DotW: ayuda con IDS de proxy IPsec con IPS superpuestas

¿Necesita ayuda con los ID proxy? Parece un tema popular en nuestra comunidad en vivo. Eche un vistazo a un par de escenarios diferentes, vea qué experiencia aporta nuestra comunidad sobre el tema y vea qué soluciones recomendamos.

Vea la discusión sobre los D.I. proxy para la discusión de la semana de esta semana (DotW) aquí:
https://live.paloaltonetworks.com/t5/General-Topics/Proxy-IDs-help/m-p/3579#M2638

El miembro de la comunidad Neo.The.One publicó este tema sobre los VPN IDENTIFICADOR de proxy IPSec. Él estaba configurando un VPN con un punto de verificación , y necesitaba saber qué configuración de proxy se requiere para que firewall este túnel funcione ID VPN correctamente.

Neo. The. One tenía 2 escenarios:

Caso 1

Mis redes internas para VPN (Palo Alto firewall Networks): 173.16.10.0/24, 10.31.0.0/16, 10.40.40.0/24

Redes detrás del par (Punto de firewall verificación): Desconocido

Caso 2

Mis redes internas para VPN (Palo Alto firewall Networks): 172.16.10.0/24 , 10.31.0.0/16, 10.40.40.0/24
Redes detrás del par (Punto de firewall verificación): Exactamente lo mismo, tales como 172.16.10.0/24 , 10.31.0.0/16, 10.40.40.0/24

Tanto los miembros de Live Community como HULK Satish respondieron con excelentes respuestas para ayudar a Neo.The.One.

Hulk fue el primero en responder.Explicó que los DDI proxy son necesarios para definir las SPI claves en el IPSec . es VPN un par de SPI claves, utilizado para la encapsulación y decapsulación de un ESP paquete.

 
El primer caso sobre el que se le preguntó a Neo.The.One se puede resolver si los ID proxy están configurados correctamente. Hulk proporcionó una gran captura de pantalla de la ID configuración proxy.

Red > túneles IPSec > seleccionar un túnel > pestaña IDs proxy

El segundo caso se puede resolver si aborda el problema de subred superpuesta.
Consulte el siguiente diagrama que muestra subredes superpuestas con un VPN túnel IPSec:

No hay manera de que el tráfico rutee sobre el VPN túnel, ya que la misma red existe a ambos lados del túnel.

La única manera de resolver este problema es que ambas puertas de enlace del mismo nivel creen nats (traducción de direcciones de red) para traducir una nuevasubred de red única a la red interna, o un lado tiene que cambiar la IP subred. Vea por favor el diagrama:

De esta manera, todo el tráfico de ambos lados se destinaría a la nueva NAT dirección en lugar de a la otra (misma) red.

En esta solución, ambas puertas de enlace tendrían que funcionar NAT para que esto funcione correctamente. Pero de esta manera, no habría confusión sobre qué red es de qué lado.

Neo. The. One tenía 2 preguntas de la carta recordativa a las cuales Satish respondió:

Pregunta: ¿Tiene que entrar en 0.0.0.0/0 o dejarlo en blanco?
Respuesta: Se requiere una dirección.

Pregunta: ¿Tiene que agregar las IP direcciones de las interfaces externas de Palo Alto Networks y firewalls del par en la lista de ID de proxy?

Respuesta: Sí, debe agregar las IP direcciones de las interfaces o direcciones externas a la lista proxy para que esto funcione NAT ID correctamente.

Satish también proporcionó este link para ayudar con el VPN Config: Cómo configurar IPSec VPN

I espero que esto le ayude a entender los IDs proxy y qué hacer si usted tiene una subred superpuesta a ambos lados del VPN túnel.

Para ver la discusión, por favor utilice este enlace:

https://live.paloaltonetworks.com/t5/General-Topics/Proxy-IDs-help/m-p/3579#M2638

¡ Como siempre, acogemos con satisfacción todas las opiniones y sugerencias en los comentarios abajo!

Manténganse seguros,
Joe Delio