Configuration de IKEv2 IPSec VPN pour Microsoft Azure Environment
Resolution
Microsoft Azure nécessite IKEv2 pour le routage dynamique, également appelé VPN basé sur la route. IKEv1 est limité uniquement au routage statique. Pour plus d'informations sur les exigences VPN Microsoft Azure et les paramètres cryptographiques pris en charge pour IKEv1 et IKEv2, référence:
https://docs.Microsoft.com/en-US/Azure/VPN-Gateway/VPN-Gateway-about-VPN-Devices
Le routage dynamique de Microsoft nécessite uniquement que vous ayez des plages d'adresses IP pour chacun des sites réseau locaux que vous allez connecter à Azure. Il s'agit d'une connexion VPN basée sur l'itinéraire qui utilise des plages d'adresses IP définies sur les passerelles et les IKEv2 pour négocier automatiquement les préfixes de routage pris en charge. Ceci est connu sous le nom de «négociation de sélecteur de trafic» sous la RFC IKEv2 et Pan-OS utilise des ID proxy pour configurer les plages d'adresses IP.
Pour obtenir un exemple de création d'une topologie à plusieurs sites, référencez:
https://docs.Microsoft.com/en-US/Azure/VPN-Gateway/VPN-Gateway-about-vpngateways
IKEv2 est pris en charge dans Pan-OS 7.1.4 et versions plus récentes, et prend entièrement en charge les profils VPN et crypto basés sur la route nécessaires pour se connecter à l'architecture VPN dynamique de MS Azure. Ce document traite de la configuration de base sur un pare-feu de Palo Alto Networks pour le même. La configuration de l'environnement Microsoft Azure n'est pas abordée dans ce document et vous devez renvoyer la documentation de Microsoft pour configurer la passerelle VPN dans l'environnement Azure.
Note: Palo Alto Networks recommande de mettre à niveau pan-os à 7.1.4 ou au-dessus d'abord avant de procéder.
Configuration du portail Microsoft Azure
Pour des instructions sur la configuration du VPN Azure via le portail Azure, veuillez visiter le site de Microsoft ici:
Créer un VNet avec une connexion de site à site à l'aide du portail Azure
Si vous avez besoin d'instructions à l'aide de PowerShell, voir ici:
Créer un VNet avec une connexion VPN de site à site à l'aide de PowerShell
Si vous avez besoin d'instructions à l'aide du portail Classic, voir ici:
Créer un VNet avec une connexion de site à site à l'aide du portail classique
Configuration du pare-feu Palo Alto Networks
Voici un guide étape par étape sur la façon de configurer le VPN pour un pare-feu de Palo Alto Networks.
Pour cet exemple, la topologie suivante a été utilisée pour connecter un PA-200 exécutant Pan-OS 7.1.4 à une passerelle VPN MS Azure.
Pour le profil crypto de Pan-OS IKEv2, vous devez sélectionner une combinaison de paramètres cryptographiques pris en charge par Microsoft Azure, comme indiqué dans les paramètres IPSec de Microsoft (voir le premier lien de référence ci-dessus). Notre exemple utilisait les paramètres de profil IKE, IPSec et crypto suivants. Remarque: les adresses IP publiques ont été modifiées aux fins de cet exemple.
Interface de tunnel
- Dans le WebGUI dans le réseau > interfaces > tunnel, ajoutez une nouvelle interface de tunnel. Sélectionnez un routeur virtuel et une zone de sécurité appropriée.
- Facultatif: attribuez une adresse IP sur le même sous-réseau que la passerelle Azure pour le routage dynamique et/ou la surveillance de tunnel à l'intérieur de l'onglet IPv4.
Fenêtre d'interface de tunnel
IKE Gateway
- Ajouter une passerelle IKE (Network > profils réseau > IKE Gateway). Les valeurs suivantes doivent être configurées:
- Version: Réglez sur'IKEv2 only mode'ou'IKEv2 Preferred mode'dans la
fenêtre de passerelle IKE
- Interface: définie sur l'interface publique (Internet) face au pare-feu utilisé pour se connecter à Azure.
- Adresse IP locale: adresse IP de l'interface externe du pare-feu. S'il n'est pas derrière un périphérique NAT, il s'agit de l'adresse de passerelle VPN telle qu'elle est configurée dans Azure.
- Adresse IPde l'homologue: adresse IP de la passerelle VPN Azure. Cela peut être obtenu à partir du tableau de bord du réseau virtuel Azure. Remarque: Assurez-vous d'utiliser l'IP NAT-Ed sur Azure pour définir l'IP de l'homologue.
