Konfigurieren mehrerer Proxy-IDs im VPN Tunnel mit überlappenden Subnetzbereichen

Konfigurieren mehrerer Proxy-IDs im VPN Tunnel mit überlappenden Subnetzbereichen

29692
Created On 04/09/19 09:24 AM - Last Modified 06/06/25 19:06 PM


Symptom


Beim Konfigurieren von IPSec-VPNs sind Proxy-IDs eine Anforderung mit einem Peer, der Policy basierte VPNs unterstützt.

Manchmal müssen mehrere lokale und Remotesubnetze VPN für denselben Peer kommunizieren. Wenn die Peerseite policy basiert, VPN müssen Sie mehrere Proxy-IDs für die Palo firewall Alto-Tunnel-Konfiguration einrichten, die mit den Richtlinien des Peers übereinstimmen.

Selbst bei der richtigen Konfiguration kann der Datenverkehr aufgrund der Art und Weise fehlschlagen, wie Proxy-IDs in der Datenebene ( gespeichert DP werden).In diesem Artikel werden bewährte Methoden erläutert, die beim Konfigurieren mehrerer Proxy-IDs mit demselben Peer verwendet werden sollen, die für überlappende Subnetze gelten.

Environment


  • Jede PAN-OS .
  • Palo Alto Firewall .
  • IPSEC VPN mit Proxy-IDs konfiguriert.

Cause


Wenn mehrere Proxy-IDs konfiguriert sind, ist die Benennung von Policy IDs wichtig, da die Reihenfolge des ID Proxyabgleichs von der Zeichenfolgenreihenfolge des Proxy-ID-Namens abhängt.
Beispiel:

Angenommen, es sind 4 Proxy-IDs unter der Tunnelkonfiguration konfiguriert:

TestProxyID-1 : Lokal = 10.1.1.0/24, Remote = 192.168.30.0/24
ProxyID-10_8_0_0 : Lokal = 10.8.1.0/24, Fernbedienung = 192.168.30.0/24
proxy-id-10_123_0_0 : Lokal = 10.123.1.0/24, Remote = 192.168.30.0/24
AllNetworks : Lokal = 10.0.0.0/8, Remote = 192.168.30.0/24


Wenn die Proxy-IDs in gespeichert DP werden, werden sie mit String Comparison ASCII (Sortierung) sortiert
Um die Sortierreihenfolge zu bestimmen, können wir beliebige Sortierwerkzeuge wie https://www.textfixer.com/tools/alphabetical-order.php

Verwenden der oben genannten Zeichenfolgensreihenfolge für die obigen ID Proxynamen:


AllNetworks : Lokal = 10.0.0.0/8, Remote = 192.168.30.0/24
proxy-id-10_123_0_0 : Lokal = 10.123.1.0/24, Remote = 192.168.30.0/24
ProxyID-10_8_0_0 : Lokal = 10.8.1.0/24, Remote = 192.168.30.0/24
TestProxyID-1 : Lokal = 10.1.1.0/24, Remote = 192.168.30.0/24


IPSEC Sicherheits- und Sicherheitss SA werden in dieser Reihenfolge in DP gespeichert. Dies wirkt sich auf die Datenverkehrsverarbeitung aus, da, wenn ein bestimmter Datenverkehr mit einer der Proxy-IDs verschlüsselt werden muss, von oben nach unten nach dem ersten übereinstimmenden Proxy gesucht ID wird.

Im obigen Beispiel, obwohl "AllNetworks" Proxy ID unten in der Konfiguration definiert ist, aber in ihm wird der erste in der Reihenfolge DP sein.

Im obigen Beispiel wird der Datenverkehr IPSEC IP nicht über "proxy-id-10_123_0_0" sondern über "AllNetworks"gesendet, wenn Datenverkehr von Quelle 10.123.1.0/24 über diesen Tunnel an eine Fernbedienung geleitet wird. Dies kann also auf der Remoteseite fehlschlagen, die eingehenden Datenverkehr gegen Proxy-IDs überprüft.
 

Resolution


Definieren Sie bei Proxy-IDs mit überlappenden Subnetzen die Proxynamen, sodass sich der ID spezifischere ID Proxyname über dem breiteren ID Proxynamen gemäß StringSortierung befindet.
 

Additional Information


Tipps und Tricks: Warum A VPN Proxy verwenden ID
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLTlCAO&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language