Tunnel VPN IPSec NAT Traversal
Resolution
Détails
Comment configurer le tunnel VPN IPSec sur Palo Alto pare-feu avec périphérique NAT entre les deux.
Topologie,
PA1---PA_NAT---PA2
Adresse IP publique de PA1 - 172.16.9.163
Adresse IP publique de PA2 - 172.16.9.160
Adresse IP publique de PA_NAT - 172.16.9.171
IP publique pA2 172.16.9.160 obtiendrez NATTED à PA_NAT adresse IP publique 172.16.9.171
Configuration sur PA1 :
Remarque :
- Utilisez les valeurs par défaut des profils cryptographiques IKE et IPSec .
- L'option NAT Traversal est obligatoire
NAT-Traversal dans une passerelle IPSEC :
https://Live.paloaltonetworks.com/docs/doc-1692
IKE Gateway :
Tunnel IPSec :
Configuration sur PA2 :
IKE Gateway :
Tunnel IPSec :
Bi-Directional NAT Configuration sur le dispositif de PA_NAT :
Montré ci-dessous NAT est configuré pour le trafic de la méfiance à la méfiance comme PA_NAT périphérique reçoit le trafic UDP à partir de pA2 sur son interface de non-confiance et il est renvoyé à PA1 après l'application de la stratégie NAT.
Ci-dessous est la règle NAT bidirectionnel pour UDP Ports 500 et 4500 :
> afficher l'exécution de nat-Policy
NAT_T_IPSEC {
de la méfiance;
source 172.16.9.160;
à la méfiance;
to-interface;
destination 172.16.9.163;
service [UDP/any/500 UDP/any/4500];
translate-to "SRC: 172.16.9.171 (statique-IP) (pool idx: 2)";
borne no;
}
NAT_T_IPSEC {
de Any;
source any;
à la méfiance;
to-interface;
destination 172.16.9.171;
service [UDP/any/500 UDP/any/4500];
translate-to "DST: 172.16.9.160";
borne no;
}
Initiate tunnel VPN IPSec de PA2 (172.16.9.160),
> test VPN IKE-sa
initier IKE sa: total 1 passerelles trouvées. 1 IKE sa trouvé.
> test VPN IPSec-sa
initier IPSec sa: total 1 tunnels trouvés. 1 IPSec sa trouvé.
Sur le périphérique PA_NAT, voir les sessions suivantes:
> Show session tous les filtres application IKE
--------------------------------------------------------------------------------
ID application État type Flag SRC [Sport]/zone/proto (traduit IP [port])
VSys DST [dport]/zone (traduit IP [port])
--------------------------------------------------------------------------------
14211 IKE active Flow NS 172.16.9.160 [500]/Untrust/17 (172.16.9.171 [500])
vsys1 172,16 .9.163 [500]/Untrust (172.16.9.163 [500])
> Show session tous les filtres destination-port 4500
--------------------------------------------------------------------------------
ID application État type Flag SRC [Sport]/zone/proto (traduit IP [port])
VSys DST [dport]/zone (traduit IP [port])
--------------------------------------------------------------------------------
14210 IPSec-ESP-UDP active Flow NS 172.16.9.160 [4500]/Untrust/17 (172.16.9.171 [4500])
vsys1 172.16.9.163 [4500]/Untrust (172.16.9.163 [4500])
Les tunnels sont en hausse à la fois PA1 et PA2 :
PA1 :
PA2 :