DotW: Hilfe bei IPSec-Proxy-IDs mit überlappenden IPs
Resolution
Benötigen Sie Hilfe zu Proxy-IDs? Sieht aus wie ein beliebtes Thema in unserer Live Community. Werfen Sie einen Blick auf ein paar verschiedene Szenarien, sehen Sie, welche Expertise unsere Community zum Thema einbringt, und sehen Sie, welche Lösungen wir empfehlen.
Die Diskussion über Proxy-IDs für die Diskussion der Woche (DotW) in dieser Woche finden Sie hier:
https://live.paloaltonetworks.com/t5/General-Topics/Proxy-IDs-help/m-p/3579#M2638
Community-Mitglied Neo.The.One hat dieses Thema über IPSec VPN Proxy IDs gepostet. Er richtete eine mit einem Check Point ein VPN firewall ein und musste wissen, welche ID Proxyeinstellungen erforderlich sind, damit dieser VPN Tunnel ordnungsgemäß funktioniert.
Neo. die. One hatte zwei Szenarien:
Fall 1
Meine internen Netzwerke für VPN (Palo Alto Networks firewall ): 173.16.10.0/24, 10.31.0.0/16, 10.40.40.0/24
Netzwerke hinter dem Peer (Check Point firewall ): Unbekannt
Fall 2
Meine internen Netzwerke für VPN (Palo Alto Networks firewall ): 172.16.10.0/24 , 10.31.0.0/16, 10.40.40.0/24
Netzwerke hinter dem Peer (Check Point ): firewall Genau dasselbe, wie 172.16.10.0/24 , 10.31.0.0/16, 10.40.40.40.0/24
Sowohl Live Community-Mitglieder als auch HULK Satish antworteten mit großartigen Antworten, um Neo.The.One zu helfen.
Hulk reagierte als erster.Er erklärte, dass Proxy-IDs erforderlich sind, um die SPI Schlüssel in der IPSec zu definieren. ist ein Schlüsselpaar, das für die VPN SPI Kapselung und Entkapselung eines Pakets verwendet ESP wird.
Der erste Fall Neo.The.One gefragt kann gelöst werden, wenn die Proxy-IDs richtig konfiguriert sind. Hulk lieferte einen großartigen Screenshot der ID Proxy-Konfiguration.
Netzwerk > IPSec-Tunnel > wählen Sie einen Tunnel > Proxy IDs Tab
Der zweite Fall kann behoben werden, wenn Sie das überlappende Subnetzproblem beheben.
Sehen Sie sich das folgende Diagramm an, das überlappende Subnetze mit einem IPSec-Tunnel VPN zeigt:
Es gibt keine Möglichkeit für den Verkehr, über den Tunnel zu VPN leiten, da das gleiche Netz auf beiden Seiten des Tunnels existiert.
Die einzige Möglichkeit, dieses Problem zu beheben, besteht darin, dass beide Peer-Gateways NATs (Network Address Translation) erstellen, um ein neues,eindeutiges Netzwerksubnetz in das interne Netzwerk zu übersetzen, oder eine Seite muss das Subnetz IP ändern. Bitte sehen Sie das Diagramm:
Auf diese Weise würde der gesamte Datenverkehr auf beiden Seiten an die neue Adresse und nicht an NAT das andere (gleiche) Netzwerk bestimmt sein.
In dieser Lösung müssten beide Gateways ausgeführt werden, NAT damit dies ordnungsgemäß funktioniert. Aber auf diese Weise gäbe es keine Verwirrung darüber, welches Netzwerk auf welcher Seite steht.
Neo. The. One hatte zwei Follow-up-Fragen, auf die Satish antwortete:
Frage: Muss er 0.0.0.0/0 eingeben oder leer lassen?
Antwort: Eine Adresse ist erforderlich.
Frage: Muss er die IP Adressen externer Schnittstellen von Palo Alto Networks und Peer Firewalls in die Proxy-IDs-Liste aufnehmen?
Antwort: Ja, Sie müssen die IP Adressen der externen Schnittstellen oder Adressen zur NAT ID Proxyliste hinzufügen, damit dies ordnungsgemäß funktioniert.
Satish stellte auch diesen Link zur Verfügung, um mit der Config zu VPN helfen: So konfigurieren Sie IPSec VPN
I Hoffen Sie, dass dies Ihnen hilft, Proxy-IDs zu verstehen und was zu tun ist, wenn Sie ein überlappendes Subnetz auf beiden Seiten des VPN Tunnels haben.
Um die Diskussion zu sehen, nutzen Sie bitte diesen Link:
https://live.paloaltonetworks.com/t5/General-Topics/Proxy-IDs-help/m-p/3579#M2638
Wie immer freuen wir uns über alle Rückmeldungen und Anregungen in den Kommentaren unten!
Bleiben Sie sicher,
Joe Delio