Consejos para la configuración de un túnel VPN IPSEC SRX de Juniper a un Palo Alto Networks Firewall

Resumen

Este documento es intented para dar consejos para ayudar en la configuración de un enebro a Palo Alto Networks VPN.
En esta configuración de ejemplo, un firewall Juniper SRX está utilizando una configuración de VPN basada en ruta que en un cortafuegos de Palo Alto Networks.

Consejos

IPSEC Proxy IDs

• La VPN subirán mientras el proxy ID coinciden en ambos lados. Hay ningún requisito para no configurar proxy ID si SRX está configurado para ruta basado en VPN.

Configuración de interfaz de túnel seguro SRX:

• VPN se están con o sin una dirección IP en la interfaz de túnel (st0). No obligatorio para no tener una IP en la interfaz de túnel.
• Reducir el MTU en ambos dispositivos se ha encontrado para ayudar a la conectividad. Reducir el MTU que quede estable. Prueba muestra un valor de 1350 es todavía no lo suficientemente grande, pero lo suficientemente pequeño como para ser caído por el camino.

Configuración de VPN IPSEC SRX:

• "PFS grupo2" en el SRX es sinónimo con el "Crypto IPSEC"DH group 2"política en el PAN.
• "df-poco clara" sobre el SRX funciona bien con el PAN y permite paquetes de más de 1350 a ser fragmentado y enviado a través del túnel.
• Para simplificar la configuración, desactivar control de túnel en el SRX y el PA.
• Los clientes pueden configurar "Establecer túneles inmediatamente" o "Establecer túneles en tráfico" en SRX para que aparezca su VPN. Con la segunda opción configurada, SRX iniciará negociaciones de VPN sólo si recibe tráfico que coincida con el proxy configurado ID La primera opción asegura que SRX inicia las negociaciones de la VPN se realiza un commit.

Configuración de directivas de seguridad SRX:

• Si el túnel VPN termina a la interfaz trust en el SRX, todavía debe tener una política de seguridad que permite tráfico de confianza a la confianza (dentro de la interfaz para la interfaz de túnel).

Propietario: panagent