Configurando IKEv2 IPSec VPN para Microsoft Azure Environment
Resolution
Microsoft Azure requiere IKEv2 para enrutamiento dinámico, también conocido como VPN basado en rutas. IKEv1 se limita únicamente al enrutamiento estático. Para obtener más información sobre los requisitos VPN de Microsoft Azure y los parámetros criptográficos admitidos tanto para IKEv1 como para IKEv2, consulte:
https://docs.Microsoft.com/en-US/Azure/VPN-Gateway/VPN-Gateway-about-VPN-Devices
El enrutamiento dinámico de Microsoft sólo requiere que tenga intervalos de direcciones IP para cada uno de los sitios de red locales que se conectará a Azure. Se trata de una conexión VPN basada en rutas que utiliza intervalos de direcciones IP definidos en gateways y IKEv2 para negociar automáticamente los prefijos de enrutamiento admitidos. Esto se conoce como "negociación de selector de tráfico" en el RFC IKEv2 y pan-os utiliza IDS proxy para configurar los intervalos de direcciones IP.
Para obtener un ejemplo de cómo crear una topología de varios sitios, consulte:
https://docs.Microsoft.com/en-US/Azure/VPN-Gateway/VPN-Gateway-about-vpngateways
IKEv2 es compatible con pan-os 7.1.4 y versiones más recientes, y soporta completamente los perfiles de VPN y Crypto basados en Route necesarios para conectarse a la arquitectura dinámica VPN de MS Azure. Este documento analiza la configuración básica de un cortafuegos Palo Alto Networks para el mismo. La configuración del entorno de Microsoft Azure no se discute en este documento y debe referirse a la documentación de Microsoft para configurar el Gateway VPN en el entorno Azure.
Nota: Palo Alto Networks recomienda actualizar pan-os a 7.1.4 o por encima primero antes de continuar.
Configuración del portal de Microsoft Azure
Para obtener instrucciones sobre cómo configurar la VPN Azure a través del portal Azure, visite el sitio de Microsoft aquí:
Crear un VNet con una conexión de sitio a sitio mediante el portal Azure
Si necesita instrucciones usando PowerShell, consulte aquí:
Crear un VNet con una conexión VPN de sitio a sitio mediante PowerShell
Si necesita instrucciones usando el portal clásico, consulte aquí:
Crear un VNet con una conexión de sitio a sitio mediante el portal clásico
Configuración del cortafuegos de Palo Alto Networks
Aquí ' es una guía paso a paso sobre cómo configurar la VPN para un firewall Palo Alto Networks.
Para este ejemplo, se usó la siguiente topología para conectar un PA-200 ejecutando pan-os 7.1.4 a un Gateway VPN MS Azure.
Para el perfil criptográfico pan-os IKEv2, debe seleccionar una combinación de parámetros criptográficos compatibles con Microsoft Azure como se indica en los parámetros IPSec de Microsoft (consulte el primer enlace de referencia anterior). En nuestro ejemplo se utilizaron los siguientes parámetros de IKE, IPSec y Crypto Profile. Nota: se cambiaron las direcciones IP públicas para el propósito de este ejemplo.
Interfaz de túnel
- Dentro de la webgui en la red > interfaces > túnel, añadir una nueva interfaz de túnel. Seleccione un enrutador virtual y una zona de seguridad adecuada.
- Opcional: asigne una IP en la misma subred que la pasarela Azure para el enrutamiento dinámico y/o la supervisión del túnel dentro de la ficha IPv4.
Ventana de interfaz de túnel
Gateway de IKE
- Agregar una pasarela IKE (red > perfiles de red > Gateway IKE). Se configurarán los siguientes valores:
- Versión: establecer en elmodo ' IKEv2 Only' o 'IKEv2 ' modo preferido'
IKE Gateway Window
- Interfaz: se establece en la interfaz pública (Internet) frente al firewall utilizado para conectarse a Azure.
- Dirección IP local: dirección IP de la interfaz externa del firewall. Si no detrás de un dispositivo NAT, esta será la dirección de la puerta de enlace VPN como configurado en azul.
- Dirección IP del mismo nivel: dirección IP de la puerta de enlace VPN Azure. Esto se puede obtener en el panel azul de la red virtual. Nota: Asegúrese de utilizar la IP de NAT-Ed en Azure para definir la IP del mismo nivel.
