Dirección Local : 10.66.24.87

        SSL Puerto del servidor : 443

IPSec Encap : Sí

Negociación de Túneles : ssl,ike

        HTTP Redirección : no

        UDP Puerto : 4501

Usuarios máximos : 0

        IP Rangos de piscina : 172.16.7.1 - 172.16.7.7;

        IP Índice de grupo : 0

Siguiente IP : 0.0.0.0

        DNS Servidores : 4.2.2.2

: 0.0.0.0

        WINS Servidores : 0.0.0.0

: 0.0.0.0

        Rutas de acceso : 10.66.22.0/23; 192.168.87.0/24;

        Ruta de acceso para clientes de terceros: 0.0.0.0/0

        VSYS: vsys1 (id 1)

        SSL Certificado de servidor : SERVER_CERT

Perfil de autenticación : vpnc_auth

Perfil del certificado de cliente:

Vida útil : 2592000 segundos

Tiempo de espera inactivo : 10800 segundos

 

Si las rutas de acceso contienen las redes 10.66.22.0/23 y 10.66.12.0/23, después la ruta agregada enviada al cliente de terceros VPNC es 10.66.0.0/19, como se muestra abajo.

> Mostrar global-Protect-Gateway Gateway Name test_vpnc

 

GlobalProtect Puerta de enlace: test_vpnc (0 usuarios)

Tipo de túnel: tunel de usuario remoto

Nombre del túnel : test_vpnc-N

Túnel ID : 7

Interfaz de túnel : tunnel.1

Interfaz Encap : ethernet1/3

Herencia de :

Dirección Local : 10.66.24.87

        SSL Puerto del servidor : 443

IPSec Encap : Sí

Negociación de Túneles : ssl,ike

        HTTP Redirección : no

        UDP Puerto : 4501

Usuarios máximos : 0

        IP Rangos de piscina : 172.16.7.1 - 172.16.7.7;

        IP Índice de grupo : 0

Siguiente IP : 0.0.0.0

        DNS Servidores : 10.66.22.77

: 0.0.0.0

        WINS Servidores : 0.0.0.0

: 0.0.0.0

        Rutas de acceso : 10.66.22.0/23; 10.66.12.0/23;

Ruta de acceso para clientes de terceros: 10.66.0.0/19

        VSYS: vsys1 (id 1)

        SSL Certificado de servidor : SERVER_CERT

Perfil de autenticación : vpnc_auth

Perfil del certificado de cliente:

Vida útil : 2592000 segundos

Tiempo de espera inactivo : 10800 segundos

 

Nota: Si la ruta agregada enviada al VPNC cliente es una ruta predeterminada (0.0.0.0/0), después el cliente necesita ser configurado para la VPNC tunelización dividida como se muestra abajo.

 

Vaya al VPNC cliente y vaya a Configuración de IPv4 > rutas

IPv4_1. png

 

Añada la ruta de acceso requerida y asegúrese de que la opción "usar esta conexión sólo para recursos en su red" está marcada.

IPv4. png

Aunque la ruta agregada enviada por GlobalProtect es 0.0.0.0/0, el acceso sólo se permitirá a la red 10.66.22.0/23 como se muestra abajo.

Salida terminal de host Linux:

tun0 Enlace encap: UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

       addr inet:172.16.7.1 P- t- P :172.16.7.1 preguntar:255.255.255.255.255

       UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1412 Métrica:1

       RX paquetes:0 errores:0 cayó:0 sobrecostos:0 marco:0

       TX paquetes:0 errores:0 cayó:0 sobrecostos:0 transportista:0

colisiones:0 txqueue1en:500

       RX bytes:0 (0.0 B ) TX bytes:0 (0.0 B )

 

La ruta de acceso no se agregó para 192.168.87.0/24 aunque la ruta agregada enviada al VPNC cliente fue 0.0.0.0/0

Tobby @ VirtualBox: ~ $ ping 192.168.87.1

PING 192.168.87.1 (192.168.87.1) 56(84) bytes de datos.

 

estadísticas de---192.168.87.1 ping---

3 paquetes transmitidos, 0 recibidos, 100% de pérdida de paquetes,tiempo 2014ms

 

Ruta de acceso agregada para 10.66.22.0/23 en el VPNC cliente

Tobby @ VirtualBox: ~ $ ping 10.66.22.87

PING 16.66.22.87 (16.66.22.87) 56(84) bytes de datos.

64 bytes de 10.66.22.87: icmp_req = 1 TTL = 61 Time = 6.87 MS

64 bytes de 10.66.22.87: icmp_req = 2 TTL = 61 Time = 2.02 MS

 

estadísticas de---16.66.22.87 ping---

2 paquetes transmitidos, 2 recibidos, 0% de pérdida de paquetes,tiempo 1001ms

RTT min/AVG/MAX/MDEV = 2.021/4.450/6.879/2.429 MS

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIDCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language