DotW: 重複する ip アドレスを持つ IPSec プロキシ id のヘルプ
Resolution
プロキシ ID に関するヘルプが必要ですか? ライブコミュニティで人気の話題のように見えます。 いくつかの異なるシナリオを見てみましょう, 私たちのコミュニティは、トピックに負担にもたらす専門知識を参照してください, 我々はお勧めどのようなソリューションを参照してください.
今週の今週のディスカッション・オブ・ザ・ウィーク(DotW)のプロキシIDに関する議論はこちらをご覧ください:
https://live.paloaltonetworks.com/t5/General-Topics/Proxy-IDs-help/m-p/3579#M2638
コミュニティメンバーの Neo.The.One は、IPSec プロキシ ID に関するこのトピック VPN を投稿しました。 彼は VPN チェックポイントを設定 firewall していましたが、 ID このトンネルを正常に動作させるために必要なプロキシ設定を知る必要 VPN がありました。
ネオは2つのシナリオを持っていた:
ケース 1
私の内部ネットワーク VPN (パロアルトネットワーク firewall ):173.16.10.0/24、10.31.0.0/16、10.40.40.0/24
ピアの背後にあるネットワーク (チェック ポイント firewall ): 不明
ケース2
私の内部ネットワーク VPN (パロアルトネットワーク firewall ス): 172.16.10.0/24 、 10.31.0.0.0/16、 10.40.40.0/24
ピアの背後にあるネットワーク (チェックポイント firewall ): 172.16.10.10.0/24、10.31.0.0.0/16/10/40
ライブコミュニティのメンバー HULK とサティッシュの両方がNeo.The.Oneを助けるために素晴らしい答えで答えました。
ハルクが初めて対応しました。彼は SPI 、IPSec のキーを定義するためにプロキシ ID が必要であることを説明しました VPN SPI ESP 。
最初のケース Neo.The.One は、プロキシ ID が正しく設定されていれば解決できます。 ハルクはプロキシ設定の素晴らしいスクリーンショットを提供 ID しました。
ネットワーク > IPSec トンネル > トンネルを選択 > [プロキシ id] タブ
重複するサブネットの問題に対処する場合は、2 番目のケースを解決できます。
IPSec トンネルと重複するサブネットを次の図に示します VPN 。
トンネルの VPN 両側に同じネットワークが存在するので、トラフィックがトンネルを経由してルーティングされる方法はありません。
この問題を解決する唯一の方法は、両方のピア ゲートウェイが NAT (ネットワーク アドレス変換) を作成して、新しい一意のネットワーク サブネットを内部ネットワークに変換するか、または一方の側がサブネットを変更する必要がある IP 場合です。 図を参照してください:
この方法では、どちらかの側のすべてのトラフィックは、 NAT 他の(同じ)ネットワークではなく、新しいアドレスに向かう。
このソリューションでは、この機能を正常に動作させるには、両方 NAT のゲートウェイが必要になります。 しかし、この方法では、どのネットワークがどの側にあるかについての混乱はありません。
ネオサティシュが回答した2つのフォローアップの質問があった:
質問: 彼は0.0.0.0/0を入力する必要がありますか、それとも空白のままにしますか?
答え: アドレスが必要です。
質問:IP彼は、プロキシIDリストにパロアルトネットワークスとピアファイアウォールの外部インターフェイスのアドレスを追加する必要がありますか?
答え: はい、 IP NAT これを正しく機能させるには、外部インターフェイスまたはアドレスのアドレスをプロキシ ID リストに追加する必要があります。
Satish では、このリンクを使用して VPN 構成: IPSec の構成方法も説明VPNしました。
I これにより、プロキシ ID を理解し、トンネルの両側にサブネットが重複している場合の処理が役立つことを願っています VPN 。
ディスカッションを表示するには、次のリンクを使用してください。
https://live.paloaltonetworks.com/t5/General-Topics/Proxy-IDs-help/m-p/3579#M2638
いつものように、我々は以下のコメントですべてのフィードバックと提案を歓迎!
安全を保つ、
ジョー・デリオ