仮想ルーターとポリシーベースの転送を使用して、GlobalProtect VPN でデュアル ISP ネットワークを構成する方法

概要

このドキュメントでは、GlobalProtect VPN と組み合わせてデュアル ISP 接続を持つ、パロアルトネットワークファイアウォールを構成する方法について説明します。1つの ISP リンクは非 vpn トラフィックに使用され、もう一方は GlobalProtect vpn トラフィック専用に使用されます。

構成の目標:

• VPN トンネルとの組み合わせでデュアル ISP 接続。
• シンプルなグローバル保護 VPN ゲートウェイ/ポータルとクライアント
• 1 ISP は、LAN のインターネットトラフィックに優先される-ISP1 に向かってデフォルトのルート
• GP VPN トラフィックに使用されるその他の ISP リンク

詳細

ISP1 は、プライマリ ISP として使用されます。  ISP2 は、GlobalProtect の VPN トラフィックの ISP です。

パロアルトネットワークファイアウォールのバージョン: 5.0.6 (任意のバージョン > = 4.1. x を使用することができます)

インターフェイスの構成

4つのインターフェイスを構成する:

• イーサネット 1/1-10.193.19.1/23-LAN ゾーンインターフェイス
• イーサネット 1/2-192.168.2.11/24 ゾーン ISP 1 インターフェイス
• イーサネット 1/3-10.193.17.1/23 ゾーン ISP 2 インターフェイス
• トンネル. 1-172.16.1.1/24 ゾーン VPN インタフェース

、VPN ゾーン

GlobalProtect VPN はすぐに設定されます。VPN が機能するための要件は、トンネルレイヤ3インターフェイスです。このインターフェイスは、物理インターフェイスのすべての機能を持つ仮想インターフェイスです。そのため、独自のゾーンで構成することができます。

この構成では、トンネル 1インターフェイスがゾーン VPNに配置されます。vpn トラフィックが顧客によって開始されるたびに、このトラフィックはトンネルからの出口としてファイアウォールによって見られます。1インターフェイスと VPN ゾーン。VPN トラフィックは、ISP2 ゾーンに到達する必要があります。

ネットワークセキュリティの構成

次の間のトラフィックを許可する基本的なネットワークとセキュリティポリシーを構成します。

• 蘭と ISP1
• VPN と ISP2

デフォルトのルート 0.0.0.0/0 を ISP1 に追加します。

NAT ルールを使用して2つの isp へのトラフィックを許可する

発信トラフィックを内部 ip アドレスから外部 ip アドレスに変換するためには、何らかのソース NAT を使用する必要があります。この例では、動的 IP とポート NAT が使用されています。グローバル ip は、発信インターフェイス ip になります。

ISP1 への NAT:

• ソースゾーン: 任意
• 宛先ゾーン: ISP1
• nat の種類: ソース nat
• ソース翻訳: 動的 IP およびポート;インターフェイス: イーサネット 1/2;IP アドレス: 192.168.2.11

ISP2 への NAT:

• ソースゾーン: 任意
• 宛先ゾーン: ISP2
• nat の種類: ソース nat
• ソース翻訳: 動的 IP およびポート;インターフェイス: イーサネット 1/3;IP アドレス: 10.193.17.1

この時点で、トラフィックはまだ構成されていない GlobalProtect VPN から LAN と ISP2 から ISP1 に到達することができるはずです。

ISP1 接続テスト

ポリシーベースの転送

デフォルトのルート 0.0.0.0/0 を GlobalProtect クライアントに渡しているので、ファイアウォールのデフォルトの動作は、仮想ルーターの静的ルートに設定されたデフォルトルートのために、パケットを ISP1 の方にルーティングすることです。

PBF は、次のようにルーティング動作を変更します。

インターフェイストンネルから開始されるすべてのパケット。直接接続された LAN サブネットワークまたは直接接続された ISP1 サブネットワーク以外の他のアドレスに向かっている1は、ISP2 に行くインターフェイスイーサネット1/3 に転送する必要があります。次のホップは、インターネットに行く ISP2 ルータを指している IP です。NAT が NATed セッションを識別し、それを初期の内部 IP に変換するため、対称型を返す必要はありません。これは、GlobalProtect トンネルインターフェイスから発信された不明なアドレスに行くすべてのパケットを上書きします。

GlobalProtect 構成

GlobalProtect のこの実装は、特別な機能なしで、基本的なものです。

より詳細な GlobalProtect 構成については、次の参照に加えて、他のサポート技術情報の記事、構成ガイド、または公式管理ガイドを確認してください。

GlobalProtect を構成する方法

新しい自己署名入り証明書を生成する方法

GlobalProtect 構成技術に関する注意事項

GlobalProtect のセットアップ

ゲートウェイの IP アドレス: 10.193.19.1

GlobalProtect クライアント IP プール: 172.16.1.2-> 172.16.1.55

トンネルインタフェース: トンネル1

トンネルインターフェイス IP: 172.16.1.1

クライアントに渡されたルート: 0.0.0.0/0-クライアントはデフォルトゲートウェイ172.16.1.1 として持つことになります。1インターフェイス

詳細設定:

証明書

GlobalProtect ゲートウェイ

GlobalProtect ポータル

また、ユーザー認証は、ローカルデータベースで構成する必要があります。

この設定が完了すると、GlobalProtect クライアントは GlobalProtect ゲートウェイに接続できるようになります。

GlobalProtect へのクライアント接続

接続が成功しました。割り当てられた IP アドレスは 172.16.1.2:

仮想インターフェイスは、Windows マシン上で作成されます。

また、既定のルートが挿入されています。

ISP2 を介してインターネットへの接続が動作している:

注:この構成では、isp のいずれかに到達できない場合、フェールオーバーは実現されません。

所有者: bbolovan