详细
如何在帕洛阿尔托防火墙和 NAT 设备之间配置 IPSec VPN 隧道。
拓扑,
PA1----PA_NAT----PA2
PA1-172.16.9.163 的公共知识产权
PA2-172.16.9.160 的公共知识产权
PA_NAT-172.16.9.171 的公共知识产权
PA2 公共 ip 172.16.9.160 将获得 NATTED PA_NAT 公共 ip 172.16.9.171
PA1 上的配置:
注意:
- 使用 IKE 加密和IPSec 加密配置文件 的默认值。
- Nat 遍历选项是必需的
在 IPSEC 网关中进行 NAT 遍历:
https://live.paloaltonetworks.com/docs/DOC-1692
IKE 网关:
IPSec 隧道:
PA2 上的配置:
IKE 网关:
IPSec 隧道:
PA_NAT 设备上的双向 NAT 配置:
下面显示的 NAT 配置为从不信任到不信任的通信,因为 PA_NAT 设备正在从不信任接口上的 PA2 接收 UDP 通信, 并且在应用 NAT 策略后将其路由回 PA1.
下面显示的是 UDP 端口500和4500的双向 NAT 规则:
>>显示运行 nat 策略
NAT_T_IPSEC {
从不信任;
源 172.16.9.160;
不信任;
接口;
目的地 172.16.9.163;
服务 [udp/any/500 udp/any/4500];
转换为 "src: 172.16.9.171 (静态 ip) (池 idx: 2)";
端子号;
}
NAT_T_IPSEC {
从任何;
来源任何;
不信任;
接口;
目的地 172.16.9.171;
服务 [udp/any/500 udp/any/4500];
翻译为 "dst: 172.16.9.160";
端子号;
}
从 PA2 (172.16.9.160) 启动 IPSec VPN 隧道,
>>测试 vpn ike-sa
启动 ike sa: 找到总共1个网关. 找到1个 ike sa。
>>测试 vpn ipsec-sa
启动 ipsec sa: 共找到1条隧道. 找到1个 ipsec sa。
在PA_NAT设备上, 请参阅下列会话:
>>显示会话所有筛选应用程序 ike
--------------------------------------------------------------------------------
ID 应用程序状态类型标志 Src [体育]/区域/原始 (已翻译的 IP [端口])
Vsys Dst[Dport]/区域 (已翻译的 IP [端口])
--------------------------------------------------------------------------------
14211 ike 活动流 NS 172.16.9. 160 [500]/不信任/17 (172.16.9. 171 [500])
vsys1 172.169.163 [500]/不信任 (172.16.9. 163 [500])
>>显示会话所有筛选器目标端口 4500
--------------------------------------------------------------------------------
ID 应用程序状态类型标志 Src [体育]/区域/原始 (已翻译的 IP [端口])
Vsys Dst [Dport]/区域 (已翻译的 IP [端口])
--------------------------------------------------------------------------------
14210 个 ipsec-esp-udp 活动流 NS 172.16.9. 160 [4500]/不信任/17 (172.16.9. 171 [4500])
vsys1 172.16.9. 163 [4500]/不信任 (172.16.9. 163 [4500])
隧道在 PA1 和 PA2 上都有:
PA1:
PA2: