Tipps für die Konfiguration von Juniper SRX IPSEC VPN-Tunnel zu einem Palo Alto Networks Firewall

Übersicht

Dieses Dokument ist intented, einfache Tipps helfen bei der Konfiguration der Wacholder mit Palo Alto Networks VPN zu geben.
In dieser Beispielkonfiguration ist eine Juniper SRX Firewall eine Route-basierten VPN-Konfiguration am Palo Alto Networks Firewall verwenden.

Tipps

IPSEC-Proxy-IDs

• Das VPN kommen, solange der Proxy IDs auf beiden Seiten übereinstimmen. Es gibt keine Verpflichtung, keine Proxy konfigurieren ID wenn SRX für Route-basierte VPN konfiguriert ist.

SRX sichere Tunnel-Interface-Konfiguration:

• VPN wird mit oder ohne eine IP-Adresse auf Tunnel-Schnittstelle (st0) kommen. Es ist nicht zwingend erforderlich, um eine IP-Adresse nicht auf Tunnel-Schnittstelle haben.
• Senken die MTU auf beiden Geräten wurde festgestellt, um Konnektivität zu helfen. Reduzieren Sie die MTU, bis es stabil ist. Test zeigt ein Wert 1350 ist noch groß genug, aber klein genug, nicht auf dem Weg fallen zu lassen.

SRX-IPSEC-VPN-Konfiguration:

• "PFS Gruppe2" auf der SRX ist gleichbedeutend mit dem "IPSEC Crypto"DH Gruppe 2"Politik auf der Pan.
• "df-Bit löschen" auf der SRX funktioniert gut mit der Pfanne und ermöglicht Pakete größer als 1350 fragmentiert und über den Tunnel gesendet werden.
• Um die Konfiguration zu vereinfachen, deaktivieren Sie Tunnel Überwachung auf der SRX und PA.
• Kunden können "Establish Tunnel sofort" oder "Establish Tunnel auf-Verkehr" auf SRX, ihre VPN zu bringen. Mit der zweiten Option konfiguriert, SRX startet VPN-Verhandlungen nur dann, wenn es den Datenverkehr empfängt, die die konfigurierten Proxy entspricht IDs Die erste Option sorgt dafür, dass SRX VPN Verhandlungen beginnt, sobald ein Commit ausgeführt wird.

SRX-Security-Policy-Konfiguration:

• Wenn der VPN-Tunnel zu vertrauen-Schnittstelle auf die SRX beendet wird, müssen Sie noch eine Sicherheitsrichtlinie, die Vertrauen, Vertrauen Verkehr (innen Schnittstelle zu Tunnel-Schnittstelle) erlaubt.

Besitzer: Panagent