- Clé pré-partagée: Azure utilise une clé pré-partagée(PSK ou secret pré-partagé) pour l'authentification. La clé doit être configurée comme la même valeur sur les paramètres VPN Azure et le pare-feu de Palo Alto Networks.
(Remarque: voir les liens ci-dessus pour les informations de configuration Azure) - Sous l' onglet Options avancées , laissez le mode passif activé (défini en tant que répondeur) désactivé, et dans la section IKEv2, laissez le contrôle de l'activation activée. Remarque: activez NAT Traversal si le pare-feu se trouve derrière un périphérique NAT.
Fenêtre de passerelle IKE-options avancées
- 'IKE crypto Profile'est défini sur default. Un nouveau profil crypto peut être défini pour correspondre aux paramètres cryptographiques IKE d'Azure VPN.
Groupe DH: Group2Cryptage: AES-256-CBC, 3DES
Authentification: SHA1, SHA256
Remarque: définissez des durées de vie plus longues que les paramètres Azure pour vous assurer qu'Azure renouvelle les clés lors de la nouvelle saisie. Réglez la durée de vie de phase 1 à 28800 secondes.
Pan-OS IKEv2 crypto Profile Window.
- Version: Réglez sur'IKEv2 only mode'ou'IKEv2 Preferred mode'dans la
Tunnel IPSec
Ajoutez un nouveau tunnel IPSec (réseau->IPSec tunnels). Les valeurs suivantes doivent être configurées:
- Interface tunnel: sélectionnez l'interface de tunnel configurée à l'étape 1. ci-dessus.
(facultatif: utilisez le'afficher les options avancées'pour configurer la surveillance du tunnel, si désiré.)
Fenêtre du tunnel IPSec
- Passerelle IKE: sélectionnez la passerelle IKE configurée à l'étape 2. ci-dessus.
- Profil cryptographique IPSec:(réseau > profils réseau > cryptage IPSec) sélectionnez un «Profil cryptographique IPSec». Cela peut être par défaut s'il correspond aux paramètres Azure, sinon créez-en un nouveau avec Add au bas de la fenêtre crypto IPSec.
Cryptage: AES256-CBC
Authentification: SHA1
Groupe DH: no-PFS
Remarque: définissez des durées de vie plus longues que les paramètres Azure pour vous assurer qu'Azure renouvelle les clés lors de la nouvelle saisie. Définir la durée de vie de IPSec (phase 2) sur 8400 secondes
IPSec profil crypto Window
Accès au réseau
Dans les «VPN d'itinéraires», le moteur de routage du (des) périphérique (s) est utilisé pour déterminer l'accès même à tous les réseaux VPN.
- Utilisez les paramètres du «routeur virtuel» (réseau-> Virtual Router->) pour ajouter un itinéraire statique pour le réseau distant avec l'interface définie comme étant l'interface de tunnel configurée à l'étape 1.</VR> Cela doit correspondre aux paramètres du réseau local sur Azure.
Fenêtre Virtual Router-route statique-IPv4
Configuration du tunnel IPSec
Vous pouvez éventuellement configurer "tunnel Monitor" pour Pinger une adresse IP sur le côté Microsoft Azure. Vous devrez également configurer les ID proxy nécessaires (plages d'adresses IP) pour les réseaux locaux et distants à l'aide de l'onglet ID de proxy. C'est ainsi que les VPN basés sur la route sont configurés pour le «routage dynamique» dans l'environnement Microsoft Azure.
Vérification de la connexion
Sur le pare-feu Pan-os sous l'option de menu IPSec tunnels, vérifiez l'interface utilisateur pour vous assurer que le tunnel que vous avez créé est opérationnel. Les colonnes d'état de la passerelle IKE et de l'interface tunnel doivent être vertes si IKEv2 a négocié correctement et que le tunnel IPSec de phase 2 a été mis en place.
Vous pouvez également filtrer sur le journal système pour le type «VPN» pour voir les messages de négociation IKE. Pour l'état de connexion VPN de Microsoft Azure, reportez-vous aux références Microsoft mentionnées ci-dessus.
Une vérification générale que vous pouvez utiliser est:
> Show VPN Tunnel TnID Name (Gateway) local proxy IP PTL: port Remote proxy IP PTL: propositions port ---- ------------- -------------- -------- ------------ --- -------- ---------
Pour plus de commandes pour aider à dépanner les connexions VPN, veuillez consulter:
Comment faire pour résoudre les problèmes IPSec VPN des problèmes de connectivité