Cómo configurar un túnel donde se envía el tráfico encapsulado a la dirección IP externa del interlocutor
Resolution
Resumen
Este documento describe brevemente cómo construir un túnel en el siguiente escenario de red:
PA-LAN <=>pan-FW <=>Internet <=> <VPN-Peer></VPN-Peer> </=> </=> </=>
[L3-zona de confianza] [L3-zona Untrust]
El túnel cifrará el tráfico entre PA-LAN y la dirección IP pública de VPN-peer. Este escenario plantea un problema a medida que la VPN en el cortafuegos de Palo Alto Networks está basada en rutas, y lo siguiente debe ocurrir al mismo tiempo para la dirección IP del par VPN:
- El IKE y el ESP deben remitirse al gateway de Internet
- El tráfico del cliente (tráfico protegido) debe enrutarse a la interfaz del túnel
Detalles
Para este ejemplo, el PA-LAN es 192.168.181.0/24 y la dirección IP pública para el VPN-peer es 10.193.17.21. PA-LAN accederá al servicio en 10.193.17.21.
Para resolver el problema, siga los siguientes pasos:
- Crear una interfaz de túnel
- Crear una puerta de enlace IKE normal, como para una VPN de sitio a sitio
- Crear un túnel IPSEC normal, como para una VPN de sitio a sitio tradicional
- En este paso, normalmente se configuraría una ruta estática para empujar el tráfico a la dirección IP protegida del mismo nivel a la interfaz de túnel. En su lugar, configure una regla de PBF (reenvío basado en directivas):
- Zona de origen: L3-Trust
- Dirección de la fuente: PA-LAN (por ejemplo 192.168.181.0/24),
- Dirección de destino: IP pública de peer (por ejemplo: 10.193.17.21
- Acción: hacia adelante
- Salida I/F: interfaz del túnel (por ejemplo túnel. 5)
- Defina una dirección IP en la interfaz del túnel. Esta dirección IP no se utiliza realmente y se puede establecer en cualquier dirección IP no utilizada en la empresa (por ejemplo 172.17.1.1/32). Si no está configurado, aparecerá el siguiente mensaje de error durante commit:
error: PBF regla ' a1 ': no hay dirección IP/IPv6 definida en el túnel de interfaz PBF. 5. Error: no se pudo analizar la Directiva PBF - Cometer los cambios
Una vez finalizada la operación commit, pruebe la conectividad desde uno de los hosts de PA-LAN.
Propietario: rweglarz