需要代理ID的帮助? 看起来像一个热门话题在我们的生活社区。 看看一些不同的场景, 看看我们的社区对这个话题有什么专长, 看看我们推荐什么样的解决方案。
请参阅本周本周讨论 (DotW) 的代理 ID 的讨论:
https://live.paloaltonetworks.com/t5/General-Topics/Proxy-IDs-help/m-p/3579#M2638
社区成员Neo.The.One发布了这个关于IPSec VPN 代理ID的话题。 他正在设置一 VPN 个检查点 firewall ,需要知道需要什么代理 ID 设置才能使这个 VPN 隧道正常工作。
Neo.The.One 有2种情况:
案例 1
我的内部网络 VPN (帕洛阿尔托网络 firewall ): 173.16.10.0/24, 10.31.0.0/16, 10.40.40.0/24
对等网络(检查点 firewall ):未知
案例2
我的内部网络 VPN (帕洛阿尔托网络 firewall ): 172.16.10.0/24, 10.31.0.0/16, 10.40.40.0/24
对等网络(检查点 firewall ):完全相同,如 172.16.10.0/24, 10.31.0/16, 10.40.40.0/24
现场社区成员 HULK 和萨蒂什都做出了很好的回答来帮助 Neo. the. one 。
绿巨人是第一个回应。他解释说,代理 ID 需要定义 SPI IPSec 中的密钥 VPN 。 SPI 是一个关键对,用于封装和斩首 ESP 数据包。
第一个案例Neo.The.如果代理ID配置正确,可以解决。 绿巨人提供了代理配置的一个伟大的截图 ID 。
网络 > IPSec 隧道 >> 选择隧道 > 代理 id 选项卡
如果解决重叠的子网问题,可以解决第二个案例。
请参阅以下图表,显示与 IPSec 隧道重叠的子网 VPN :
由于 VPN 隧道两侧都存在相同的网络,因此无法让交通通过隧道。
解决这个问题的唯一方法是让两个对等网关创建NAT(网络地址翻译),将一个新的、独特的网络子网转换为内部网络,或者一方必须更改子网 IP 。 请参阅图:
这样,任何一方的所有流量都将注定要使用 新 NAT 地址,而不是其他(相同的)网络。
在此解决方案中,两个网关都必须执行 NAT 才能正常工作。 但这样, 就不会混淆哪个网络在哪一边。
Neo.The.One 有2个后续问题, 萨蒂什·南比亚尔回答:
问题: 他必须输入 0.0.0/0 还是将其留空?
答案: 需要地址。
问题: 他必须在代理 ID IP 列表中添加 Palo Alto 网络外部接口和同行防火墙的地址吗?
答案: 是的,您必须将 IP 外部界面或 NAT 地址的地址添加到代理 ID 列表中,才能使此地址正常工作。
萨蒂什还提供了这个链接, 以帮助 VPN 与配置: 如何配置 Ipsec VPN
I 希望这能帮助您了解代理 ID 以及如果您在隧道两侧有重叠的子网该怎么办 VPN 。
要查看讨论, 请使用以下链接:
https://live.paloaltonetworks.com/t5/General-Topics/Proxy-IDs-help/m-p/3579#M2638
一如既往, 我们欢迎所有的反馈意见和建议在下面的评论!
保持安全,
乔·迪利奥