具有 NAT 遍历的 IPSec VPN 隧道

详细

如何在帕洛阿尔托防火墙和 NAT 设备之间配置 IPSec VPN 隧道。

拓扑,

PA1----PA_NAT----PA2

PA1-172.16.9.163 的公共知识产权

PA2-172.16.9.160 的公共知识产权

PA_NAT-172.16.9.171 的公共知识产权

PA2 公共 ip 172.16.9.160 将获得 NATTED PA_NAT 公共 ip 172.16.9.171

PA1 上的配置:

注意：

• 使用 IKE 加密和IPSec 加密配置文件 的默认值。
• Nat 遍历选项是必需的

在 IPSEC 网关中进行 NAT 遍历:

https://live.paloaltonetworks.com/docs/DOC-1692

IKE 网关:

IPSec 隧道:

 PA2 上的配置:

 IKE 网关:

IPSec 隧道:

PA_NAT 设备上的双向 NAT 配置:

下面显示的 NAT 配置为从不信任到不信任的通信,因为 PA_NAT 设备正在从不信任接口上的 PA2 接收 UDP 通信, 并且在应用 NAT 策略后将其路由回 PA1.

下面显示的是 UDP 端口500和4500的双向 NAT 规则:

>>显示运行 nat 策略
NAT_T_IPSEC {
从不信任;
源 172.16.9.160;
不信任;
接口;
目的地 172.16.9.163;
服务 [udp/any/500 udp/any/4500];
转换为 "src: 172.16.9.171 (静态 ip) (池 idx: 2)";        

端子号;
}

NAT_T_IPSEC {
从任何;
来源任何;
不信任;
接口;
目的地 172.16.9.171;
服务 [udp/any/500 udp/any/4500];
翻译为 "dst: 172.16.9.160";
端子号;
}

 从 PA2 (172.16.9.160) 启动 IPSec VPN 隧道,

>>测试 vpn ike-sa
启动 ike sa: 找到总共1个网关.  找到1个 ike sa。

>>测试 vpn ipsec-sa
启动 ipsec sa: 共找到1条隧道.  找到1个 ipsec sa。

在PA_NAT设备上, 请参阅下列会话:

>>显示会话所有筛选应用程序 ike
--------------------------------------------------------------------------------
ID 应用程序状态类型标志 Src [体育]/区域/原始 (已翻译的 IP [端口])
Vsys Dst[Dport]/区域 (已翻译的 IP [端口])
--------------------------------------------------------------------------------
14211 ike 活动流 NS 172.16.9. 160 [500]/不信任/17 (172.16.9. 171 [500])
vsys1 172.169.163 [500]/不信任 (172.16.9. 163 [500])        

 >>显示会话所有筛选器目标端口 4500
--------------------------------------------------------------------------------
ID 应用程序状态类型标志 Src [体育]/区域/原始 (已翻译的 IP [端口])
Vsys                                         Dst [Dport]/区域 (已翻译的 IP [端口])
--------------------------------------------------------------------------------
14210 个 ipsec-esp-udp 活动流 NS 172.16.9. 160 [4500]/不信任/17 (172.16.9. 171 [4500])
vsys1                                         172.16.9. 163 [4500]/不信任 (172.16.9. 163 [4500])        

隧道在 PA1 和 PA2 上都有:

PA1:

PA2: