Konfiguration von IKEv2 IPSec VPN für Microsoft Azure Environment

Konfiguration von IKEv2 IPSec VPN für Microsoft Azure Environment

458194
Created On 09/27/18 06:05 AM - Last Modified 06/01/23 07:51 AM


Resolution


Microsoft Azure benötigt IKEv2 für dynamisches Routing, auch als Routen basiertes VPN bekannt. Ikev1 ist nur auf statische Routing beschränkt.  Für weitere Informationen über Microsoft Azure VPN-Anforderungen und unterstützte Krypto-Parameter für ikev1 und IKEv2, Referenz:

https://docs.Microsoft.com/en-US/Azure/VPN-Gateway/VPN-Gateway-about-VPN-Devices

 

Microsofts dynamisches Routing erfordert nur, dass Sie IP-Adressbereiche für jede der lokalen Netzwerkseiten haben, die Sie mit Azure verbinden.  Es handelt sich um eine Routen basierte VPN-Verbindung, die IP-Adressbereiche verwendet, die auf Gateways und IKEv2 definiert sind, um automatisch die unterstützten Routing-Präfixe auszuhandeln.  Dies wird unter dem IKEv2 als "Traffic Selector Verhandlung" bezeichnet. RFC und Pan-OS verwendet Proxy-IDs, um die IP-Adressbereiche zu konfigurieren.

 

Ein Beispiel, wie man eine Multi-Site-Topologie erstellt, Referenz:

https://docs.Microsoft.com/en-US/Azure/VPN-Gateway/VPN-Gateway-about-vpngateways

 

Benutzer hinzugefügt BildBenutzer hinzugefügt Bild

 

IKEv2 wird in Pan-OS 7.1.4 und neueren Versionen unterstützt und unterstützt die notwendigen Routen basierten VPN und Crypto-profile voll und ganz, um sich mit der dynamischen VPN-Architektur von MS Azure zu verbinden. Dieses Dokument diskutiert die Grundkonfiguration auf einer Palo Alto Networks Firewall für die gleiche. Die Konfiguration der Microsoft Azure-Umgebung wird in diesem Dokument nicht diskutiert, und Sie sollten die Dokumentation von Microsoft verweisen, um VPN-Gateway in der Azure-Umgebung einzurichten.

Hinweis: Palo Alto Networks empfiehlt, Pan-OS zuerst auf 7.1.4 oder höher zu aktualisieren, bevor es weiter geht.

 

Konfiguration des Microsoft Azure Portals

Für Anleitungen zur Konfiguration des Azure VPN über das Azure-Portal besuchen Sie bitte die Microsoft-Seite hier:

Erstellen Sie ein vnet mit einer Site-to-Site-Verbindung über das Azure-Portal

 

Wenn Sie eine Anleitung mit PowerShell benötigen, sehen Sie hier:

Erstellen Sie ein vnet mit einer Website-to-Site-VPN-Verbindung mit PowerShell

 

Wenn Sie eine Anleitung über das klassische Portal benötigen, sehen Sie hier:

Erstellen Sie ein vnet mit einer Site-to-Site-Verbindung über das klassische Portal

 

Konfiguration der Palo Alto Networks Firewall

Hier "ist ein Schritt für Schritt Leitfaden, wie man das VPN für eine Palo Alto Networks Firewall einrichten.

Für dieses Beispiel wurde die folgende Topologie verwendet, um einen PA-200 Running Pan-OS 7.1.4 mit einem MS Azure VPN Gateway zu verbinden.

 

Für das Pan-OS IKEv2 Crypto-Profil müssen Sie eine Kombination aus Microsoft Azure-unterstützten Krypto-Parametern wählen, wie Sie in den IPSec-Parametern von Microsoft angegeben sind (siehe erste Referenz Link oben).  In unserem Beispiel wurden die folgenden IKE, IPSec und Crypto Profil Parameter verwendet.  Hinweis: öffentliche IP-Adressen wurden zum Zweck dieses Beispiels geändert.

 

Tunnel-Schnittstelle

  1. Im Inneren des WebGui in Netzwerk > Interfaces > Tunnel, eine neue Tunnel Schnittstelle hinzufügen.  Wählen Sie einen virtuellen Router und eine entsprechende Sicherheitszone.
  2. Optional: zuweisen Sie eine IP auf dem gleichen Subnetz wie das Azure Gateway für dynamisches Routing und/oder Tunnelüberwachung innerhalb der IPv4-Registerkarte.
    Benutzer hinzugefügt BildTunnel Schnittstellen Fenster

 

IKE-Gateway

  1. Fügen Sie ein IKE-Gateway (Netzwerk > Netzwerk Profile > IKE Gateway) hinzu. Folgende Werte sind zu konfigurieren:
    1. Version: auf 'IKEv2 only Mode' oder 'IKEv2 Preferred Mode'
      Benutzer hinzugefügt BildIKE Gateway Fenster gesetzt
    2. Interface: auf die öffentliche (Internet) gerichtete Schnittstelle der Firewall gesetzt, die verwendet wird, um sich mit Azure zu verbinden.
    3. Lokale IP-Adresse: IP-Adresse der externen Schnittstelle der Firewall. Wenn nicht hinter einem NAT-Gerät, wird dies die VPN-Gateway-Adresse, wie in Azure konfiguriert.
    4. Peer-IP-Adresse: IP-Adresse des Azure VPN Gateway. Dies kann über das Azure Virtual Network Dashboard erreicht werden. Hinweis: Vergewissern Sie sich, dass Sie die NAT-Ed IP auf Azure verwenden, um die Peer-IP zu definieren.
    5. Vorgeteilter Schlüssel: Azure verwendet einen vorab geteilten Schlüssel(PSK oder vorgeteiltes Geheimnis) zur Authentifizierung. Der Schlüssel sollte als der gleiche Wert auf Azure VPN-Einstellungen und Palo Alto Networks ' Firewall konfiguriert werden.
      (Hinweis: siehe Links oben für Azure-Konfigurationsinformationen)
    6. lassen Sie auf der Registerkarte Erweiterte Optionen den passiven Modus (als Responder eingestellt) unkontrolliert und lassen Sie in der IKEv2-Sektion die Lebensfähigkeit aktivieren . Hinweis: Aktivieren Sie NAT Überschreitung, wenn die Firewall hinter einem NAT-Gerät steht.
      Benutzer hinzugefügt BildIKE Gateway-Fenster-Erweiterte Optionen
       
