Mise en route : Pare-feu comme Client DHCP ou PPPoE

Mise en route : Pare-feu comme Client DHCP ou PPPoE

130044
Created On 09/25/18 19:02 PM - Last Modified 06/01/23 03:09 AM


Resolution


Lors de la configuration d'un pare-feu dans un bureau plus petit ou dans un emplacement hors réseau, le fournisseur de services Internet local peut seulement être en mesure de vous connecter via un modem câble ou DSL qui requiert que votre interface externe soit configurée en tant que client DHCP ou client PPPoE.

 

Astuce: si votre FAI le prend en charge, essayez d'obtenir une connexion en mode'bridge'afin que l'adresse IP externe soit directement servie à votre interface externe, plutôt qu'à la DSL ou au modem câble. Cela assurera NAT est uniquement fait sur le pare-feu.

 

 

Configuration de l'interface de non-confiance en tant que client

 

La première étape pour obtenir votre pare-feu connecté est de configurer l'interface externe afin qu'il soit en mesure de recevoir des paramètres DHCP ou de mettre en place des négociations PPPoE et se connecter au FAI.

 

Dans l'onglet interfaces, l'interface doit être réglée sur le mode Layer3. S'il vous plaît d'abord jeter un oeil à cet article si vous n'avez pas vu cette étape et vos interfaces sont toujours configurés en mode fil virtuel: mise en route: Layer 3, NAT et DHCP

 

Assurez-vous que le intervace est assigné à un routeur virtuel et à une zone.

2016-08 -23 _12-39 -49. jpg

 

Si le FAI fournit des services DHCP normaux, sélectionnez

 

  1. 'Client DHCP'à partir de l'onglet IPv4 (Remarque: le pare-feu ne prend pas en charge actuellement le mode client DHCP IPv6).
    2016-08 -23 _12-41 -07. jpg

     

  2. Assurez-vous que le mode client DHCP est activé.

  3. Choisissez de créer automatiquement un itinéraire par défaut à partir des paramètres DHCP reçus du FAI. Si cette option n'est pas cochée, une route par défaut doit être ajoutée manuellement dans le routeur virtuel.

     

Si le FAI nécessite une authentification PPPoE, sélectionnez la case d'option PPPoE, assurez-vous que'enable'est sélectionné et indiquez le nom d'utilisateur et le mot de passe que votre FAI a fournis pour votre connexion.

 

2016-08 -23 _12-41 -45. jpg

 

Sélectionnez l'onglet avancé pour entrer des paramètres de connexion supplémentaires.

2016-08 -23 _12-43 -19. jpg

  1. Le protocole d'Authentification peut être réglé sur PAP, CHAP ou auto2016-08 -23 _12-43 -40. jpg
  2. Si le FAI a été en mesure de fournir une adresse IP statique ou sous-réseau, il doit être configuré ici. Si le FAI affecte une adresse IP dynamiquement, ce champ doit être défini sur «None».
  3. Activer l'itinéraire par défaut automatique pour recevoir ces informations à partir de l'homologue PPPoE, si cette option n'est pas sélectionnée, une route par défaut manuelle doit être créée dans le routeur virtuel.
  4. Si cela est requis par le FAI, un concentrateur d'accès et une chaîne de service peuvent être ajoutés à la configuration PPPoE, le point de terminaison PPPoE peut également être défini dans un état passif auquel cas le client attend que le concentrateur d'accès envoie la première image.

Une fois que la méthode désirée a été sélectionnée, cliquez sur OK et valider la configuration. Une fois la validation terminée, les liens'Show PPPoE/DHCP client Runtime Info'commenceront à fonctionner et fourniront des commentaires sur l'état actuel de l'interface.

 

2016-08 -24 _15-35 -10. jpg

L'état du client DHCP inclut les boutons renouveler et libérer, l'état du client PPPoE dispose d'un bouton de connexion ou de déconnexion.

2016-08 -24 _13-39 -31. jpg

 

 

 

Héritage DHCP ou PPPoE sur le sous-réseau local

 

Les informations reçues du serveur DHCP ou PPPoE du FAI peuvent à leur tour être utilisées pour alimenter les clients sur le réseau local avec DNS, WINS, NIS, NTP, POP3, SMTP et DNS suffic en activant l'héritage. De cette façon, les utilisateurs peuvent être affectés à des serveurs DNS spécifiques à la région, par exemple, qui peuvent améliorer la réactivité.

 

Lors de la configuration de l'interface LAN, assurez-vous qu'il est assigné au même routeur virtuel que l'interface de non-approbation et assignez-lui une zone appropriée:

2016-08 -24 _16-17 -56. jpg

 

Attribuer une adresse IP et un masque de sous-réseau à l'interface

2016-08 -24 _16-19 -55. jpg

 

 Ensuite, créez un nouveau profil DHCP et assignez un pool IP dans le sous-réseau de l'interface

2016-08 -24 _15-52 -44. jpg

 

Dans l'onglet options, l'héritage peut être activé:2016-08 -24 _15-54 -08. jpg

 

Vos clients recevront désormais les mêmes paramètres DNS que ceux distribués par le FAI.

 

NAT

 

Étant donné que l'interface de non-confiance n'a pas d'interface statique, toutes les règles NAT sortantes devront simplement être définies uniquement sur le nom de l'interface dans la traduction source

 

2016-08 -24 _16-33 -59. jpg

 

Examen des journaux

 

Dans les journaux système, le sous-type'dhcp'renvoie à la fois le serveur DHCP et les informations client DHCP, le sous-type'pppoe'renverra les journaux de connectivité PPPoE.

 

2016-08 -24 _16-04 -30. jpg

 

 

ou à l'Aide de la commande suivante de l'INTERFACE CLI:

 

> Show log système de sous-type égal DHCP direction égale en arrière

 

 

Sentez-vous svp libre pour commenter ci-dessous!

Reaper
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTKCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language