Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
为 Microsoft Azure 环境配置 IKEv2 IPsec VPN - Knowledge Base - Palo Alto Networks

为 Microsoft Azure 环境配置 IKEv2 IPsec VPN

509162
Created On 09/27/18 06:05 AM - Last Modified 06/01/23 07:51 AM


Resolution


Microsoft Azure 要求 IKEv2 动态路由, 也称为基于路由的 VPN。IKEv1 仅限于静态路由。  有关 Microsoft Azure VPN 要求和支持的 IKEv1 和 IKEv2 加密参数的详细信息, 请参阅:

https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpn-devices

 

Microsoft 的动态路由仅要求您为要连接到 Azure 的每个本地网络站点都拥有 IP 地址范围。  它是基于路由的 VPN 连接, 使用在网关和 IKEv2 上定义的 IP 地址范围自动协商支持的路由前缀。  这被称为 IKEv2 RFC 下的 "通信选择器协商", 泛 OS 使用代理 id 配置 IP 地址范围。

 

有关如何创建多站点拓扑的示例, 请参考:

https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpngateways

 

用户添加的图像用户添加的图像

 

IKEv2 在泛 OS 7.1.4 和较新版本中得到支持, 并完全支持必要的基于路由的 vpn 和加密配置文件, 以连接到 Azure 的动态 VPN 体系结构。本文档讨论了帕洛阿尔托网络防火墙的基本配置。本文档不讨论 microsoft Azure 环境的配置, 您应该参考 microsoft 的文档, 在 Azure 环境中设置 VPN 网关。

注:帕洛阿尔托网络建议先将 PAN 操作系统升级到7.1.4 或以上, 然后再继续.

 

配置 Microsoft Azure 门户

有关通过 azure 门户配置 azure VPN 的说明, 请访问 Microsoft 的网站:

使用 Azure 门户创建具有站点到站点连接的互联星空

 

如果您需要使用 PowerShell 的说明, 请参阅此处:

使用 PowerShell 创建具有站点到站点 VPN 连接的互联星空

 

如果您需要使用经典门户的说明, 请参阅此处:

使用经典门户创建具有站点到站点连接的互联星空

 

配置帕洛阿尔托网络防火墙

下面是一步一步的指南, 介绍如何为帕洛阿尔托网络防火墙设置 VPN。

对于本示例, 以下拓扑用于将运行泛型 OS 7.1.4 的 PA-200 连接到 MS Azure VPN 网关。

 

对于 PAN OS IKEv2 加密配置文件, 您必须选择 microsoft Azure 支持的加密参数的组合, 如 microsoft 的 IPSec 参数所述 (请参见上面的第一个参考链接)。  我们的示例使用了以下 IKE、IPSec 和加密配置文件参数。  注意:为本示例的目的更改了公共 IP 地址.

 

隧道接口

  1. 网络 >> 接口 >> 隧道中的 WebGUI, 添加一个新的隧道接口.  选择虚拟路由器和适当的安全区域。
  2. 可选: 在 IPv4 选项卡内为动态路由和/或隧道监视的 Azure 网关在同一子网上分配 IP.
    用户添加的图像隧道接口窗口

 

IKE 网关

  1. 添加 ike 网关 (网络 > 网络配置文件 > ike 网关). 将配置以下值:
    1. 版本: 设置为 "仅 IKEv2 模式" 或 "IKEv2 首选模式"
      用户添加的图像IKE 网关窗口
    2. 接口: 设置为用于连接到 Azure 的防火墙的公用 (internet) 接口.
    3. 本地 ip 地址: 防火墙外部接口的 ip 地址. 如果不在 NAT 设备后面, 这将是在 Azure 中配置的 VPN 网关地址。
    4. 对等 ip 地址: Azure VPN 网关的 ip 地址. 这可以从 Azure 虚拟网络仪表板获得。 注意: 请确保在 Azure 上使用了 NAT ip 来定义对等 ip.
    5. 预共享密钥: Azure 使用预共享密钥(PSK 或预共享机密) 进行身份验证. 该密钥应在 Azure VPN 设置和帕洛阿尔托网络防火墙上配置为相同的值。
      (注意:有关 Azure 配置信息, 请参阅上面的链接)
    6. 在 "高级选项" 选项卡上, 不选中 "启用被动模式(设置为响应程序)", 并在 IKEv2 节中启用 "活动检查"。注意: 如果防火墙位于 nat 设备后面, 则启用 nat 遍历.
      用户添加的图像IKE 网关窗口-高级选项
       
