Mise en route : Couche 3, NAT et DHCP

Mise en route : Couche 3, NAT et DHCP

95338
Created On 09/25/18 19:02 PM - Last Modified 06/01/23 09:29 AM


Resolution


J’ai déballé mon pare-feu et fait ce que vous m’avez dit, maintenant ce qui ?

 

Dans l'acompte précédent, mise en route-la préparation du pare-feu, J'ai déballé mon pare-feu, maintenant quoi?, nous avons décrit les premières étapes après le déballage de votre pare-feu et de le mettre en marche. Cette semaine, nous allons jeter un oeil à où à partir d’ici et configurer les interfaces de la couche 3, mis en place le bon acheminement et activer NAT afin que le pare-feu peut fonctionner comme une passerelle internet.

 

 

Avant que nous commencions, je vais décrire quelques petites choses qui peuvent être différentes dans votre réseau que vous aurez envie de noter :

 

Dans les exemples ci-dessous, mon FAI m’a attribué l’internet sous-réseau IP de 198.51.100.0/28 que je veux commencer à utiliser l’interface untrust du pare-feu au lieu du routeur. Pour y parvenir, NAT devra être désactivé, et peut-être d’autres choses doivent être changées pour y parvenir. Comme les étapes pour y parvenir varient en fonction de plusieurs facteurs, vous devrez peut-être assitance par votre FAI pour reconfigurer votre routeur. Comme il n’est pas absolument nécessaire d’utiliser une plage d’adresses IP publique, vous pouvez tout simplement continuer à utiliser la plage IP de votre fournisseur d’accès fourni.

 

Veuillez noter ces paramètres pour votre réseau :

Mon router IP sera : 198.51.100.1

IP de mon pare-feu sera : 198.51.100.2

Adresse IP interne de mon pare-feu sera : 10.0.0.1

Plage de mon client DHCP sera : 10.0.0.50-10.0.0.250

 

Network.png

 

1. Préparer les zones

 

Pour commencer, nous allons tout d’abord reconfigurer les zones que nous utilisons actuellement pour nos fils virtuel, donc nous pouvons réutiliser les mêmes zones. Si vous préférez changer les noms, vous pouvez faire de nouvelles zones ou simplement renommer ceux déjà existants.

 

  1. Accédez à l’onglet réseau.
  2. Zones ouvertes dans le volet gauche.
  3. Continuez d’ouvrir les objets de zone de confiance et de changer le Type de Layer 3, puis cliquez sur OK. Répétez cette opération pour la zone untrust.

2015-10-21_10-57-07.png

 

 

2015-10-21_10-57-38.png

Ne vous inquiétez pas si la zone interfaces est vide après cette modification,nous allons corriger cela dans l'étape suivante.

 

2. Préparer les interfaces

 

  1. Accédez à l’onglet réseau.
  2. Interfaces ouvertes dans le volet gauche. Nous allons voir nos 2 interfaces VWire qui sont déjà connectés à l’internet mais qui font actuellement défaut de configuration de la zone, en raison de l’étape précédente.
  3. Commencer par ouvrir ethernet1/1, qui sera notre externes, ou untrust, de l’interface. 

2015-10-21_11-06-38.png

 

 

Sur la liste déroulante de Type d’Interface, changer le fil virtuel à Layer 3.

 

2015-10-21_11-09-23.png

 

Ensuite, affectez la valeur default au routeur virtuel et la zone de sécurité à Untrust.

2015-10-21_11-10-37.png

 

Ensuite, nous allons ajouter une adresse IP à l’interface.

  1. Accédez à l’onglet IPv4.
  2. Cliquez sur ajouter.
  3. Entrez l’adresse IP externe fourni votre fournisseur d’accès.

2015-10-21_11-12-55.png

 

Cliquez sur OK et passez à l’ethernet1/2. Définissez l'Interface à Layer3, Virtual Router à default et la zone de sécurité à la confiance.

2015-10-21_11-16-48.png

 

Dans l’onglet IPv4, affectez l’adresse IP de l’interface 10.0.0.1/24 et ouvrez l’onglet Avancé.

2015-10-21_11-16-48.png

 

Dans cet onglet, nous allons définir un profil de gestion qui nous permettra de faire un ping à l’interface, ce qui pourrait être utile si jamais il faut résoudre les problèmes de réseau interne. Dans la liste déroulante profil de gestion, cliquez sur le lien Profil de gestion :

2015-10-21_11-19-20.png

 

Pour l’instant, nous n’autoriserons le service ping sur l’interface.

