VPN トンネルを介して本社のファイアウォールを介してルーティングブランチサイトのインターネットトラフィック
Resolution
概要
DSL モデムの背後にあるブランチファイアウォールは、本社 (本社) ファイアウォールを備えた VPN トンネルを確立するように構成されており、支社のユーザーが hq ネットワークにアクセスできるようにします。ブランチ側では、モデムはファイアウォールの untrust インターフェイスに接続し、DHCP を介してインターフェイスに IP アドレスを提供します。モデムは、パロアルトネットワークファイアウォールにデフォルトルートを挿入し、モデムのプライベート IP アドレスを指します。同社は現在、ブランチユーザーからのすべてのインターネットトラフィックは、untrust インターフェイスとモデムを介して直接ではなく、VPN トンネルを介して、HQ ファイアウォールを介してルーティングされるというルールを適用したいと考えています。
問題
静的ルート, 0.0.0.0/0 次ホップトンネル. 1 インターフェイス, VPN トンネルを介してルートブランチトラフィックに追加されました. これにより、ブランチユーザーのネットワークの総停止が発生しました。
原因
図を参照してください。トンネルインターフェイスを指す既定のルートを変更する前に、すべての IKE ネゴシエーションと ESP パケットを VPN ピア1.2.3.4 に egressed、ブランチファイアウォールの eth1/2 インターフェイスを介して、DSL モデムによって提供される既定のルート (0.0.0.0/0 次ホップ192.168.1.254)。トンネルにデフォルトのルートを変更することにより、1.2.3.4 には、ESP パケットは、物理 eth1/2 インターフェイスを介して egressed 必要がありますが、現在のトンネルを使用する必要があります。1インターフェイス。実際には、トンネルを確立するために必要な IKE ネゴシエーションは、作成しようとしているトンネルを経由してルーティングされます。そのため、トンネルを確立できず、ネットワークの停止が発生します。
解決方法
eth1/2 インターフェイスと次ホップ192.168.1.254 で、1.2.3.4 へのルートに対して低いメトリックを持つ静的ルートを構成します。
パロアルトネットワークの更新サーバー、dns サーバー (パブリック dns サーバーのサービスルートを使用している場合)、およびパロアルトネットワークファイアウォールが eth1/2 のサービスルートを使用して連絡先とするその他のサーバーのメトリックが低いと同様の静的ルートを構成します。インターフェイス。
その後、トンネルを指す 0.0.0.0/0 を追加することができます。1インターフェイスは、IKE ネゴシエーションと ESP トラフィックを除いて、トンネルインターフェイスを介してすべてのインターネットトラフィックをルーティングします (これはネゴシエーションのために eth1/2 インターフェイスを使用します)。
さらに、次のセキュリティポリシーが必要です。
- ブランチファイアウォールの [信頼ゾーン] から [VPN ゾーン] へ。
このポリシーは、支社のユーザーが HQ ネットワークにアクセスするように既に構成されています。リバースポリシーは、HQ ユーザーがブランチネットワークにアクセスするように構成されています。 - VPN ゾーンから HQ ファイアウォールの untrust ゾーンへ。
- 必要に応じて、untrust ゾーンから通信を開始できるようにする特定のシナリオに対してリバースポリシーを構成します。ポリシーは、特定の宛先 IP アドレスへのトラフィックを制限するように構成できます。
所有者: kprakash