Cómo configurar un túnel donde se envía el tráfico encapsulado a la dirección IP externa del interlocutor

Cómo configurar un túnel donde se envía el tráfico encapsulado a la dirección IP externa del interlocutor

21745
Created On 09/25/18 17:42 PM - Last Modified 06/12/23 20:26 PM


Resolution


Resumen

Este documento describe brevemente cómo construir un túnel en el siguiente escenario de red:

PA-LAN <=>pan-FW <=>Internet <=> <VPN-Peer></VPN-Peer> </=> </=> </=>

[L3-zona de confianza]        [L3-zona Untrust]

El túnel cifrará el tráfico entre PA-LAN y la dirección IP pública de VPN-peer. Este escenario plantea un problema a medida que la VPN en el cortafuegos de Palo Alto Networks está basada en rutas, y lo siguiente debe ocurrir al mismo tiempo para la dirección IP del par VPN:

  1. El IKE y el ESP deben remitirse al gateway de Internet
  2. El tráfico del cliente (tráfico protegido) debe enrutarse a la interfaz del túnel

Detalles

Para este ejemplo, el PA-LAN es 192.168.181.0/24 y la dirección IP pública para el VPN-peer es 10.193.17.21. PA-LAN accederá al servicio en 10.193.17.21.

Para resolver el problema, siga los siguientes pasos:

  1. Crear una interfaz de túnel
  2. Crear una puerta de enlace IKE normal, como para una VPN de sitio a sitio
  3. Crear un túnel IPSEC normal, como para una VPN de sitio a sitio tradicional
  4. En este paso, normalmente se configuraría una ruta estática para empujar el tráfico a la dirección IP protegida del mismo nivel a la interfaz de túnel. En su lugar, configure una regla de PBF (reenvío basado en directivas):
    • Zona de origen: L3-Trust
    • Dirección de la fuente: PA-LAN (por ejemplo 192.168.181.0/24),
    • Dirección de destino: IP pública de peer (por ejemplo: 10.193.17.21
    • Acción: hacia adelante
    • Salida I/F: interfaz del túnel (por ejemplo túnel. 5)
      2014-01-15 10_57_00-PA-VM. png
  5. Defina una dirección IP en la interfaz del túnel. Esta dirección IP no se utiliza realmente y se puede establecer en cualquier dirección IP no utilizada en la empresa (por ejemplo 172.17.1.1/32). Si no está configurado, aparecerá el siguiente mensaje de error durante commit:
    error: PBF regla ' a1 ': no hay dirección IP/IPv6 definida en el túnel de interfaz PBF. 5. Error: no se pudo analizar la Directiva PBF
  6. Cometer los cambios

Una vez finalizada la operación commit, pruebe la conectividad desde uno de los hosts de PA-LAN.

Propietario: rweglarz
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIeCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language