    7. 'IKE Crypto profile' wird auf den Standard gesetzt. Ein neues Crypto-Profil kann so definiert werden, dass es den IKE-Krypto-Einstellungen von Azure VPN entspricht.
      DH Group: group2

      Verschlüsselung: AES-256-CBC, 3DES

      Authentifizierung: SHA1, SHA256

      Hinweis: Lebensdauer länger als Azure-Einstellungen einstellen, um sicherzustellen, dass Azure die Tasten beim Re-Keying erneuert. Phase 1 Lebensdauer auf 28800 Sekunden einstellen.
      Benutzer hinzugefügt BildPan-OS IKEv2 Crypto profile Window.

 

IPSec-Tunnel

Fügen Sie einen neuen IPSec-Tunnel (Network->IPSec-Tunnel) hinzu. Folgende Werte sind zu konfigurieren:
  1. Tunnel Schnittstelle: Wählen Sie die konfigurierte Tunnel Schnittstelle in Schritt 1. oben.
    (optional: Verwenden Sie die "erweiterten Optionen anzeigen", um die Tunnelüberwachung zu konfigurieren, falls gewünscht.)
    Benutzer hinzugefügt BildIPSec Tunnel Fenster
  2. IKE Gateway: Wählen Sie das in Schritt 2 konfigurierte IKE-Gateway. oben.
  3. IPSec Crypto profile:(Netzwerk > Netzwerk Profile > IPSec Crypto) wählen Sie ein 'IPSec Crypto profile'. Das kann Standard sein, wenn es mit den Azure-Einstellungen übereinstimmt, ansonsten wird ein neues mit Add am unteren Rand des IPSec-Crypto-Fensters erstellt.

    Verschlüsselung: AES256-CBC

    Authentifizierung: SHA1

    DH-Gruppe: No-PFS

    Hinweis: Lebensdauer länger als Azure-Einstellungen einstellen, um sicherzustellen, dass Azure die Tasten beim Re-Keying erneuert. Set IPSec (Phase 2) Lebensdauer auf 8400 Sekunden
    Benutzer hinzugefügt BildIPSec Crypto Profil Fenster

  

Netzwerk Erreichbarkeit

In "Route based VPNs" wird die Routing-Engine des Geräts (s) verwendet, um die Erreichbarkeit auch für alle VPN-Netze zu bestimmen.

  1. Verwenden Sie die Einstellungen "virtueller Router" (Netzwerk-> virtueller Router->), um eine statische Route für das entfernte Netzwerk mit der Schnittstelle zu schaffen, die die in Schritt 1 konfigurierte Tunnel Schnittstelle ist.</VR> Dies sollte den lokalen Netzwerkeinstellungen auf Azure entsprechen.
    Benutzer hinzugefügt BildVirtuelles Router-Fenster-statische Route-IPv4

 

IPSec Tunnel Konfiguration

Sie können optional "Tunnel Monitor" konfigurieren, um eine IP-Adresse auf der Microsoft Azure-Seite zu Ping.  Sie müssen auch die notwendigen Proxy-IDs (IP-Adressbereiche) für die lokalen und entfernten Netzwerke mit der Registerkarte Proxy-ID konfigurieren.  Auf diese Weise werden Routen basierte VPNs für "Dynamic Routing" in der Microsoft Azure-Umgebung konfiguriert.

Benutzer hinzugefügt Bild

 

Die Verbindung überprüfen

Auf der Pan-OS-Firewall unter der Menüoption IPSec Tunnels, überprüfen Sie das UI, um sicherzustellen, dass der Tunnel, den Sie erstellt haben, läuft. Die Status Spalten für das IKE-Gateway und die Tunnel Schnittstelle sollten grün sein, wenn IKEv2 richtig verhandelt und der IPSec-Phase-2-Tunnel aufgebracht wurde.

 

Sie können auch auf dem System Protokoll für den "VPN"-Typ filtern, um die IKE-Verhandlungs Nachrichten zu sehen.  Für den VPN-Verbindungsstatus von Microsoft Azure lesen Sie bitte die oben genannten Microsoft-Referenzen.

 

Eine allgemeine Überprüfung, die Sie verwenden können, ist:

> VPN-Tunnel anzeigen

TnID Name (Gateway) lokaler Proxy IP PTL: Port Remote Proxy IP PTL: Port-Vorschläge
---- ------------- -------------- -------- ------------ --- -------- ---------

 

Weitere Befehle, um die VPN-Verbindungen zu beheben, finden Sie unter:

Gewusst wie: Problembehandlung bei IPSec-VPN-Verbindungsprobleme

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm6WCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language