ピアの外部 IP アドレスにカプセル化されたトラフィックが送信されるトンネルを構成する方法

概要

このドキュメントでは、次のネットワークシナリオでトンネルを構築する方法について簡単に説明します。

PA-LAN<=>パン-FW<=>の<=> <VPN-Peer></VPN-Peer> </=>インターネット</=></=>

[L3 トラストゾーン]       [L3-untrust ゾーン]

トンネルは、PA-LAN と VPN ピアのパブリック IP アドレスの間のトラフィックを暗号化します。このシナリオでは、パロアルトネットワークファイアウォールの vpn がルートベースであり、vpn ピア IP アドレスに対して次のものが同時に発生する必要があるため、問題が発生します。

1. IKE と ESP をインターネットゲートウェイに転送する必要がある
2. クライアントのトラフィック (保護されたトラフィック) は、トンネルインターフェイスにルーティングする必要があります。

詳細

この例では、PA-LAN は 192.168.181.0/24 で、VPN ピアのパブリック IP アドレスは10.193.17.21 です。PA-LAN は、10.193.17.21 上のサービスにアクセスします。

この問題を解決するには、次の手順を実行します。

1. トンネルインターフェイスを作成する
2. サイト間 vpn の場合と同様に、通常の IKE ゲートウェイを作成する
3. 従来のサイト間 vpn の場合と同様に、通常の IPSEC トンネルを作成する
4. この手順では、通常、静的ルートは、ピアの保護された IP アドレスへのトラフィックをトンネルインターフェイスにプッシュするように構成されます。代わりに、PBF (ポリシーベースの転送) ルールを構成します。
   • ソースゾーン: l3-トラスト
   • 送信元アドレス: PA-LAN (たとえば 192.168.181.0/24)、
   • 宛先アドレス: ピアのパブリック IP (例: 10.193.17.21
   • アクション: 前進
   • 出口 I/F: トンネルインターフェイス (例えばトンネル. 5)
     
5. トンネルインターフェイスの IP アドレスを設定します。この ip アドレスは実際には使用されておらず、会社内の未使用の ip アドレス (たとえば 172.17.1.1/32) に設定することができます。設定されていない場合、コミット中に次のエラーメッセージが表示されます:
   エラー: pbf ルール ' a1 ': pbf インターフェイストンネルで定義されている ip/ipv6 アドレスがありません。エラー: pbf ポリシーを解析できませんでした
6. 変更をコミットします。

コミット操作が完了したら、PA-LAN 内のいずれかのホストから接続をテストします。

所有者: rweglarz