Comment faire pour configurer un tunnel où le trafic encapsulé est envoyé à l'adresse IP externe de peer

Comment faire pour configurer un tunnel où le trafic encapsulé est envoyé à l'adresse IP externe de peer

20163
Created On 09/25/18 17:42 PM - Last Modified 06/12/23 20:26 PM


Resolution


Vue d’ensemble

Ce document décrit brièvement comment construire un tunnel dans le scénario réseau suivant:

PA-LAN <=>Pan-FW <=>Internet <=> <VPN-Peer></VPN-Peer> </=> </=> </=>

[L3-zone de confiance]        [L3-zone de non-confiance]

Le tunnel va crypter le trafic entre PA-LAN et l'adresse IP publique de VPN-peer. Ce scénario soulève un problème car le VPN sur le pare-feu de Palo Alto Networks est basé sur la route, et les éléments suivants doivent se produire en même temps pour l'adresse IP de l'homologue VPN:

  1. Le protocole IKE et ESP doit être transmis à la passerelle Internet
  2. Le trafic du client (trafic protégé) doit être acheminé vers l'interface du tunnel

Détails

Pour cet exemple, le PA-LAN est 192.168.181.0/24 et l'adresse IP publique pour le VPN-Peer est 10.193.17.21. PA-LAN aura accès au service sur 10.193.17.21.

Pour résoudre le problème, procédez comme suit:

  1. Créer une interface de tunnel
  2. Créer une passerelle IKE normale, comme pour un VPN de site à site
  3. Créer un tunnel IPSEC normal, comme pour un VPN de site à site traditionnel
  4. À cette étape, un itinéraire statique serait normalement configuré pour pousser le trafic vers l'adresse IP protégée de l'homologue à l'interface du tunnel. Au lieu de cela, configurez une règle PBF (retransmission basée sur la stratégie):
    • Zone source: L3-Trust
    • Adresse source: PA-LAN (par exemple 192.168.181.0/24),
    • Adresse de destination: IP publique de peer (par exemple: 10.193.17.21
    • Action : vers l’avant
    • Sortie I/F: interface tunnel (par exemple tunnel. 5)
      2014-01-15 10_57_00-PA-VM. png
  5. Définissez une adresse IP sur l'interface du tunnel. Cette adresse IP n'est pas vraiment utilisée et peut être définie sur toute adresse IP inutilisée dans la société (par exemple 172.17.1.1/32). S'il n'est pas défini, le message d'erreur suivant s'affiche pendant la validation:
    erreur: PBF règle'a1 ': aucune adresse IP/IPv6 définie sur le tunnel d'interface PBF. 5. Erreur: échec de l'analyse de la stratégie PBF
  6. Valider les modifications

Une fois l'opération de validation terminée, testez la connectivité à partir de L'un des hôtes de PA-LAN.

propriétaire : rweglarz
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIeCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language