Wie man einen Tunnel konfiguriert, in dem der verkapselte Verkehr an die externe IP-Adresse von Peer gesendet

Wie man einen Tunnel konfiguriert, in dem der verkapselte Verkehr an die externe IP-Adresse von Peer gesendet

20155
Created On 09/25/18 17:42 PM - Last Modified 06/12/23 20:26 PM


Resolution


Übersicht

In diesem Dokument wird kurz beschrieben, wie ein Tunnel im folgenden Netzwerkszenario gebaut werden kann:

PA-LAN <=>Pan-FW <=>Internet <=> <VPN-Peer></VPN-Peer> </=> </=> </=>

[L3-Trust Zone]        [L3-Untrust Zone]

Der Tunnel verschlüsselt den Verkehr zwischen PA-LAN und VPN-Peer es Public IP-Adresse. Dieses Szenario wirft ein Problem auf, da das VPN auf der Palo Alto Networks Firewall auf der Route basiert, und das folgende muss gleichzeitig für die VPN-Peer-IP-Adresse auftreten:

  1. Das IKE und ESP muss an das Internet-Gateway weitergeleitet werden
  2. Der Verkehr des Kunden (geschützter Verkehr) muss zur Tunnel Schnittstelle geleitet werden

Details

Für dieses Beispiel ist das PA-LAN 192.168.181.0/24 und die öffentliche IP-Adresse für den VPN-Peer ist 10.193.17.21. PA-LAN wird auf 10.193.17.21 auf den Dienst zugreifen.

Um das Problem zu lösen, folgen Sie den folgenden Schritten:

  1. Eine Tunnel Schnittstelle erstellen
  2. Erstellen Sie ein normales IKE-Gateway, wie für eine Website-to-Site VPN
  3. Erstellen Sie einen normalen IPSEC-Tunnel, wie für ein traditionelles VPN-Gelände
  4. In diesem Schritt würde normalerweise eine statische Route konfiguriert, um den Traffic an die geschützte IP-Adresse des Peer an die Tunnel Schnittstelle zu drücken. Konfigurieren Sie stattdessen eine PBF-Regel (Policy based Forwarding):
    • Quell Zone: L3-Trust
    • Ausgangs Adresse: PA-LAN (zum Beispiel 192.168.181.0/24),
    • ZielAdresse: Peer es Public IP (z.b.: 10.193.17.21
    • Aktion: vorwärts
    • Egress I/F: Tunnel Schnittstelle (z.b. Tunnel. 5)
      2014-01-15 10_57_00-PA-VM. png
  5. Setzen Sie eine IP-Adresse auf der Tunnel Schnittstelle. Diese IP-Adresse wird nicht wirklich verwendet und kann auf jede ungenutzte IP-Adresse im Unternehmen eingestellt werden (zum Beispiel 172.17.1.1/32). Wenn es nicht gesetzt ist, wird während der Übergabe folgende Fehlermeldung angezeigt:
    Fehler: PBF-Regel ' a1 ': keine IP/IPv6-Adresse, die auf dem PBF-Interface-Tunnel definiert ist. 5. Fehler: keine PBF-Politik parieren
  6. Übernehmen Sie die Änderungen

Nachdem die Commit-Operation abgeschlossen ist, testen Sie die Konnektivität von einem der Hosts in PA-LAN.

Besitzer: Rweglarz
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIeCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language