IPSec VPN-Tunnel mit NAT Traversal

Details

Gewusst wie: IPSec VPN-Tunnel zwischen auf Palo Alto Firewalls mit NAT-Gerät zu konfigurieren.

Topologie,

PA1---PA_NAT---PA2

Öffentliche IP-Adresse des PA1 - 172.16.9.163

Öffentliche IP-Adresse des PA2 - 172.16.9.160

Öffentliche IP-Adresse des PA_NAT - 172.16.9.171

PA2 öffentliche IP-Adresse 172.16.9.160 erhalten NATTED, PA_NAT öffentliche IP-Adresse 172.16.9.171

Konfiguration auf PA1:

Hinweis:

• Verwenden Sie Standardwerte für IKE Crypto und IPSec Crypto profile .
• NAT Traversal Option ist obligatorisch

NAT-Traversal in ein IPSEC-Gateway:

https://Live.paloaltonetworks.com/docs/doc-1692

IKE-Gateway:

IPSec-Tunnel:

 Konfiguration auf PA2:

 IKE-Gateway:

IPSec-Tunnel:

Bi-direktionale NAT-Konfiguration auf PA_NAT Gerät:

Unten gezeigt, ist NAT für den Traffic von unvertrauen zu Untrust konfiguriert, da PA_NAT-Gerät UDP-Traffic von PA2 auf seiner Untrust-Schnittstelle empfängt und es nach der Anwendung von NAT-Richtlinien wieder an PA1 weitergeleitet wird.

Unten ist die Bi-direktionale NAT-Regel für die UDP Ports 500 und 4500:

> Show Running NAT-Policy
NAT_T_IPSEC {
from Untrust;
 Quelle 172.16.9.160; 
zu veruntrauen; 
to-Interface; 
Destination 172.16.9.163; 
Service [UDP/any/500 UDP/any/4500]; 
übersetzen-auf "src: 172.16.9.171 (Static-IP) (Pool IDX: 2)";        

Terminal Nr. 
}

NAT_T_IPSEC {
von Any;
 Quelle any; 
zu veruntrauen; 
to-Interface; 
Destination 172.16.9.171; 
Service [UDP/any/500 UDP/any/4500]; 
übersetzen-zu "DST: 172.16.9.160"; 
Terminal Nr. 
}

 Initiieren IPSec VPN-Tunnel von PA2 (172.16.9.160),

> Test VPN IKE-SA
initiieren IKE SA: insgesamt 1 Gateways gefunden.  1 IKE SA gefunden.

> Test VPN IPSec-SA
initiieren IPSec SA: insgesamt 1 Tunnel gefunden.  1 IPSec SA gefunden.

Auf PA_NAT Gerät sehen Sie die folgenden Sitzungen:

> Session alle Filter-Anwendung IKE
--------------------------------------------------------------------------------
ID-Anwendung staatstyp Flag src [Sport]/Zone/Proto (übersetzt IP [Port])
Vsys DST [dport]/Zone (übersetzte IP [Port])
--------------------------------------------------------------------------------
14211 IKE Active Flow NS 172.16.9.160 [500]/Untrust/17 (172.16.9.171 [500])
vsys1 172,16 .9.163 [500]/Untrust (172.16.9.163 [500])        

 > Session alle Filter Destination-Port 4500
--------------------------------------------------------------------------------
ID-Anwendung State-Typ-Flagge src [Sport]/Zone/Proto (übersetzt IP [Port])
Vsys                                          DST [dport]/Zone (übersetzte IP [Port])
--------------------------------------------------------------------------------
14210 IPSec-ESP-UDP Active Flow NS 172.16.9.160 [4500]/Untrust/17 (172.16.9.171 [4500])
vsys1                                          172.16.9.163 [4500]/Untrust (172.16.9.163 [4500])        

Tunnel sind auf PA1 und PA2:

PA1:

PA2: