VPN IPSec túnel con la NAT transversal
Resolution
Detalles
Cómo configurar el túnel IPSec VPN sobre cortafuegos de Palo Alto con dispositivo NAT entre.
Topología,
PA1---PA_NAT---PA2
IP publica de PA1 - 172.16.9.163
IP publica de PA2 - 172.16.9.160
IP publica de PA_NAT - 172.16.9.171
IP pública PA2 172.16.9.160 pondremos NATTED a IP pública PA_NAT 172.16.9.171
Configuración en PA1:
Nota:
- Utilice valores predeterminados para los perfiles criptográficos IKE Crypto e IPSec .
- La opción NAT Traversal es obligatoria
NAT-Traversal en un Gateway IPSEC:
https://Live.paloaltonetworks.com/docs/DOC-1692
Gateway de IKE:
Túnel de IPSec:
Configuración en PA2:
Gateway de IKE:
Túnel de IPSec:
Configuración de NAT bidireccional en dispositivo PA_NAT:
Se muestra a continuación NAT está configurado para el tráfico de desconfianza a desconfianza como PA_NAT dispositivo está recibiendo tráfico UDP de PA2 en su interfaz de desconfianza y se está enrutando de nuevo a PA1 después de aplicar la Directiva NAT.
Se muestra a continuación es la regla NAT bidireccional UDP Ports 500 y 4500:
> Mostrar ejecutando NAT-Policy
NAT_T_IPSEC {
de Untrust;
fuente 172.16.9.160;
a la desconfianza;
a-interfaz;
destino 172.16.9.163;
servicio [UDP/any/500 UDP/any/4500];
translate-to "src: 172.16.9.171 (Static-IP) (Pool IDX: 2)";
terminal no;
}
NAT_T_IPSEC {
from any;
fuente cualquiera;
a la desconfianza;
a-interfaz;
destino 172.16.9.171;
servicio [UDP/any/500 UDP/any/4500];
translate-to "DST: 172.16.9.160";
terminal no;
}
Inician túnel VPN IPSec de PA2 (172.16.9.160),
> prueba de VPN IKE-SA
iniciar IKE SA: total de 1 gateways encontrados. 1 IKE SA encontrado.
> prueba VPN IPSec-SA
iniciar IPsec SA: total de 1 túneles encontrados. 1 se encontró IPSec SA.
En el dispositivo PA_NAT, consulte las siguientes sesiones:
> Mostrar sesión toda la aplicación de filtro IKE
--------------------------------------------------------------------------------ID de estado de la
aplicación de tipo bandera src [Sport]/Zone/proto (traducido IP [puerto])
Vsys DST [dport]/Zone (traducido IP [puerto])
--------------------------------------------------------------------------------
14211 IKE flujo activo NS 172.16.9.160 [500]/Untrust/17 (172.16.9.171 [500])
vsys1 172,16 .9.163 [500]/Untrust (172.16.9.163 [500])
> Mostrar sesión todos los filtros destino-puerto 4500
--------------------------------------------------------------------------------
ID aplicación tipo de estado bandera src [Sport]/Zone/proto (traducido IP [puerto])
Vsys DST [dport]/Zone (traducido IP [puerto])
--------------------------------------------------------------------------------
14210 IPsec-ESP-UDP flujo activo NS 172.16.9.160 [4500]/Untrust/17 (172.16.9.171 [4500])
vsys1 172.16.9.163 [4500]/Untrust (172.16.9.163 [4500])
Los túneles son hasta en PA1 y PA2:
PA1:
PA2: