DotW: aide avec les ID proxy IPSec avec des IPs se chevauchant

Besoin d’aide avec proxy iDs? On dirait un sujet populaire dans notre communauté live. Jetez un coup d'oeil à quelques scénarios différents, voyez quelle expertise notre Communauté apporte sur le sujet, et voyez quelles solutions nous recommandons.

Voir la discussion sur les iD proxy pour la discussion de cette semaine de la semaine (DotW) ici:
https://live.paloaltonetworks.com/t5/General-Topics/Proxy-IDs-help/m-p/3579#M2638

Neo.The.One, membre de la communauté, a publié ce sujet sur les VPN iD proxy IPSec. Il a été la mise en VPN place d’un avec un point firewall de contrôle , et avait besoin de savoir quels paramètres proxy sont ID nécessaires pour obtenir ce tunnel fonctionne VPN correctement.

Neo. the. One avait 2 scénarios:

Cas 1

Mes réseaux internes pour VPN (Palo Alto firewall Networks): 173.16.10.0/24, 10.31.0.0/16, 10.40.40.0/24

Réseaux derrière le pair (Check firewall Point): Inconnu

Cas 2

Mes réseaux internes pour VPN (Palo Alto firewall Networks): 172.16.10.0/24 , 10.31.0.0/16, 10.40.40.0/24
Réseaux derrière le pair (Check firewall Point): Exactement le même, tels que 172.16.10.0/24 , 10.31.0.0/16, 10.40.40.0/24

Les membres de live community HULK et Satish ont répondu avec d’excellentes réponses pour aider Neo.The.One.

Hulk a été le premier à répondre.Il a expliqué que les ID proxy sont tenus de définir SPI les clés de l’IPSec VPN . est une paire SPI clé, utilisée pour l’encapsulation et la décapsulation d’un ESP paquet.

 
Le premier cas que Neo.The.One a demandé peut être résolu si les ID proxy sont configurés correctement. Hulk a fourni une grande capture d’écran de la ID config Proxy.

Réseau > IPSec tunnels > sélectionnez un tunnel > proxy ID onglet

Le deuxième cas peut être résolu si vous abordez le problème du sous-réseau qui se chevauche.
Veuillez consulter le diagramme suivant montrant les sous-réseaux qui se chevauchent avec un tunnel IPSec VPN :

Il n’y a aucun moyen pour le trafic d’acheminer VPN sur le tunnel, car le même réseau existe des deux côtés du tunnel.

La seule façon de résoudre ce problème est pour les deux passerelles pairs de créer nats (Network Address Translation) pour traduireun nouveau, subnet réseau unique au réseau interne, ou d’un côté doit changer le sous-réseau IP . S'Il vous plaît voir le schéma:

De cette façon, tout le trafic de chaque côté serait destiné à la nouvelle adresse au lieu NAT de l’autre (même) réseau.

Dans cette solution, les deux passerelles devront effectuer NAT pour que cela fonctionne correctement. Mais de cette façon, il n'y aurait pas de confusion au sujet de quel réseau est de quel côté.

Neo. the. One a eu 2 questions de suivi auxquelles Satish a répondu:

Question: Doit-il entrer 0.0.0.0/0 ou le laisser vide ?
Réponse: Une adresse est requise.

Question: Doit-il ajouter les IP adresses des interfaces externes de Palo Alto Networks et des pare-feu pairs dans la liste proxy iDs ?

Réponse: Oui, vous devez ajouter les IP adresses des interfaces ou adresses NAT externes à la liste proxy pour que cela fonctionne ID correctement.

Satish a également fourni ce lien pour aider avec le VPN Config: Comment configurer IPSec VPN

I espérons que cela vous aide à comprendre proxy iDs et ce qu’il faut faire si vous avez un sous-réseau qui se chevauche des deux côtés du VPN tunnel.

Pour visionner la discussion, veuillez utiliser ce lien:

https://live.paloaltonetworks.com/t5/General-Topics/Proxy-IDs-help/m-p/3579#M2638

Comme toujours, nous saluons tous les commentaires et suggestions dans les commentaires ci-dessous!

Restez en sécurité,
Joe Delio