Mise en route : VPN

Mise en route : VPN

95808
Created On 09/25/18 18:59 PM - Last Modified 06/13/23 13:50 PM


Resolution


Que peut faire mon pare-feu? Réseaux privés virtuels!

 

Nous avons fait un long chemin depuis le premier déballage ce pare-feu impressionnant. Vous êtes maintenant prêt à configurer des réseaux privés virtuels (VPN). Par où commence-t-on? Tom a préparé non seulement les procédures étape-par-étape pour l'installation, mais une liste de contrôle pour votre prétravail, aussi. Examinons de plus près les réseaux privés virtuels et comment les configurer sur votre pare-feu Palo Alto Networks. Nous allons mettre en évidence un couple de différences qui vous aideront à configurer un tunnel crypté avec des homologues basés sur la route ou des stratégies VPN et vous montrer quelques astuces de dépannage pour vous mettre en place et opérationnel rapidement.

 

Un VPN est une technologie qui crée une connexion réseau sécurisée sur un réseau traditionnel en cryptant toutes les communications entre deux hôtes. Nous allons examiner comment configurer un tunnel de site à site qui utilise un cryptage IPSec fort.

 

Lors de la préparation d'une configuration VPN de site à site, plusieurs fois vous aurez besoin d'avoir une conversation avec l'administrateur distant, qui peut être un collègue ou un étranger complet. Vous devez tout d’abord négocier comment vous va être mise en place de votre tunnel, dont les protocoles à utiliser, et ainsi de suite. Pour faciliter ce processus, il est judicieux de préparer une petite liste de contrôle:

 

  • L'homologue distant a-t-il une adresse IP statique ou dynamique?
  • Qu'est-ce que le sous-réseau distant?
  • IKEv1 ou IKEv2?
  • Authentification de clé ou de certificat pré-partagée?
  • Est-NAT Traversal requis (est L'un des pairs situé derrière une autre passerelle qui exécute NAT)?
  • L'homologue distant est-il basé sur la route ou la stratégie?

et 2 ensembles des attributs suivants, un pour la configuration IKE et un pour IPSec.

 

  • Quel algorithme d'Authentification sera utilisé (SHA1, SHA256,...)?
  • Quel algorithme d'encapsulation sera utilisé (3DES, AES,... )?
  • À quel point la clé de l'échange de clés doit-elle être forte (Diffie-Hellman groupe 1, 20,.. )?
  • Quelle sera la durée de vie clé?

 

Connaître les détails rendra la configuration beaucoup plus facile. Je vais mettre en évidence les implications que certains d'entre eux peuvent avoir dans les exemples de configuration ci-dessous:

 

Une des premières choses que vous pouvez faire après avoir négocié avec votre homologue, ou ayant décidé par vous-même si vous êtes en mesure de gérer les deux points, est de préparer les profils crypto.

Accédez à l'onglet réseau et ajoutez un nouveau profil dans les profils cryptographiques IPSec crypto et IKE:

Crypto IKE

Cryptage IPSec

 

Ensuite, vous devrez créer l'objet homologue représentant la passerelle distante et les propriétés IKE partagées avec cette passerelle pour permettre la négociation d'IPSec. Accédez aux profils de passerelles IKE sous l'onglet réseau et créez un nouvel objet passerelle IKE.

 

Sous l'onglet général, vous pouvez sélectionner la version de IKE à choisir. S'il n'est pas clair quelle version est utilisée par l'homologue distant, vous pouvez opter pour définir IKEv2 comme favori, ce qui permet à IKEv1 de secours si l'homologue distant ne prend pas en charge IKEv2.

 

Une option importante à choisir est le type d'ip d'homologue: un homologue statique a une adresse IP statique et permet la configuration la plus simple. Un homologue dynamique, par exemple, l'homologue a un IP DHCP, n'aura pas la possibilité de définir une adresse IP. Un homologue dynamique nécessite une autre forme d'identification pour s'assurer que la passerelle négocie avec l'hôte approprié.

 

Dans ce cas, sélectionnez la méthode d'Identification d'homologue alternative utilisée en sélectionnant l'une des options dans la liste déroulante et en définissant la valeur dans le champ à côté de celle-ci. Si l'homologue distant nécessite une identification d'homologue supplémentaire ou si votre hôte possède une adresse IP dynamique, vous pouvez également définir l'ID d'homologue local.

 

La méthode d'Authentification peut être définie sur une clé pré-partagée à utiliser sur les deux homologues pour amorcer la négociation, ou un certificat peut être importé pour authentifier la poignée de main.

