Tunnel VPN IPSec avec un homologue ayant une adresse IP dynamique

Tunnel VPN IPSec avec un homologue ayant une adresse IP dynamique

190062
Created On 09/25/18 17:41 PM - Last Modified 06/05/23 20:39 PM


Resolution


Topologie

 

PA-Firewall A (10.129.70.38)-----routeur (serveur DHCP)-------(IP DHCP) PA-Firewall B

 

 

Configuration sur PA-Firewall B

 

Interface sur le pare-feu B obtient l'adresse IP dynamiquement à partir du serveur DHCP (interface sur le routeur configuré en tant que serveur DHCP).

 

Inter-Dyn. png

 

IKE Gateway

 

 

IKE-Dyn-1. png

 

Remarque: dans cet exemple, L'ID local est mentionné comme FQDN (adresse de messagerie). Toutefois, nous pouvons utiliser L'un des qualificateurs disponibles, en veillant à ce qu'il est le même sur la fin de l'homologue ainsi. Il pourrait être quelque chose tant qu'il est même à L'autre bout. Il s'agit d'une configuration importante car c'est la seule façon pour l'homologue d'identifier la passerelle dynamique.

 

 

IKE-Dyn-2. png

 

Remarque: comme Firewall B possède l'ADRESSE IP dynamique, il doit être l'initiateur du tunnel VPN à chaque fois. Par conséquent, ne sélectionnez pas "activer le mode passif."

 

 

Configuration IPSec

 

IPSEC-Dyn-1. png

IPSEC_Dyn-2. png

 

 

Configuration sur PA-Firewall A

 

Passerelle IKE

 

Ike-Static-1. png

 

Remarque: l'identification par les pairs sur l'homologue statique doit être identique à celle de l'identification locale configurée sur l'homologue dynamique. Aussi, "Peer IP type" est dynamique ici puisque nous ne sommes pas sûrs de l'IP à L'autre bout.

 

 

IKE-static-2. png

 

Note: comme il s'agit de l'homologue statique et ne connaît pas l'adresse IP de la fin dynamique, il ne serait pas en mesure d'initier le VPN. Par conséquent, nous avons choisi l'option "activer le mode passif."

 

 

Configuration IPSec

 

IPSEC-static-1. png

IPSEC_static-2. png

 

Au début, lorsque le tunnel est en panne, nous voyons une session IPSec-ESP avec destination comme 0.0.0.0, puisque nous ne sommes pas sûrs de l'IP de l'homologue.

 

admin @ PA-pare-feu-A > Show session tous les
--------------------------------------------------------------------------------
ID application État type Flag SRC [Sport]/zone/proto (traduit IP [port])
VSys DST [dport]/zone (traduit IP [Port]) 
--------------------------------------------------------------------------------
1 IPSec-ESP active TUNN 10.129.72.38 [0]/L3-Trust/50 (10.129.72.38 [0])
vsys1 0.0.0.0 [0]/L3-Untrust (0.0.0.0 [0])

 

 

Remarque: L3-Trust est la zone de l'interface tunnel et L3-Untrust est l'interface externe.

 

Dès que le tunnel arrive, ceci est remplacé par l'adresse IP réelle de l'homologue dynamique:

 

admin @ PA-pare-feu-A > Show session tous les
--------------------------------------------------------------------------------
ID application État type Flag SRC [Sport]/zone/proto (traduit IP [port])
VSys DST [dport]/zone (traduit IP [Port]) 
--------------------------------------------------------------------------------
11 IPSec-ESP active TUNN 10.129.72.38 [53613]/L3-Trust/50 (10.129.72.38 [61655])
vsys1 1.1.1.5 [12024]/L3-Untrust (1.1.1.5 [43745])

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIGCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language