Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Configurando IKEv2 IPSec VPN para Microsoft Azure Environment - Knowledge Base - Palo Alto Networks

Configurando IKEv2 IPSec VPN para Microsoft Azure Environment

509162
Created On 09/27/18 06:05 AM - Last Modified 06/01/23 07:51 AM


Resolution


Microsoft Azure requiere IKEv2 para enrutamiento dinámico, también conocido como VPN basado en rutas. IKEv1 se limita únicamente al enrutamiento estático.  Para obtener más información sobre los requisitos VPN de Microsoft Azure y los parámetros criptográficos admitidos tanto para IKEv1 como para IKEv2, consulte:

https://docs.Microsoft.com/en-US/Azure/VPN-Gateway/VPN-Gateway-about-VPN-Devices

 

El enrutamiento dinámico de Microsoft sólo requiere que tenga intervalos de direcciones IP para cada uno de los sitios de red locales que se conectará a Azure.  Se trata de una conexión VPN basada en rutas que utiliza intervalos de direcciones IP definidos en gateways y IKEv2 para negociar automáticamente los prefijos de enrutamiento admitidos.  Esto se conoce como "negociación de selector de tráfico" en el RFC IKEv2 y pan-os utiliza IDS proxy para configurar los intervalos de direcciones IP.

 

Para obtener un ejemplo de cómo crear una topología de varios sitios, consulte:

https://docs.Microsoft.com/en-US/Azure/VPN-Gateway/VPN-Gateway-about-vpngateways

 

Imagen de usuario añadidoImagen de usuario añadido

 

IKEv2 es compatible con pan-os 7.1.4 y versiones más recientes, y soporta completamente los perfiles de VPN y Crypto basados en Route necesarios para conectarse a la arquitectura dinámica VPN de MS Azure. Este documento analiza la configuración básica de un cortafuegos Palo Alto Networks para el mismo. La configuración del entorno de Microsoft Azure no se discute en este documento y debe referirse a la documentación de Microsoft para configurar el Gateway VPN en el entorno Azure.

Nota: Palo Alto Networks recomienda actualizar pan-os a 7.1.4 o por encima primero antes de continuar.

 

Configuración del portal de Microsoft Azure

Para obtener instrucciones sobre cómo configurar la VPN Azure a través del portal Azure, visite el sitio de Microsoft aquí:

Crear un VNet con una conexión de sitio a sitio mediante el portal Azure

 

Si necesita instrucciones usando PowerShell, consulte aquí:

Crear un VNet con una conexión VPN de sitio a sitio mediante PowerShell

 

Si necesita instrucciones usando el portal clásico, consulte aquí:

Crear un VNet con una conexión de sitio a sitio mediante el portal clásico

 

Configuración del cortafuegos de Palo Alto Networks

Aquí ' es una guía paso a paso sobre cómo configurar la VPN para un firewall Palo Alto Networks.

Para este ejemplo, se usó la siguiente topología para conectar un PA-200 ejecutando pan-os 7.1.4 a un Gateway VPN MS Azure.

 

Para el perfil criptográfico pan-os IKEv2, debe seleccionar una combinación de parámetros criptográficos compatibles con Microsoft Azure como se indica en los parámetros IPSec de Microsoft (consulte el primer enlace de referencia anterior).  En nuestro ejemplo se utilizaron los siguientes parámetros de IKE, IPSec y Crypto Profile.  Nota: se cambiaron las direcciones IP públicas para el propósito de este ejemplo.

 

Interfaz de túnel

  1. Dentro de la webgui en la red > interfaces > túnel, añadir una nueva interfaz de túnel.  Seleccione un enrutador virtual y una zona de seguridad adecuada.
  2. Opcional: asigne una IP en la misma subred que la pasarela Azure para el enrutamiento dinámico y/o la supervisión del túnel dentro de la ficha IPv4.
    Imagen de usuario añadidoVentana de interfaz de túnel

 