2015-10-21_11-23-43.png

 

Retour à la page interfaces en cliquant OK sur les boîtes de dialogue de deux configuration. La page interfaces devrait maintenant ressembler à ceci :

2015-10-21_11-29-47.png

 

3. Configuration du routage

 

Ensuite, nous avons besoin pour s’assurer que le pare-feu pourront accéder à Internet, donc il n’ont pas besoin d’une passerelle par défaut.

  1. Accédez à l’onglet réseau.
  2. Ouvrez les routeurs virtuels dans le volet gauche.
  3. Ouvrez le défaut VR (virtual router).

 

2015-10-21_11-33-10.png

 

 

Cela fera apparaître la configuration du routeur virtuel nous utiliserons pour nos nouvelles interfaces de la couche 3. On l’appelle un routeur virtuel parce que le pare-feu n’emploie pas un unique cas de routage, mais peut avoir plusieurs, tous liés à différentes interfaces. Pour les instances de routage très différents les uns des autres et rend la ségrégation au niveau routage réseau possible. Pour l’instant, nous allons coller à celle que nous avons :

 

2015-10-21_11-34-53.png

 

Ajouter un itinéraire statique.

  1. Ouvrir des itinéraires statiques dans le volet gauche.
  2. Cliquez sur Ajouter pour démarrer un nouvel itinéraire.

 

2015-10-21_11-41-24.png

 

Nous allons définir la destination à 0.0.0.0/0, ce qui englobe tous les sous-réseaux IP qui ne sont pas connectés sur le pare-feu et l’interface de sortie ethernet1/1 car il s’agit de l’interface externe connecté au routeur internet. Enfin, nous allons définir l’adresse IP du routeur comme le saut suivant.

 

2015-10-21_11-42-25.png

 

4. Configuration de DHCP

 

Notre prochaine étape sera de permettre à un serveur DHCP sur l’interface de confiance afin que les utilisateurs se connectant au réseau sans une adresse IP statique configurée peuvent se connecter.

 

  1. Accédez à l’onglet réseau.
  2. Dans le volet gauche, ouvrez DHCP.
  3. Cliquez sur Ajouter pour démarrer une nouvelle configuration de serveur DHCP.

 

2015-10-21_11-52-50.png

 

Nous allons définir l’interface ethernet1/2 car il s’agit de l’intérieur interface. Pour empêcher les adresses IP en double dans le réseau au cas où quelqu'un a défini une configuration d'adresse IP statique o leur poste de travail, nous pouvons activer ping IP lors de l'ATTRIBUTION de nouvelles IP.  Cette option envoie un ping sur une adresse IP, prête à être assignée à un hôte. Dans le cas où le ping reçoit une réponse, le serveur DHCP choisit une adresse IP différente pour assigner et répète l’étape. Nous allons définir le contrat de location pour 1 jour et les Pools d’IP de « 10.0.0.50-10.0.0.250 » pour fournir aux utilisateurs avec 201 adresses IP.

 

2015-10-21_12-00-58.png

 

Dans l’onglet Options, nous pouvons configurer quel passerelle par défaut et les serveurs DNS, les clients reçoivent lorsqu’ils demandent une adresse DHCP. Nous devons définir la passerelle comme 10.0.0.1 comme ça c’est l’adresse IP interne du pare-feu. J’ai mis les serveurs DNS de Google 4.2.2.2 et 8.8.8.8, mais vous pouvez configurer les serveurs DNS de votre propre ISP :

2015-10-21_12-02-23.png

Cliquez sur OK pour terminer ce bit et nous allons passer à la dernière partie où nous configurer NAT.

 

5. Configuration NAT

 

La dernière partie de cette configuration consiste à configurer la traduction des adresses réseau. Cela fera en sorte que tous les hôtes internes vont à l’internet à l’aide de l’adresse IP externe du pare-feu comme source. Cela est nécessaire car les plages IP du réseau privé 10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16 ne sont pas routées sur Internet et ne peuvent être utilisées que sur un réseau privé derrière une passerelle compatible NAT.

