Túnel VPN IPSec con Peer con dirección IP dinámica

Túnel VPN IPSec con Peer con dirección IP dinámica

190022
Created On 09/25/18 17:41 PM - Last Modified 06/05/23 20:39 PM


Resolution


Topología

 

PA-Firewall A (10.129.70.38)-----router (DHCP Server)-------(DHCP IP) PA-Firewall B

 

 

Configuración en PA-Firewall B

 

Interfaz en firewall B obtiene la dirección IP dinámicamente desde el servidor DHCP (interfaz en el router configurado como servidor DHCP).

 

Inter-Dyn. png

 

Gateway de IKE

 

 

IKE-Dyn-1. png

 

Nota: en este ejemplo, el identificador local se menciona como FQDN (dirección de correo electrónico). Sin embargo, podemos utilizar cualquiera de los calificadores disponibles, asegurándose de que es el mismo en el extremo del mismo nivel. Podría ser cualquier cosa, siempre y cuando sea igual en el otro extremo. Esta es una configuración importante ya que es la única manera para que el interlocutor identifique el Gateway dinámico.

 

 

IKE-Dyn-2. png

 

Nota: dado que el cortafuegos B tiene la dirección IP dinámica, debe ser el iniciador del túnel VPN cada vez. Por lo tanto, no seleccione "Activar modo pasivo".

 

 

Configuración de IPSec

 

IPSEC-Dyn-1. png

IPSEC_Dyn-2. png

 

 

Configuración en PA-Firewall A

 

IKE Gateway

 

Ike-Static-1. png

 

Nota: la identificación de pares en el par estático debe ser la misma que la identificación local configurada en el par dinámico. Además, "tipo IP de par" es dinámico aquí, ya que no estamos seguros de la IP en el otro extremo.

 

 

IKE-static-2. png

 

Nota: dado que este es el peer estático y no sabe la dirección IP del extremo dinámico, no sería capaz de iniciar la VPN. Por lo tanto, seleccionamos la opción "Activar modo pasivo".

 

 

Configuración de IPSec

 

IPSEC-static-1. png

IPSEC_static-2. png

 

Inicialmente, cuando el túnel está abajo, vemos una sesión de IPsec-ESP con destino como 0.0.0.0, ya que no estamos seguros de la IP del mismo nivel.

 

admin @ PA-Firewall-A > Mostrar sesión todos
--------------------------------------------------------------------------------
identificador de estado de aplicación de identificación de tipo de indicador src [Sport]/Zone/proto (traducido IP [puerto])
Vsys DST [dport]/Zone (traducido IP [Puerto]) 
--------------------------------------------------------------------------------
1 IPsec-ESP Active TUNN 10.129.72.38 [0]/L3-Trust/50 (10.129.72.38 [0])
vsys1 0.0.0.0 [0]/L3-Untrust (0.0.0.0 [0])

 

 

Nota: L3-Trust es la zona de la interfaz del túnel y L3-Untrust es la interfaz externa.

 

Tan pronto como el túnel aparece, esto se sustituye por la dirección IP real del interlocutor dinámico:

 

admin @ PA-Firewall-A > Mostrar sesión todos
--------------------------------------------------------------------------------
identificador de estado de aplicación de identificación de tipo de indicador src [Sport]/Zone/proto (traducido IP [puerto])
Vsys DST [dport]/Zone (traducido IP [Puerto]) 
--------------------------------------------------------------------------------
11 IPsec-ESP Active TUNN 10.129.72.38 [53613]/L3-Trust/50 (10.129.72.38 [61655])
vsys1 1.1.1.5 [12024]/L3-Untrust (1.1.1.5 [43745])

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIGCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language