DotW: Verwendung von Loopback-SchnittStellen für eine Website-to-Site IPSec VPN

DotW: Verwendung von Loopback-SchnittStellen für eine Website-to-Site IPSec VPN

78543
Created On 09/25/18 18:59 PM - Last Modified 07/23/19 08:48 AM


Resolution


In der Diskussion der Woche in dieser Woche heben wir eine Frage hervor, die von User ' Merrick ' über die Verwendung einer Loopback-Schnittstelle in einer VPN-Konfiguration vor Ort gestellt wird.

 

2015-09 -21 _14-04 -16. png

 

Obwohl die Konfiguration eines Site-to-Site-VPN auf einer Loopback-Schnittstelle zusätzliche Komplexität einführt, können einige Situationen seinen Einsatz verdienen. EIN gängiger Anwendungsfall ist die Notwendigkeit, die VPN-Schnittstelle auf eine Alternative IP-Adresse als die externe Schnittstelle zu setzen.

 

Die Empfohlene Konfiguration besteht darin, sicherzustellen, dass sich die Loopback-Schnittstelle in der gleichen Zone wie die externe Schnittstelle befindet (in der Regel als Untrust-Zone bezeichnet), und die Loopback-IP-Adresse im gleichen Subnetz wie die externe Schnittstelle haben. Dieses Setup ermöglicht eine nahtlose Konfiguration, die fast identisch mit der Konfiguration des VPN auf der externen Schnittstelle ist. Die Tunnel Schnittstelle sollte sich in einer anderen Zone befinden, was mehr granulare Sicherheitsrichtlinien für Sitzungen im Tunnel ermöglicht.

 

Im folgenden werde ich eine weniger gängige Implementierung der Ausführung von NAT auf einem internen Loopback in einer anderen Zone hervorheben, um einige Anforderungen hervorzuheben:

 

In diesem Beispiel wird die Loopback-Schnittstelle auf private IP-10.2.2.2 in der VPN-ext-Zone eingestellt:

2015-09 -24 _09-24 -39. png

Die Tunnel Schnittstelle ist auf die VPN-int-Zone eingestellt:

2015-09 -24 _09-24.

 

Damit die Loopback-Schnittstelle Outbound machen und eingehende VPN-Verbindungen empfangen kann, erstellen Sie entsprechende NAT-Regeln: 

2015-09 -24 _09-27 -18. png

 

Und erstellen Sie eine angemessene Sicherheitspolitik, damit die Loopback-Schnittstelle mit IPSec-Peers und der Tunnel Schnittstelle kommunizieren kann, um sich mit internen Resouces zu verbinden

2015-09 -24 _09-32. png

 

Das lokale IKE-Gateway kann wie gewohnt mit einem statischen Remote-Peer konfiguriert werden...

2015-09 -21 _14-46 -06. png

aber NAT-T muss konfiguriert werden:

2015-09 -21 _14-30 -56. png

 

Setzen Sie die Konfiguration des entfernten Peer für einen dynamischen Peer, einschließlich NAT-T:

2015-09 -21 _14-57 Uhr. png

Eine Peer-Identifikation am entfernten Ende ist erforderlich, da der Host die private IP des Loopback als Identifikationsparameter erhält, die physische IP-Adresse jedoch aufgrund der NAT-konfigurtion unterschiedlich ist.

 

Schließlich kann das IPSec-Tunnel Objekt ohne besondere Konfiguration erstellt werden:

2015-09 -21 _15-10 -32. png

 

Die entsprechenden Subnetze auf beiden Seiten in den Tunnel leiten, indem man eine Route hinzufügt:

2015-09 -21 _15-24 -37. png

 

 

Um die Diskussion zu sehen, lesen Sie bitte den folgenden Link: mit Loopback-Schnittstellen für eine Site-to-Site IPSec VPN

 

Alle Kommentare oder Anregungen werden gefördert.

 

Danke fürs Lesen!

 

Tom Piens
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSbCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language