 

  1. Accédez à l’onglet stratégies.
  2. Ouvrir NAT dans le volet gauche.
  3. Cliquez sur Ajouter pour créer une nouvelle stratégie NAT.

2015-10-21_13-20-03.png

 Nous allons donner la règle NAT un nom facile à identifier :

2015-10-21_13-21-33.png

 

Ensuite, nous allons aller à l' onglet paquet d'origine , où nous allons définir les zones source et de destination et l'interface de destination.

  1. Cliquez sur Ajouter pour insérer une nouvelle zone de source.
  2. Dans le menu déroulant, sélectionnez la zone de confiance.
  3. Dans la zone de destination, choisissez untrust dans la liste déroulante.
  4. Pour l’interface de destination, définissez ethernet1/1, comme il s’agit de l’interface externe.
  5. Laissez tout le reste est et passez à l’onglet Packet traduit.

 

2015-10-21_13-24-41.png

 

Enfin, à partir de l' onglet paquets traduits , nous allons configurer la traduction d'adresses source.  Définissez le type de traduction sur IP et port dynamiques pour garantir que plusieurs clients internes peuvent effectuer des connexions sortantes simultanées cachées derrière une adresse IP.

 

À propos des autresoptions

  • Dynamic IP est très pratique pour masquer un groupe d'ADRESSES IP derrière un autre groupe d'ADRESSES IP de taille égale. Cela peut se produire si une connexion est établie avec un réseau secondaire, où les adresses IP peut-être se chevaucher, ou lorsque le routage vers le sous-réseau LAN n’est pas possible.
  • Adresse IP statique est généralement définie si un seul hôte aura l’usage exclusif d’une adresse IP NAT.

2015-10-21_13-26-46.png

 

En tant que type d'adresse, nous choisirons d'utiliser l'adresse de l'Interface

2015-10-21_13-34-34.png

Sélectionnez ethernet1/1

2015-10-21_13-35-51.png

et sélectionnez son adresse IP configurée.

2015-10-21_13-36-23.png

Cliquez sur OK pour terminer la configuration NAT.

 

6. Nettoyage et validation

 

Une dernière étape avant d’aller de l’avant et de commettre cette configuration est de supprimer l’objet virtuel fil utilisé précédemment.

Accédez à l’onglet réseau et ouvrir des fils virtuel dans le volet gauche. Une fois là, mettez en surbrillance la valeur par défaut-VWire, puis cliquez sur supprimer.

2015-10-21_13-44-35.png

 

Lorsque la valeur par défaut-VWire est supprimé, allez-y et valider la configuration.

2015-10-21_13-46-50.png

2015-10-21_13-41-01.png

2015-10-21_13-49-53.png

2015-10-21_13-51-03.png

 

7. Actualiser l’adresse IP du client et ARP

 

Nous avons maintenant avec succès passé le pare-feu du fil virtuel au déploiement de la couche 3. Une mise en garde à considérer est que maintenant les interfaces ne sont plus agissant comme une bosse-in-the-Wire-thEY ont leur propre adresse Mac et certains clients. Potentiellement, le routeur peut ont besoin d’avoir son cache ARP rafraîchi avant l’interfaces can succesfully communiquer avec le pare-feu.

 

Sur un hôte windows, cela peut être accompli par à partir d’une invite de commandes en tant qu’administrateur

2015-10-21_13-55-19.png

 

et l’exécution « arp -d » pour effacer le cache ARP et ' ipconfig / renew "afin d’obtenir un bail DHCP du nouveau serveur DHCP.

 

C:\ > ARP-d

C:\ > ipconfig/renew

Windows IP configuration

Ethernet Adapter lablan:

 suffixe DNS spécifique à la connexion.    :
 Adresse IP. . . . . . . . . . . . :
 masque de sous-réseau 10.0.0.50. . . . . . . . . . . : 255.255.255.0
 passerelle par défaut. . . . . . . . . : 10.0.0.1

 

J’espère que vous avez apprécié cet article. S’il vous plaît n’hésitez pas à laisser vos commentaires ci-dessous !

 

Cordialement,

Tom Piens

 

Si vous avez apprécié cet article, veuillez également jeter un oeil aux articles du suivi :

J’ai déballé mon pare-feu et que vous souhaitez configurer VLANs — sous-interfaces

J’ai déballé mon pare-feu, mais où sont les journaux ?

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTFCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language