为 Microsoft Azure 环境配置 IKEv2 IPsec VPN
Resolution
Microsoft Azure 要求 IKEv2 动态路由, 也称为基于路由的 VPN。IKEv1 仅限于静态路由。 有关 Microsoft Azure VPN 要求和支持的 IKEv1 和 IKEv2 加密参数的详细信息, 请参阅:
https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpn-devices
Microsoft 的动态路由仅要求您为要连接到 Azure 的每个本地网络站点都拥有 IP 地址范围。 它是基于路由的 VPN 连接, 使用在网关和 IKEv2 上定义的 IP 地址范围自动协商支持的路由前缀。 这被称为 IKEv2 RFC 下的 "通信选择器协商", 泛 OS 使用代理 id 配置 IP 地址范围。
有关如何创建多站点拓扑的示例, 请参考:
https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpngateways
IKEv2 在泛 OS 7.1.4 和较新版本中得到支持, 并完全支持必要的基于路由的 vpn 和加密配置文件, 以连接到 Azure 的动态 VPN 体系结构。本文档讨论了帕洛阿尔托网络防火墙的基本配置。本文档不讨论 microsoft Azure 环境的配置, 您应该参考 microsoft 的文档, 在 Azure 环境中设置 VPN 网关。
注:帕洛阿尔托网络建议先将 PAN 操作系统升级到7.1.4 或以上, 然后再继续.
配置 Microsoft Azure 门户
有关通过 azure 门户配置 azure VPN 的说明, 请访问 Microsoft 的网站:
如果您需要使用 PowerShell 的说明, 请参阅此处:
使用 PowerShell 创建具有站点到站点 VPN 连接的互联星空
如果您需要使用经典门户的说明, 请参阅此处:
配置帕洛阿尔托网络防火墙
下面是一步一步的指南, 介绍如何为帕洛阿尔托网络防火墙设置 VPN。
对于本示例, 以下拓扑用于将运行泛型 OS 7.1.4 的 PA-200 连接到 MS Azure VPN 网关。
对于 PAN OS IKEv2 加密配置文件, 您必须选择 microsoft Azure 支持的加密参数的组合, 如 microsoft 的 IPSec 参数所述 (请参见上面的第一个参考链接)。 我们的示例使用了以下 IKE、IPSec 和加密配置文件参数。 注意:为本示例的目的更改了公共 IP 地址.
隧道接口
- 在网络 >> 接口 >> 隧道中的 WebGUI, 添加一个新的隧道接口. 选择虚拟路由器和适当的安全区域。
- 可选: 在 IPv4 选项卡内为动态路由和/或隧道监视的 Azure 网关在同一子网上分配 IP.
隧道接口窗口
IKE 网关
- 添加 ike 网关 (网络 > 网络配置文件 > ike 网关). 将配置以下值:
- 版本: 设置为 "仅 IKEv2 模式" 或 "IKEv2 首选模式"
IKE 网关窗口
- 接口: 设置为用于连接到 Azure 的防火墙的公用 (internet) 接口.
- 本地 ip 地址: 防火墙外部接口的 ip 地址. 如果不在 NAT 设备后面, 这将是在 Azure 中配置的 VPN 网关地址。
- 对等 ip 地址: Azure VPN 网关的 ip 地址. 这可以从 Azure 虚拟网络仪表板获得。 注意: 请确保在 Azure 上使用了 NAT ip 来定义对等 ip.
- 预共享密钥: Azure 使用预共享密钥(PSK 或预共享机密) 进行身份验证. 该密钥应在 Azure VPN 设置和帕洛阿尔托网络防火墙上配置为相同的值。
(注意:有关 Azure 配置信息, 请参阅上面的链接) - 在 "高级选项" 选项卡上, 不选中 "启用被动模式(设置为响应程序)", 并在 IKEv2 节中启用 "活动检查"。注意: 如果防火墙位于 nat 设备后面, 则启用 nat 遍历.
IKE 网关窗口-高级选项
- "IKE 加密配置文件" 设置为默认值. 可以定义一个新的加密配置文件, 以匹配 Azure VPN 的 IKE 加密设置。
DH 组: group2加密: aes-256-cbc, 3des
认证: sha1, sha256
注意:设置寿命长于 azure 设置, 以确保 azure 在重新键控期间续订密钥. 将1阶段的生命周期设置为28800秒。
泛 OS IKEv2 加密配置文件窗口。
- 版本: 设置为 "仅 IKEv2 模式" 或 "IKEv2 首选模式"
IPSec 隧道
添加新的 IPSec 隧道 (网络->ipsec 隧道). 将配置以下值:
- 隧道接口: 在步骤1中选择配置的隧道接口。更高版本。
(可选: 如果需要, 请使用 "显示高级选项" 配置隧道监视。
IPSec 隧道窗口
- ike 网关: 选择步骤2中配置的 ike 网关。更高版本。
- ipsec 加密配置文件: (网络>网络配置文件> ipsec 加密) 选择 "ipsec 加密配置文件". 如果它与 Azure 设置匹配, 则可能是默认的, 否则在 IPSec 加密窗口的底部创建一个新的添加。
加密: aes256-cbc
认证: sha1
DH 组: 无 pfs
注意: 设置寿命长于 azure 设置, 以确保 azure 在重新键控期间续订密钥. 将 ipsec (阶段 2) 生存期设置为8400秒
ipsec 加密配置文件窗口
网络到达
在 "基于路由的 vpn" 中, 设备的路由引擎用于确定任何 VPN 网络的可达性。
- 使用 "虚拟路由器" 设置 (网络 >> 虚拟路由器 >>) 为远程网络添加静态路由, 将接口设置为步骤1中配置的隧道接口.</VR> 这应与 Azure 上的本地网络设置匹配。
虚拟路由器窗口-静态路由-IPv4
IPSec 隧道配置
您可以选择配置 "隧道监视器" 以在 Microsoft Azure 端 ping IP 地址。 还需要使用 "代理 id" 选项卡为本地和远程网络配置必要的代理 id (IP 地址范围)。 这就是如何为 Microsoft Azure 环境中的 "动态路由" 配置基于路由的 vpn。
检查连接
在 "IPSec 隧道" 菜单选项下的 "泛 OS 防火墙" 下, 检查 UI 以确保创建的隧道已运行。如果 IKEv2 正确协商, 并且引发了 IPSec 阶段2隧道, 则 IKE 网关和隧道接口的状态列应该是绿色的。
您还可以在系统日志中筛选 "vpn" 类型以查看 IKE 协商消息。 对于 microsoft Azure 的 VPN 连接状态, 请参阅上文所述的 microsoft 参考资料。
您可以使用的一般检查是:
>> 显示 vpn 隧道 发散名称 (网关) 本地代理 ip Ptl: 端口远程代理 ip Ptl: 端口建议 ---- ------------- -------------- -------- ------------ --- -------- ---------
有关帮助解决 VPN 连接疑难解答的更多命令, 请参见: