Wie man einen Tunnel konfiguriert, in dem der verkapselte Verkehr an die externe IP-Adresse von Peer gesendet
Resolution
Übersicht
In diesem Dokument wird kurz beschrieben, wie ein Tunnel im folgenden Netzwerkszenario gebaut werden kann:
PA-LAN <=>Pan-FW <=>Internet <=> <VPN-Peer></VPN-Peer> </=> </=> </=>
[L3-Trust Zone] [L3-Untrust Zone]
Der Tunnel verschlüsselt den Verkehr zwischen PA-LAN und VPN-Peer es Public IP-Adresse. Dieses Szenario wirft ein Problem auf, da das VPN auf der Palo Alto Networks Firewall auf der Route basiert, und das folgende muss gleichzeitig für die VPN-Peer-IP-Adresse auftreten:
- Das IKE und ESP muss an das Internet-Gateway weitergeleitet werden
- Der Verkehr des Kunden (geschützter Verkehr) muss zur Tunnel Schnittstelle geleitet werden
Details
Für dieses Beispiel ist das PA-LAN 192.168.181.0/24 und die öffentliche IP-Adresse für den VPN-Peer ist 10.193.17.21. PA-LAN wird auf 10.193.17.21 auf den Dienst zugreifen.
Um das Problem zu lösen, folgen Sie den folgenden Schritten:
- Eine Tunnel Schnittstelle erstellen
- Erstellen Sie ein normales IKE-Gateway, wie für eine Website-to-Site VPN
- Erstellen Sie einen normalen IPSEC-Tunnel, wie für ein traditionelles VPN-Gelände
- In diesem Schritt würde normalerweise eine statische Route konfiguriert, um den Traffic an die geschützte IP-Adresse des Peer an die Tunnel Schnittstelle zu drücken. Konfigurieren Sie stattdessen eine PBF-Regel (Policy based Forwarding):
- Quell Zone: L3-Trust
- Ausgangs Adresse: PA-LAN (zum Beispiel 192.168.181.0/24),
- ZielAdresse: Peer es Public IP (z.b.: 10.193.17.21
- Aktion: vorwärts
- Egress I/F: Tunnel Schnittstelle (z.b. Tunnel. 5)
- Setzen Sie eine IP-Adresse auf der Tunnel Schnittstelle. Diese IP-Adresse wird nicht wirklich verwendet und kann auf jede ungenutzte IP-Adresse im Unternehmen eingestellt werden (zum Beispiel 172.17.1.1/32). Wenn es nicht gesetzt ist, wird während der Übergabe folgende Fehlermeldung angezeigt:
Fehler: PBF-Regel ' a1 ': keine IP/IPv6-Adresse, die auf dem PBF-Interface-Tunnel definiert ist. 5. Fehler: keine PBF-Politik parieren - Übernehmen Sie die Änderungen
Nachdem die Commit-Operation abgeschlossen ist, testen Sie die Konnektivität von einem der Hosts in PA-LAN.
Besitzer: Rweglarz