- Clave pre-compartida: Azure utiliza una clave pre-compartida(PSK o secreto pre-compartido) para la autenticación. La clave debe ser configurada como el mismo valor en Azure configuración VPN y el Firewall de Palo Alto Networks.
(Nota: ver enlaces arriba para información de configuración de Azure) - En la ficha Opciones avanzadas , deje activada la opción Activar modo pasivo (establecer como responder) y, en la sección IKEv2, deje activado el control de liveness . Nota: habilite NAT Traversal si el Firewall está detrás de un dispositivo NAT.
IKE Gateway Window-opciones avanzadas
- 'IKE Crypto Profile' está configurado como predeterminado. Un nuevo perfil criptográfico se puede definir para que coincida con la configuración de IKE Crypto de Azure VPN.
Grupo DH: grupo2Encriptación: AES-256-CBC, 3DES
Autenticación: SHA1, SHA256
Nota: Configure los valores de vida más largos que los de Azure para asegurarse de que Azure renueva las teclas durante la re-incrustación. Fije la duración de la fase 1 a 28800 segundos.
Ventana de perfil criptográfico pan-os IKEv2.
- Versión: establecer en elmodo ' IKEv2 Only' o 'IKEv2 ' modo preferido'
Túnel IPSec
Agregar un nuevo túnel IPSec (túneles IPSec de red->). Se configurarán los siguientes valores:
- Interfaz de túnel: seleccione la interfaz de túnel configurada en el paso 1. por encima.
(opcional: Utilice la opción ' Mostrar opciones avanzadas ' para configurar la supervisión del túnel, si lo desea.)
Ventana de túnel IPSec
- IKE Gateway: seleccione la puerta de enlace IKE configurada en el paso 2. por encima.
- Perfil criptográfico IPSec:(red > perfiles de red > IPSec Crypto) Seleccione un 'perfil criptográfico IPSec'. Esto puede ser predeterminado si coincide con la configuración Azure, de lo contrario crear uno nuevo con Add en la parte inferior de la ventana de criptografía de IPSec.
Encriptación: AES256-CBC
Autenticación: SHA1
Grupo DH: no-SLP
Nota: Configure los valores de vida más largos que los de Azure para asegurarse de que Azure renueva las teclas durante la re-incrustación. Configurar IPsec (fase 2) Lifetime a 8400 segundos
ventana de perfil criptográfico IPSec
Alcance de la red
En ' VPN basada en rutas ', el motor de enrutamiento del dispositivo (s) se utiliza para determinar la alcanzabilidad incluso para cualquier red VPN.
- Utilice la configuración de ' enrutador virtual ' (red-> router virtual->) para agregar una ruta estática para la red remota con la interfaz establecida como la interfaz del túnel configurada en el paso 1.</VR> Esto debe coincidir con la configuración de red local en Azure.
Ventana de enrutador virtual-ruta estática-IPv4
Configuración del túnel IPSec
Opcionalmente puede configurar "Tunnel monitor" para hacer ping a una dirección IP en el lado de Microsoft Azure. También tendrá que configurar los ID de proxy necesarios (intervalos de direcciones IP) para las redes locales y remotas mediante la ficha proxy ID. Así se configuran las VPNs basadas en rutas para el "enrutamiento dinámico" en el entorno de Microsoft Azure.
Comprobación de la conexión
En el cortafuegos de pan-os en la opción de menú túneles IPSEC, Compruebe la interfaz de usuario para asegurarse de que el túnel que ha creado está en funcionamiento. Las columnas de estado para la puerta de enlace IKE y la interfaz del túnel deben ser verdes si IKEv2 se negoció correctamente y se trajo el túnel de fase 2 de IPSec.
También puede filtrar en el registro del sistema para el tipo "VPN" para ver los mensajes de negociación IKE. Para obtener el estado de conexión VPN de Microsoft Azure, consulte las referencias de Microsoft indicadas anteriormente.
Una comprobación general que puede utilizar es:
> Mostrar túnel VPN TnID Name (Gateway) local proxy IP PTL: Puerto proxy remoto IP PTL: propuestas de Puerto ---- ------------- -------------- -------- ------------ --- -------- ---------
Para obtener más comandos que ayuden a solucionar las conexiones VPN, consulte:
Cómo solucionar problemas de IPSec VPN conectividad