Passerelle IKE

 Sur la passerelle IKE, sous Options avancées, plusieurs options peuvent être définies pour tenir compte de certaines situations:

  • Le mode passif empêche cette passerelle de faire des négociations sortantes et de répondre uniquement aux demandes de négociation.
  • NAT Traversal permet l'encapsulation UDP sur les protocoles IKE au cas où au moins une des passerelles se trouve derrière une passerelle NAT.
  • Le mode Exchange est sur auto par défaut, mais peut être défini sur main si les deux homologues sont sur une adresse IP statique ou agressive si l'un ou L'autre est sur une adresse IP dynamique.
  • Le profil crypto IKE doit être défini sur le profil que vous avez créé précédemment.
  • La détection des pairs morts est un battement de coeur qui identifie les homologues VPN non disponibles pour aider à restaurer les ressources.
  • Le travail de vérification de l'IKEv2 est similaire à DPD, mais chaque paquet est compté au cours de l'activité et seulement après que l'homologue a été inactif pour la durée configurée d'un paquet vide est envoyé pour vérifier la durée de vie.

Remarque: l'interface de passerelle IKE peut également être définie sur une interface de bouclage (au lieu d'une interface physique). Il est recommandé de mettre cette interface de bouclage dans la même zone que l'interface externe. 

 

Passerelle IKE avancée

 

Ensuite, vous devrez créer une interface tunnel: accédez aux interfaces et ouvrez l'onglet tunnel. Créer une nouvelle interface pour servir d'interface virtuelle au réseau privé virtuel. Il est recommandé de placer l'interface tunnel dans sa propre zone de sorte que les stratégies de sécurité puissent être utilisées pour contrôler l'accès entre le tunnel VPN et les zones locales.

interface tunnel

 

Une fois l'interface configurée, vous pouvez procéder à la création de la phase 2 du tunnel VPN. Accédez au menu tunnels IPSec et créez un nouveau tunnel IPSec.tunnel IPSec

 

Sous l'onglet général de l'objet tunnel IPSec, vous devrez assigner ce profil à l'Interface de tunnel, à la passerelle IKE et au profil crypto que vous avez créé. Si l'homologue distant le prend en charge, vous pouvez également activer le moniteur de tunnel pour autoriser le basculement vers un autre itinéraire au cas où le tunnel tomberait et qu'une sauvegarde est disponible.

 

Sous l'onglet ID proxy, vous devrez peut-être ajouter des ID proxy pour toutes les paires de sous-réseaux locales et distantes autorisées à parcourir le tunnel. Cela n'est généralement requis que si l'homologue distant utilise un VPN basé sur des stratégies.

 

En bref :

  • Un homologue VPN basé sur une stratégie négocie des tunnels VPN basés sur des stratégies, généralement dans des sous-réseaux plus petits et dirige le trafic vers un tunnel à la suite d'une action de stratégie.
  • Un homologue VPN basé sur l'itinéraire, comme un pare-feu de Palo Alto Networks, negiotiates généralement un SuperNet (0.0.0.0/0) et laisse la responsabilité de routage se trouver avec le moteur de routage. Le routeur virtuel s'occupe de diriger le trafic sur le tunnel tandis que les stratégies de sécurité prennent en charge l'accès, et ainsi de suite.

 

Si les ID proxy ne sont pas utilisés, les itinéraires devront être ajoutés au routeur virtuel pour assurer le trafic peut être transféré entre le réseau local et distant.

route statique basée sur l'itinéraire

 

Pour autoriser le trafic entre les deux sites, une stratégie de sécurité doit être créée entre la zone de sécurité locale et la zone de sécurité du tunnel VPN

politique de sécurité

 

Une fois le processus ci-dessus terminé, allez-y et validez cette modification et implémentez la même configuration, avec les informations IP inversées, sur l'extrémité distante.

 

Lorsque les deux extrémités ont été configurées, le tunnel VPN doit s'établir et les icônes d'état dans les tunnels IPSec s'allument en vert pour indiquer la connexion. Obtenez des informations supplémentaires en cliquant sur les liens d'état.

IPSec établi

 

Le journal système peut également contenir des informations clés sur la connexion VPN:

VPN du journal système

 

D'un point de vue de dépannage, il est plus facile si votre périphérique local est l'initiateur, car cela vous permettra une vue dans les messages envoyés et les messages d'erreur potentiels reçus de l'homologue distant pour aider à déterminer S'il ya eu une erreur. Un moyen simple d'amorcer la négociation est via la commande test dans le CLI:

 

pour phase1 IKE

> test VPN IKE-sa 
+ Gateway test for donné IKE Gateway
 | Pipe à travers une commande
 <Enter>entrée de finition

> test VPN IKE-sa 

initier IKE sa: total 1 passerelles trouvées.  </Enter>    1 IKE sa trouvé.

et phase2 IPSec

> test VPN IPSec-sa 
+ tunnel test pour un tunnel VPN donné
 | Tuyau à travers une commande de
 <Enter>fin d'entrée

> test VPN IPSec-sa 

initier 1 IPSec sa.  </Enter>

 Cela pourrait aider à résoudre les erreurs courantes comme une incompatibilité dans le secret pré-partagée:

clé pré-partagée du journal des erreurs

 

Ou des inadéquations dans les profils crypto

erreur de cryptage du journal des erreurs

 

 

J’espère que vous avez aimé cette édition de mise en route. S'il vous plaît n'hésitez pas à laisser un commentaire ou consultez les épisodes précédents à la série Getting Started.

 

Tom

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSYCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language