    7. "IKE 加密配置文件" 设置为默认值. 可以定义一个新的加密配置文件, 以匹配 Azure VPN 的 IKE 加密设置。
      DH 组: group2

      加密: aes-256-cbc, 3des

      认证: sha1, sha256

      注意:设置寿命长于 azure 设置, 以确保 azure 在重新键控期间续订密钥. 将1阶段的生命周期设置为28800秒。
      用户添加的图像泛 OS IKEv2 加密配置文件窗口。

 

IPSec 隧道

添加新的 IPSec 隧道 (网络->ipsec 隧道). 将配置以下值:
  1. 隧道接口: 在步骤1中选择配置的隧道接口。更高版本。
    (可选: 如果需要, 请使用 "显示高级选项" 配置隧道监视。
    用户添加的图像IPSec 隧道窗口
  2. ike 网关: 选择步骤2中配置的 ike 网关。更高版本。
  3. ipsec 加密配置文件: (网络>网络配置文件> ipsec 加密) 选择 "ipsec 加密配置文件". 如果它与 Azure 设置匹配, 则可能是默认的, 否则在 IPSec 加密窗口的底部创建一个新的添加。

    加密: aes256-cbc

    认证: sha1

    DH 组: 无 pfs

    注意: 设置寿命长于 azure 设置, 以确保 azure 在重新键控期间续订密钥. 将 ipsec (阶段 2) 生存期设置为8400秒
    用户添加的图像ipsec 加密配置文件窗口

  

网络到达

在 "基于路由的 vpn" 中, 设备的路由引擎用于确定任何 VPN 网络的可达性。

  1. 使用 "虚拟路由器" 设置 (网络 >> 虚拟路由器 >>) 为远程网络添加静态路由, 将接口设置为步骤1中配置的隧道接口.</VR> 这应与 Azure 上的本地网络设置匹配。
    用户添加的图像虚拟路由器窗口-静态路由-IPv4

 

IPSec 隧道配置

您可以选择配置 "隧道监视器" 以在 Microsoft Azure 端 ping IP 地址。  还需要使用 "代理 id" 选项卡为本地和远程网络配置必要的代理 id (IP 地址范围)。  这就是如何为 Microsoft Azure 环境中的 "动态路由" 配置基于路由的 vpn。

用户添加的图像

 

检查连接

在 "IPSec 隧道" 菜单选项下的 "泛 OS 防火墙" 下, 检查 UI 以确保创建的隧道已运行。如果 IKEv2 正确协商, 并且引发了 IPSec 阶段2隧道, 则 IKE 网关和隧道接口的状态列应该是绿色的。

 

您还可以在系统日志中筛选 "vpn" 类型以查看 IKE 协商消息。  对于 microsoft Azure 的 VPN 连接状态, 请参阅上文所述的 microsoft 参考资料。

 

您可以使用的一般检查是:

>> 显示 vpn 隧道

发散名称 (网关) 本地代理 ip Ptl: 端口远程代理 ip Ptl: 端口建议
---- ------------- -------------- -------- ------------ --- -------- ---------

 

有关帮助解决 VPN 连接疑难解答的更多命令, 请参见:

如何解决 IPSec VPN 连接问题

 

 

 



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm6WCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language