Tunnel VPN IPSec NAT Traversal

Tunnel VPN IPSec NAT Traversal

204350
Created On 09/26/18 13:47 PM - Last Modified 11/09/23 01:15 AM


Resolution


Détails

Comment configurer le tunnel VPN IPSec sur Palo Alto pare-feu avec périphérique NAT entre les deux.

 

Topologie,

PA1---PA_NAT---PA2

Adresse IP publique de PA1 - 172.16.9.163

Adresse IP publique de PA2 - 172.16.9.160

Adresse IP publique de PA_NAT - 172.16.9.171

 

IP publique pA2 172.16.9.160 obtiendrez NATTED à PA_NAT adresse IP publique 172.16.9.171

 

Configuration sur PA1 :

Remarque :

  • Utilisez les valeurs par défaut des profils cryptographiques IKE et IPSec .
  • L'option NAT Traversal est obligatoire

 

NAT-Traversal dans une passerelle IPSEC :

https://Live.paloaltonetworks.com/docs/doc-1692

 

IKE Gateway :

 

 

Tunnel IPSec :

 

 Configuration sur PA2 :

 IKE Gateway :

 

 

Tunnel IPSec :

 

Bi-Directional NAT Configuration sur le dispositif de PA_NAT :

Montré ci-dessous NAT est configuré pour le trafic de la méfiance à la méfiance comme PA_NAT périphérique reçoit le trafic UDP à partir de pA2 sur son interface de non-confiance et il est renvoyé à PA1 après l'application de la stratégie NAT.

 

 

 

 

Ci-dessous est la règle NAT bidirectionnel pour UDP Ports 500 et 4500 :

 

> afficher l'exécution de nat-Policy
NAT_T_IPSEC {
de la méfiance;
 source 172.16.9.160; 
à la méfiance; 
to-interface; 
destination 172.16.9.163; 
service [UDP/any/500 UDP/any/4500]; 
translate-to "SRC: 172.16.9.171 (statique-IP) (pool idx: 2)";        
borne no; 
}

NAT_T_IPSEC {
de Any;
 source any; 
à la méfiance; 
to-interface; 
destination 172.16.9.171; 
service [UDP/any/500 UDP/any/4500]; 
translate-to "DST: 172.16.9.160"; 
borne no; 
}

 

 Initiate tunnel VPN IPSec de PA2 (172.16.9.160),

 

> test VPN IKE-sa
initier IKE sa: total 1 passerelles trouvées.  1 IKE sa trouvé.

 

> test VPN IPSec-sa
initier IPSec sa: total 1 tunnels trouvés.  1 IPSec sa trouvé.

Sur le périphérique PA_NAT, voir les sessions suivantes:

> Show session tous les filtres application IKE
--------------------------------------------------------------------------------
ID application État type Flag SRC [Sport]/zone/proto (traduit IP [port])
VSys DST [dport]/zone (traduit IP [port])
--------------------------------------------------------------------------------
14211 IKE active Flow NS 172.16.9.160 [500]/Untrust/17 (172.16.9.171 [500])
vsys1 172,16 .9.163 [500]/Untrust (172.16.9.163 [500])

 

 > Show session tous les filtres destination-port 4500
--------------------------------------------------------------------------------
ID application État type Flag SRC [Sport]/zone/proto (traduit IP [port])
VSys                                          DST [dport]/zone (traduit IP [port])
--------------------------------------------------------------------------------
14210 IPSec-ESP-UDP active Flow NS 172.16.9.160 [4500]/Untrust/17 (172.16.9.171 [4500])
vsys1                                          172.16.9.163 [4500]/Untrust (172.16.9.163 [4500])

 

Les tunnels sont en hausse à la fois PA1 et PA2 :

 

PA1 :

 

PA2 :

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClopCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language