Comment faire pour configurer un tunnel où le trafic encapsulé est envoyé à l'adresse IP externe de peer
Resolution
Vue d’ensemble
Ce document décrit brièvement comment construire un tunnel dans le scénario réseau suivant:
PA-LAN <=>Pan-FW <=>Internet <=> <VPN-Peer></VPN-Peer> </=> </=> </=>
[L3-zone de confiance] [L3-zone de non-confiance]
Le tunnel va crypter le trafic entre PA-LAN et l'adresse IP publique de VPN-peer. Ce scénario soulève un problème car le VPN sur le pare-feu de Palo Alto Networks est basé sur la route, et les éléments suivants doivent se produire en même temps pour l'adresse IP de l'homologue VPN:
- Le protocole IKE et ESP doit être transmis à la passerelle Internet
- Le trafic du client (trafic protégé) doit être acheminé vers l'interface du tunnel
Détails
Pour cet exemple, le PA-LAN est 192.168.181.0/24 et l'adresse IP publique pour le VPN-Peer est 10.193.17.21. PA-LAN aura accès au service sur 10.193.17.21.
Pour résoudre le problème, procédez comme suit:
- Créer une interface de tunnel
- Créer une passerelle IKE normale, comme pour un VPN de site à site
- Créer un tunnel IPSEC normal, comme pour un VPN de site à site traditionnel
- À cette étape, un itinéraire statique serait normalement configuré pour pousser le trafic vers l'adresse IP protégée de l'homologue à l'interface du tunnel. Au lieu de cela, configurez une règle PBF (retransmission basée sur la stratégie):
- Zone source: L3-Trust
- Adresse source: PA-LAN (par exemple 192.168.181.0/24),
- Adresse de destination: IP publique de peer (par exemple: 10.193.17.21
- Action : vers l’avant
- Sortie I/F: interface tunnel (par exemple tunnel. 5)
- Définissez une adresse IP sur l'interface du tunnel. Cette adresse IP n'est pas vraiment utilisée et peut être définie sur toute adresse IP inutilisée dans la société (par exemple 172.17.1.1/32). S'il n'est pas défini, le message d'erreur suivant s'affiche pendant la validation:
erreur: PBF règle'a1 ': aucune adresse IP/IPv6 définie sur le tunnel d'interface PBF. 5. Erreur: échec de l'analyse de la stratégie PBF - Valider les modifications
Une fois l'opération de validation terminée, testez la connectivité à partir de L'un des hôtes de PA-LAN.
propriétaire : rweglarz