DotW: 使用重叠 IPs 的 IPSec 代理 id 的帮助

60287

Created On 09/25/18 18:59 PM - Last Modified 06/08/23 02:50 AM

Resolution

需要代理ID的帮助？看起来像一个热门话题在我们的生活社区。看看一些不同的场景, 看看我们的社区对这个话题有什么专长, 看看我们推荐什么样的解决方案。

dotw-12-7-15-pic1 png

社区成员Neo.The.One发布了这个关于IPSec VPN 代理ID的话题。他正在设置一 VPN 个检查点 firewall ，需要知道需要什么代理 ID 设置才能使这个 VPN 隧道正常工作。

Neo.The.One 有2种情况:

我的内部网络 VPN （帕洛阿尔托网络 firewall ）： 173.16.10.0/24， 10.31.0.0/16， 10.40.40.0/24

对等网络（检查点 firewall ）：未知

我的内部网络 VPN （帕洛阿尔托网络 firewall ）： 172.16.10.0/24， 10.31.0.0/16， 10.40.40.0/24
对等网络（检查点 firewall ）：完全相同，如 172.16.10.0/24， 10.31.0/16， 10.40.40.0/24

现场社区成员 HULK 和萨蒂什都做出了很好的回答来帮助 Neo. the. one 。

绿巨人是第一个回应。他解释说，代理 ID 需要定义 SPI IPSec 中的密钥 VPN 。 SPI 是一个关键对，用于封装和斩首 ESP 数据包。

第一个案例Neo.The.如果代理ID配置正确，可以解决。绿巨人提供了代理配置的一个伟大的截图 ID 。

网络 > IPSec 隧道 >> 选择隧道 > 代理 id 选项卡
dotw-12-7-15-pic2. jpg

如果解决重叠的子网问题，可以解决第二个案例。
请参阅以下图表，显示与 IPSec 隧道重叠的子网 VPN ：
dotw-12-7-15-pic2-1. png

由于 VPN 隧道两侧都存在相同的网络，因此无法让交通通过隧道。

解决这个问题的唯一方法是让两个对等网关创建NAT（网络地址翻译），将一个新的、独特的网络子网转换为内部网络，或者一方必须更改子网 IP 。请参阅图:
dotw-12-7-15-pic3-1 png

这样，任何一方的所有流量都将注定要使用新 NAT 地址，而不是其他（相同的）网络。

在此解决方案中，两个网关都必须执行 NAT 才能正常工作。但这样, 就不会混淆哪个网络在哪一边。

Neo.The.One 有2个后续问题, 萨蒂什·南比亚尔回答:

问题： 他必须输入 0.0.0/0 还是将其留空？
答案： 需要地址。

问题： 他必须在代理 ID IP 列表中添加 Palo Alto 网络外部接口和同行防火墙的地址吗？

答案： 是的，您必须将 IP 外部界面或 NAT 地址的地址添加到代理 ID 列表中，才能使此地址正常工作。

萨蒂什还提供了这个链接，以帮助 VPN 与配置： 如何配置 Ipsec VPN

I 希望这能帮助您了解代理 ID 以及如果您在隧道两侧有重叠的子网该怎么办 VPN 。

要查看讨论, 请使用以下链接:

一如既往, 我们欢迎所有的反馈意见和建议在下面的评论!

保持安全，
乔·迪利奥