トポロジ
pa-ファイアウォール A (10.129.70.38)-----ルーター (dhcp サーバー)-------(dhcp IP) pa-ファイアウォール B
PA 上の設定-ファイアウォール B
ファイアウォール B のインターフェイス dhcp サーバーから IP アドレスを動的に取得します (dhcp サーバーとして構成されたルーターのインターフェイス)。
IKE ゲートウェイ
注:この例では、ローカル ID は FQDN (電子メールアドレス) として記載されています。ただし、使用可能な修飾子を使用して、ピアエンドでも同じであることを確認できます。それは、他の端に同じである限り、何でも可能性があります。これは、ピアが動的ゲートウェイを識別する唯一の方法であるため、重要な構成です。
注:ファイアウォール B は動的 IP アドレスを持っているので、VPN トンネルのイニシエータを毎回指定する必要があります。したがって、「パッシブモードを有効にする」を選択しないでください。
IPSec の構成
PA 上の構成-ファイアウォール A
IKE ゲートウェイ
注:静的ピアのピア id は、動的ピアで構成されたローカル id と同じである必要があります。また、「ピア ip タイプ」は、もう一方の端にある ip がわからないので、ここでは動的です。
注:これは静的ピアであり、動的なエンドの IP アドレスを知らないため、VPN を開始することはできません。したがって、「パッシブモードを有効にする」オプションを選択しました。
IPSec の構成
最初に、トンネルがダウンしているとき、我々はピア IP の確認されていないので、我々は0.0.0.0 として宛先と ipsec-esp のセッションを参照してください。
管理者 @ PA-ファイアウォール-A > セッションをすべて表示
--------------------------------------------------------------------------------
ID アプリケーション状態タイプフラグ Src [スポーツ]/Zone/Proto (翻訳 ip [ポート])
Vsys Dst [Dport]/Zone (翻訳 ip[ポート]
--------------------------------------------------------------------------------
1 ipsec-esp アクティブ TUNN 10.129.72.38 [0]/L3-Trust/50 (10.129.72.38 [0])
vsys1 0.0.0.0 [0]/L3-Untrust (0.0.0.0 [0])
注: l3-トラストは、トンネルインタフェースのゾーンであり、l3-Untrust は外部インタフェースです。
トンネルが登場するとすぐに、これは動的ピアの実際の IP アドレスに置き換えられます。
管理者 @ PA-ファイアウォール-A > セッションをすべて表示
--------------------------------------------------------------------------------
ID アプリケーション状態タイプフラグ Src [スポーツ]/Zone/Proto (翻訳 ip [ポート])
Vsys Dst [Dport]/Zone (翻訳 ip[ポート]
--------------------------------------------------------------------------------
11 ipsec-esp のアクティブ TUNN 10.129.72.38 [53613]/L3-Trust/50 (10.129.72.38 [61655])
vsys1 1.1.1.5 [12024]/L3-Untrust (1.1.1.5 [43745])