IPSec VPN-Tunnel mit NAT Traversal
Resolution
Details
Gewusst wie: IPSec VPN-Tunnel zwischen auf Palo Alto Firewalls mit NAT-Gerät zu konfigurieren.
Topologie,
PA1---PA_NAT---PA2
Öffentliche IP-Adresse des PA1 - 172.16.9.163
Öffentliche IP-Adresse des PA2 - 172.16.9.160
Öffentliche IP-Adresse des PA_NAT - 172.16.9.171
PA2 öffentliche IP-Adresse 172.16.9.160 erhalten NATTED, PA_NAT öffentliche IP-Adresse 172.16.9.171
Konfiguration auf PA1:
Hinweis:
- Verwenden Sie Standardwerte für IKE Crypto und IPSec Crypto profile .
- NAT Traversal Option ist obligatorisch
NAT-Traversal in ein IPSEC-Gateway:
https://Live.paloaltonetworks.com/docs/doc-1692
IKE-Gateway:
IPSec-Tunnel:
Konfiguration auf PA2:
IKE-Gateway:
IPSec-Tunnel:
Bi-direktionale NAT-Konfiguration auf PA_NAT Gerät:
Unten gezeigt, ist NAT für den Traffic von unvertrauen zu Untrust konfiguriert, da PA_NAT-Gerät UDP-Traffic von PA2 auf seiner Untrust-Schnittstelle empfängt und es nach der Anwendung von NAT-Richtlinien wieder an PA1 weitergeleitet wird.
Unten ist die Bi-direktionale NAT-Regel für die UDP Ports 500 und 4500:
> Show Running NAT-Policy
NAT_T_IPSEC {
from Untrust;
Quelle 172.16.9.160;
zu veruntrauen;
to-Interface;
Destination 172.16.9.163;
Service [UDP/any/500 UDP/any/4500];
übersetzen-auf "src: 172.16.9.171 (Static-IP) (Pool IDX: 2)";
Terminal Nr.
}
NAT_T_IPSEC {
von Any;
Quelle any;
zu veruntrauen;
to-Interface;
Destination 172.16.9.171;
Service [UDP/any/500 UDP/any/4500];
übersetzen-zu "DST: 172.16.9.160";
Terminal Nr.
}
Initiieren IPSec VPN-Tunnel von PA2 (172.16.9.160),
> Test VPN IKE-SA
initiieren IKE SA: insgesamt 1 Gateways gefunden. 1 IKE SA gefunden.
> Test VPN IPSec-SA
initiieren IPSec SA: insgesamt 1 Tunnel gefunden. 1 IPSec SA gefunden.
Auf PA_NAT Gerät sehen Sie die folgenden Sitzungen:
> Session alle Filter-Anwendung IKE
--------------------------------------------------------------------------------
ID-Anwendung staatstyp Flag src [Sport]/Zone/Proto (übersetzt IP [Port])
Vsys DST [dport]/Zone (übersetzte IP [Port])
--------------------------------------------------------------------------------
14211 IKE Active Flow NS 172.16.9.160 [500]/Untrust/17 (172.16.9.171 [500])
vsys1 172,16 .9.163 [500]/Untrust (172.16.9.163 [500])
> Session alle Filter Destination-Port 4500
--------------------------------------------------------------------------------
ID-Anwendung State-Typ-Flagge src [Sport]/Zone/Proto (übersetzt IP [Port])
Vsys DST [dport]/Zone (übersetzte IP [Port])
--------------------------------------------------------------------------------
14210 IPSec-ESP-UDP Active Flow NS 172.16.9.160 [4500]/Untrust/17 (172.16.9.171 [4500])
vsys1 172.16.9.163 [4500]/Untrust (172.16.9.163 [4500])
Tunnel sind auf PA1 und PA2:
PA1:
PA2: