Túnel dividido basado en ruta de acceso para VPNC cliente en distribuciones Linux
Environment
- GlobalProtect Gateway.
- PAN-OS 8.1 y superior.
- VPNC Cliente Linux.
Resolution
Visión general
VPNC es un cliente IPSec de terceros de código abierto VPN que admite la autenticación extendida X- (autenticación) y establece un VPN túnel a las puertas de enlace para acceder a las redes GlobalProtect corporativas internas.
Marque el link abajo para una lista de los clientes compatibles X- Auth IPSec:
¿Qué X- clientes Auth IPSec son compatibles?
Este documento explica cómo funciona la tunelización dividida cuando un VPNC cliente está conectado con una puerta de GlobalProtect enlace.
Detalles
- Para definir las redes a ser accesibles desde el VPNC cliente (o) para que el tráfico sea enviado sobre la VPN conexión, las rutas de acceso (también conocidas como túnel dividido) necesitan ser agregadas en la GlobalProtect configuración del cliente del gateway. Refiera a GlobalProtect la nota técnica de la configuración
- Cuando las rutas de acceso se configuran en la GlobalProtect puerta de enlace, se envía una ruta agregada de todas las rutas de acceso al VPNC cliente. Si DNS se incluyen direcciones de servidor, también se tendrán en cuenta al agregar las rutas.
Por ejemplo:
Si las rutas de acceso contienen las redes 10.66.22.0/23 y 192.168.87.0/24, después la ruta agregada enviada al cliente de terceros VPNC es una ruta predeterminada 0.0.0.0/0 como se muestra abajo.
> Mostrar global-Protect-Gateway Gateway Name test_vpnc
GlobalProtect Puerta de enlace: test_vpnc (0 usuarios)
Tipo de túnel: tunel de usuario remoto
Nombre del túnel : test_vpnc-N
Túnel ID : 7
Interfaz de túnel : tunnel.1
Interfaz Encap : ethernet1/3
Herencia de :
Dirección Local : 10.66.24.87
SSL Puerto del servidor : 443
IPSec Encap : Sí
Negociación de Túneles : ssl,ike
HTTP Redirección : no
UDP Puerto : 4501
Usuarios máximos : 0
IP Rangos de piscina : 172.16.7.1 - 172.16.7.7;
IP Índice de grupo : 0
Siguiente IP : 0.0.0.0
DNS Servidores : 4.2.2.2
: 0.0.0.0
WINS Servidores : 0.0.0.0
: 0.0.0.0
Rutas de acceso : 10.66.22.0/23; 192.168.87.0/24;
Ruta de acceso para clientes de terceros: 0.0.0.0/0
VSYS: vsys1 (id 1)
SSL Certificado de servidor : SERVER_CERT
Perfil de autenticación : vpnc_auth
Perfil del certificado de cliente:
Vida útil : 2592000 segundos
Tiempo de espera inactivo : 10800 segundos
Si las rutas de acceso contienen las redes 10.66.22.0/23 y 10.66.12.0/23, después la ruta agregada enviada al cliente de terceros VPNC es 10.66.0.0/19, como se muestra abajo.
> Mostrar global-Protect-Gateway Gateway Name test_vpnc
GlobalProtect Puerta de enlace: test_vpnc (0 usuarios)
Tipo de túnel: tunel de usuario remoto
Nombre del túnel : test_vpnc-N
Túnel ID : 7
Interfaz de túnel : tunnel.1
Interfaz Encap : ethernet1/3
Herencia de :
Dirección Local : 10.66.24.87
SSL Puerto del servidor : 443
IPSec Encap : Sí
Negociación de Túneles : ssl,ike
HTTP Redirección : no
UDP Puerto : 4501
Usuarios máximos : 0
IP Rangos de piscina : 172.16.7.1 - 172.16.7.7;
IP Índice de grupo : 0
Siguiente IP : 0.0.0.0
DNS Servidores : 10.66.22.77
: 0.0.0.0
WINS Servidores : 0.0.0.0
: 0.0.0.0
Rutas de acceso : 10.66.22.0/23; 10.66.12.0/23;
Ruta de acceso para clientes de terceros: 10.66.0.0/19
VSYS: vsys1 (id 1)
SSL Certificado de servidor : SERVER_CERT
Perfil de autenticación : vpnc_auth
Perfil del certificado de cliente:
Vida útil : 2592000 segundos
Tiempo de espera inactivo : 10800 segundos
Nota: Si la ruta agregada enviada al VPNC cliente es una ruta predeterminada (0.0.0.0/0), después el cliente necesita ser configurado para la VPNC tunelización dividida como se muestra abajo.
Vaya al VPNC cliente y vaya a Configuración de IPv4 > rutas
Añada la ruta de acceso requerida y asegúrese de que la opción "usar esta conexión sólo para recursos en su red" está marcada.
Aunque la ruta agregada enviada por GlobalProtect es 0.0.0.0/0, el acceso sólo se permitirá a la red 10.66.22.0/23 como se muestra abajo.
Salida terminal de host Linux:
tun0 Enlace encap: UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
addr inet:172.16.7.1 P- t- P :172.16.7.1 preguntar:255.255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1412 Métrica:1
RX paquetes:0 errores:0 cayó:0 sobrecostos:0 marco:0
TX paquetes:0 errores:0 cayó:0 sobrecostos:0 transportista:0
colisiones:0 txqueue1en:500
RX bytes:0 (0.0 B ) TX bytes:0 (0.0 B )
La ruta de acceso no se agregó para 192.168.87.0/24 aunque la ruta agregada enviada al VPNC cliente fue 0.0.0.0/0
Tobby @ VirtualBox: ~ $ ping 192.168.87.1
PING 192.168.87.1 (192.168.87.1) 56(84) bytes de datos.
estadísticas de---192.168.87.1 ping---
3 paquetes transmitidos, 0 recibidos, 100% de pérdida de paquetes,tiempo 2014ms
Ruta de acceso agregada para 10.66.22.0/23 en el VPNC cliente
Tobby @ VirtualBox: ~ $ ping 10.66.22.87
PING 16.66.22.87 (16.66.22.87) 56(84) bytes de datos.
64 bytes de 10.66.22.87: icmp_req = 1 TTL = 61 Time = 6.87 MS
64 bytes de 10.66.22.87: icmp_req = 2 TTL = 61 Time = 2.02 MS
estadísticas de---16.66.22.87 ping---
2 paquetes transmitidos, 2 recibidos, 0% de pérdida de paquetes,tiempo 1001ms
RTT min/AVG/MAX/MDEV = 2.021/4.450/6.879/2.429 MS