Conseils pour la configuration d’un genévrier SRX IPSEC VPN Tunnel à un Palo Alto Networks pare-feu

Conseils pour la configuration d’un genévrier SRX IPSEC VPN Tunnel à un Palo Alto Networks pare-feu

70315
Created On 09/25/18 19:20 PM - Last Modified 06/15/23 19:35 PM


Resolution


Vue d’ensemble

Ce document est destiné à donner des conseils simples pour aider à configurer un genévrier à Palo Alto Networks VPN.
Dans cet exemple de configuration, un pare-feu Juniper SRX utilise une configuration VPN axées sur la route à destination d’un pare-feu de Palo Alto Networks.

Conseils

IPSEC Proxy IDs

  • Le VPN viendra aussi longtemps que le proxy ID correspondent à deux côtés. Rien n’oblige ne pas configurer proxy ID si SRX est configuré pour VPN axées sur la route.

Configuration de l’Interface Tunnel sécurisé SRX :

  • VPN va monter avec ou sans une adresse IP sur l’interface de tunnel (st0). Ce n’est pas obligatoire de ne pas avoir une adresse IP sur l’interface de tunnel.
  • Réduisant la MTU sur les deux appareils a été trouvé pour aider la connectivité. Réduire le MTU jusqu'à ce qu’il est stable. Test montre une valeur 1350 est encore assez grande, mais assez petit pour ne pas tomber le long du chemin.

Configuration de VPN IPSEC SRX :

  • « PFS group2 » sur le SRX est synonyme de la » Crypto IPSEC « DH groupe 2"de la politique sur le Pan
  • « clear df-bit » sur la SRX fonctionne bien avec la casserole et permet aux paquets plus de 1350 à être fragmentée et envoyé via le tunnel.
  • Pour simplifier la configuration, désactiver la surveillance de tunnel sur la SRX et PA.
  • Les clients peuvent configurer « Tunnels établir immédiatement » ou « Établir les Tunnels sur-trafic » sur SRX pour évoquer leur VPN. Avec la deuxième option configurée, SRX va entamer des négociations de VPN que si elle reçoit du trafic qui correspond le proxy configuré ID ' s La première option assure que SRX commence les négociations VPN dès qu’une validation est effectuée.

Configuration de la sécurité politique SRX :

  • Si le tunnel VPN se termine à l’interface de confiance sur la SRX, vous devez toujours avoir une stratégie de sécurité qui autorise le trafic à la fiducie (à l’intérieur d’interface pour l’interface de tunnel).

propriétaire : panagent
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVTCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language