Comment faire pour configurer le réseau ISP double avec GlobalProtect VPN en utilisant un routeur virtuel et la transmission basée sur les stratégies

Vue d’ensemble

Ce document explique comment configurer un pare-feu Palo Alto Networks qui a une connexion ISP double en combinaison avec GlobalProtect VPN. Un lien ISP est utilisé pour le trafic non VPN et L'autre est utilisé exclusivement pour le trafic VPN GlobalProtect.

Buts de configuration :

• Connexion à deux FAI en combinaison avec des tunnels VPN.
• Simple global Protect VPN Gateway/Portal et client
• 1 ISP est préféré pour LAN à Internet Traffic-Itinéraire par défaut vers ISP1
• Autre lien D'ISP utilisé pour le trafic de VPN de GP

Détails

ISP1 est utilisé comme FAI principal.  ISP2 est le GlobalProtect VPN Traffic ISP.

Palo Alto Networks version pare-feu: 5.0.6 (toute version > = 4.1. x peut être utilisé)

Configuration de l’interface

Configurer quatre interfaces:

• Interface Ethernet 1/1-10.193.19.1/23-LAN zone
• Interface Ethernet 1/2-192.168.2.11/24-zone ISP 1
• Interface Ethernet 1/3-10.193.17.1/23-zone ISP 2
• tunnel. 1-172.16.1.1/24-zone VPN interface

La zone VPN

GlobalProtect VPN sera bientôt configuré. UNE exigence pour le VPN pour fonctionner est une interface tunnel Layer 3. Cette interface est une interface virtuelle qui possède toutes les fonctionnalités d'une interface physique. En tant que tel, il peut être configuré dans une zone de son propre.

Dans cette configuration, l' interface tunnel. 1 est placée dans la zone VPN. Chaque fois que le trafic VPN est initié par le client, ce trafic sera vu par le pare-feu comme sortie de l'interface tunnel. 1 et de la zone VPN. Le trafic VPN doit atteindre la zone ISP2.

Configuration de la sécurité du réseau

Configurer les stratégies de sécurité et de réseau de base pour autoriser le trafic entre:

• LAN et ISP1
• VPN et ISP2

Ajoutez la route 0.0.0.0/0 par défaut à ISP1:

Autoriser le trafic vers les 2 FAI en utilisant des règles NAT

Pour que le trafic sortant soit traduit des adresses IP internes vers des adresses IP externes, nous devons utiliser une sorte de NAT source. Dans cet exemple, l'IP dynamique et le port NAT sont utilisés. L'ip globale sera l'ip de l'interface sortante.

NAT à ISP1:

• Zone source: toute
• Zone de destination: ISP1
• Type NAT: source NAT
• Traduction source: IP dynamique et port; Interface: Ethernet 1/2; Adresse IP: 192.168.2.11

NAT à ISP2:

• Zone source: toute
• Zone de destination: ISP2
• Type NAT: source NAT
• Traduction source: IP dynamique et port; Interface: Ethernet 1/3; Adresse IP: 10.193.17.1

À ce stade, le trafic devrait être en mesure d'atteindre ISP1 à partir de LAN et ISP2 de GlobalProtect VPN qui n'a pas encore été configuré.

Test de connexion ISP1

Transfert basé sur des politiques

Étant donné que nous passons la route 0.0.0.0/0 par défaut au client GlobalProtect, le comportement par défaut du pare-feu consiste à acheminer les paquets vers ISP1, en raison de l'itinéraire par défaut configuré dans les itinéraires statiques du routeur virtuel.

Le PBF va modifier le comportement de routage de la manière suivante:

Tous les paquets initiés à partir de l'interface tunnel. 1 qui se dirigent vers toute autre adresse autre que le sous-réseau LAN directement connecté ou le sous-réseau ISP1 directement connecté doivent être transférés à l'interface Ethernet 1/3, allant à ISP2. Le saut suivant est l'IP pointant vers le routeur ISP2 qui va à l'Internet. Il n'y a aucun besoin de retour symétrique puisque le NAT identifiera les sessions nated et les traduira de nouveau à l'IP interne initiale. Cela remplacera tous les paquets allant à une adresse inconnue provenant de l'interface du tunnel GlobalProtect.

Configuration GlobalProtect

Cette implémentation de GlobalProtect est une base, sans aucune particularité.

Pour une configuration GlobalProtect plus détaillée, consultez les autres Articles de la base de connaissances, les guides de configuration ou le guide d'Administration officiel en plus des références suivantes:

Comment configurer GlobalProtect

Comment générer un nouveau certificat auto-signé

GlobalProtect Configuration Tech Note

GlobalProtect Setup

IP Gateway: 10.193.19.1

GlobalProtect client IP pool: 172.16.1.2-> 172.16.1.55

Interface tunnel: tunnel. 1

IP de l'Interface tunnel: 172.16.1.1

Itinéraires passés aux clients: 0.0.0.0/0-les clients auront comme passerelle par défaut 172.16.1.1-tunnel. 1 interface

Configuration détaillée:

Certificats

GlobalProtect passerelle

Portail GlobalProtect

En outre, l'authentification de l'utilisateur doit être configurée dans la base de données locale:

Une fois cette configuration configurée, le client GlobalProtect doit pouvoir se connecter à la passerelle GlobalProtect:

Connexion client à GlobalProtect

La connexion est réussie. L'adresse IP attribuée est 172.16.1.2:

UNE interface virtuelle est créée sur l'ordinateur Windows:

Et, l'itinéraire par défaut est en cours d'injection:

Connexion à Internet via ISP2 fonctionne:

Remarque: cette configuration n'atteint pas de basculement si L'un des FSI n'est pas accessible.

propriétaire: bbolovan