Gateway de IKE

  1. Agregar una pasarela IKE (red > perfiles de red > Gateway IKE). Se configurarán los siguientes valores:
    1. Versión: establecer en elmodo ' IKEv2 Only' o 'IKEv2 ' modo preferido'
      Imagen de usuario añadidoIKE Gateway Window
    2. Interfaz: se establece en la interfaz pública (Internet) frente al firewall utilizado para conectarse a Azure.
    3. Dirección IP local: dirección IP de la interfaz externa del firewall. Si no detrás de un dispositivo NAT, esta será la dirección de la puerta de enlace VPN como configurado en azul.
    4. Dirección IP del mismo nivel: dirección IP de la puerta de enlace VPN Azure. Esto se puede obtener en el panel azul de la red virtual. Nota: Asegúrese de utilizar la IP de NAT-Ed en Azure para definir la IP del mismo nivel.
    5. Clave pre-compartida: Azure utiliza una clave pre-compartida(PSK o secreto pre-compartido) para la autenticación. La clave debe ser configurada como el mismo valor en Azure configuración VPN y el Firewall de Palo Alto Networks.
      (Nota: ver enlaces arriba para información de configuración de Azure)
    6. En la ficha Opciones avanzadas , deje activada la opción Activar modo pasivo (establecer como responder) y, en la sección IKEv2, deje activado el control de liveness . Nota: habilite NAT Traversal si el Firewall está detrás de un dispositivo NAT.
      Imagen de usuario añadidoIKE Gateway Window-opciones avanzadas
       
    7. 'IKE Crypto Profile' está configurado como predeterminado. Un nuevo perfil criptográfico se puede definir para que coincida con la configuración de IKE Crypto de Azure VPN.
      Grupo DH: grupo2

      Encriptación: AES-256-CBC, 3DES

      Autenticación: SHA1, SHA256

      Nota: Configure los valores de vida más largos que los de Azure para asegurarse de que Azure renueva las teclas durante la re-incrustación. Fije la duración de la fase 1 a 28800 segundos.
      Imagen de usuario añadidoVentana de perfil criptográfico pan-os IKEv2.

 

Túnel IPSec

Agregar un nuevo túnel IPSec (túneles IPSec de red->). Se configurarán los siguientes valores:
  1. Interfaz de túnel: seleccione la interfaz de túnel configurada en el paso 1. por encima.
    (opcional: Utilice la opción ' Mostrar opciones avanzadas ' para configurar la supervisión del túnel, si lo desea.)
    Imagen de usuario añadidoVentana de túnel IPSec
  2. IKE Gateway: seleccione la puerta de enlace IKE configurada en el paso 2. por encima.
  3. Perfil criptográfico IPSec:(red > perfiles de red > IPSec Crypto) Seleccione un 'perfil criptográfico IPSec'. Esto puede ser predeterminado si coincide con la configuración Azure, de lo contrario crear uno nuevo con Add en la parte inferior de la ventana de criptografía de IPSec.

    Encriptación: AES256-CBC

    Autenticación: SHA1

    Grupo DH: no-SLP

    Nota: Configure los valores de vida más largos que los de Azure para asegurarse de que Azure renueva las teclas durante la re-incrustación. Configurar IPsec (fase 2) Lifetime a 8400 segundos
    Imagen de usuario añadidoventana de perfil criptográfico IPSec

  

Alcance de la red

En ' VPN basada en rutas ', el motor de enrutamiento del dispositivo (s) se utiliza para determinar la alcanzabilidad incluso para cualquier red VPN.

  1. Utilice la configuración de ' enrutador virtual ' (red-> router virtual->) para agregar una ruta estática para la red remota con la interfaz establecida como la interfaz del túnel configurada en el paso 1.</VR> Esto debe coincidir con la configuración de red local en Azure.
    Imagen de usuario añadidoVentana de enrutador virtual-ruta estática-IPv4

 

Configuración del túnel IPSec

Opcionalmente puede configurar "Tunnel monitor" para hacer ping a una dirección IP en el lado de Microsoft Azure.  También tendrá que configurar los ID de proxy necesarios (intervalos de direcciones IP) para las redes locales y remotas mediante la ficha proxy ID.  Así se configuran las VPNs basadas en rutas para el "enrutamiento dinámico" en el entorno de Microsoft Azure.

Imagen de usuario añadido

 

Comprobación de la conexión

En el cortafuegos de pan-os en la opción de menú túneles IPSEC, Compruebe la interfaz de usuario para asegurarse de que el túnel que ha creado está en funcionamiento. Las columnas de estado para la puerta de enlace IKE y la interfaz del túnel deben ser verdes si IKEv2 se negoció correctamente y se trajo el túnel de fase 2 de IPSec.

 

También puede filtrar en el registro del sistema para el tipo "VPN" para ver los mensajes de negociación IKE.  Para obtener el estado de conexión VPN de Microsoft Azure, consulte las referencias de Microsoft indicadas anteriormente.

 

Una comprobación general que puede utilizar es:

> Mostrar túnel VPN

TnID Name (Gateway) local proxy IP PTL: Puerto proxy remoto IP PTL: propuestas de Puerto
---- ------------- -------------- -------- ------------ --- -------- ---------

 

Para obtener más comandos que ayuden a solucionar las conexiones VPN, consulte:

Cómo solucionar problemas de IPSec VPN conectividad

 

 

 



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm6WCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language