DotW: utilizar interfaces de bucle invertido para una VPN de IPSec de sitio a sitio

DotW: utilizar interfaces de bucle invertido para una VPN de IPSec de sitio a sitio

78593
Created On 09/25/18 18:59 PM - Last Modified 07/23/19 08:48 AM


Resolution


En la discusión de esta semana de la semana, destacamos una pregunta planteada por el usuario ' Merrick ' sobre el uso de una interfaz de bucle invertido en una configuración VPN de sitio a sitio.

 

2015-09 -21 _14-04 -16. png

 

Aunque la configuración de una VPN de sitio a sitio en una interfaz de bucle invertido introduce complejidad adicional, es posible que algunas situaciones merezcan su uso. UN caso de uso común es la necesidad de establecer la interfaz VPN en una dirección IP alternativa que la interfaz externa.

 

La configuración recomendada es asegurarse de que la interfaz de bucle invertido se encuentra en la misma zona que la interfaz externa (normalmente denominada zona Untrust) y tener la dirección IP de bucle invertido en la misma subred que la interfaz externa. Esta configuración permite una configuración perfecta, casi idéntica a la configuración de la VPN en la interfaz externa. La interfaz del túnel debe estar en una zona diferente, lo que permite políticas de seguridad más detalladas para las sesiones dentro del túnel.

 

A continuación, voy a destacar una implementación menos común de la ejecución de NAT en un bucle interno en una zona diferente, para resaltar algunos requisitos:

 

En este ejemplo, la interfaz de bucle invertido se establece en IP privada 10.2.2.2 en la zona VPN-EXT:

2015-09 -24 _09-24 -39. png

La interfaz del túnel se establece en la zona VPN-int:

2015-09 -24 _09-24 -12. png

 

Para permitir que la interfaz de bucle invertido haga salientes y reciba conexiones VPN entrantes, cree reglas NAT apropiadas: 

2015-09 -24 _09-27 -18. png

 

Y crear una política de seguridad apropiada para permitir que la interfaz de bucle invertido se comunique con los pares IPSec y la interfaz del túnel para conectarse a recursos interno

2015-09 -24 _09-32 -12. png

 

La pasarela IKE local se puede configurar como de costumbre con un par remoto estático...

2015-09 -21 _14-46 -06. png

pero NAT-T necesita ser configurado:

2015-09 -21 _14-30 -56. png

 

Configure la configuración del interlocutor remoto para un par dinámico, incluido NAT-T:

2015-09 -21 _14-57 -30. png

Se requiere la identificación de pares en el extremo remoto, ya que el host recibe la IP privada del bucle invertido como un parámetro de identificación, pero la dirección IP física es diferente debido al NAT Configurtion.

 

Por último, el objeto de túnel IPSec se puede crear sin ninguna configuración especial:

2015-09 -21 _15-10 -32. png

 

Encamine las subredes apropiadas en el túnel a cada lado agregando una ruta:

2015-09 -21 _15-24 -37. png

 

 

Para ver la discusión, consulte el siguiente vínculo: uso de interfaces en bucle para una VPN IPSec de sitio a sitio

 

Animamos a todos los comentarios o sugerencias.

 

¡Gracias por leerme!

 

Tom Piens
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSbCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language