configuración de múltiples IDs proxy en VPN túnel con rangos de subred superpuestos
29692
Created On 04/09/19 09:24 AM - Last Modified 06/06/25 19:06 PM
Symptom
Al configurar vpns IPSec, los IPD de proxy son un requisito con un par que soporta Policy vpns basadas.
A veces, varias subredes locales y remotas necesitan comunicarse VPN para el mismo par. Si el lado del par es un policy basado usted necesitará configurar los VPN IPS del proxy múltiple en la configuración del túnel palo alto firewall para hacer juego con las directivas del par.
Incluso con la configuración correcta, el tráfico puede fallar debido a la forma en que los ID proxy se almacenan en el Plan de datos ( DP ).En este artículo se destacan las prácticas recomendadas que se deben usar al configurar varios identificadores de proxy con el mismo par que son para subredes superpuestas.
Environment
- Cualquier PAN-OS archivo .
- Palo Alto Firewall .
- IPSEC VPN configurado con IDs proxy.
Cause
Cuando se configuran varios IDENTIFICADOR de proxy, la nomenclatura de Policy identificadores es importante ya que el orden de coincidencia de proxy ID depende del orden de cadena del nombre del identificador de proxy.
Ejemplo:
Digamos que hay 4 IDs proxy configurados bajo la configuración del túnel:
TestProxyID-1 : Local 10.1.1.0/24, Remoto n.o 192.168.30.0/24
ProxyID-10_8_0_0 : Local á 10.8.1.0/24, Remoto á 192.168.30.0/24
proxy-id-10_123_0_0 : Local 10.123.1.0/24, Remoto: 192.168.30.0/24
AllNetworks : Local á 10.0.0.0/8, Remoto a 192.168.30.0/24
Cuando se almacenan los archivos ID de DP proxy, se ordenan mediante comparación de cadenas ASCII (ordenación)
Para determinar el criterio de ordenación, podemos utilizar cualquier herramienta de ordenación como https://www.textfixer.com/tools/alphabetical-order.php
Uso de lo anterior, el criterio de ordenación de cadena para los nombres de proxy ID anteriores:
AllNetworks : Local 10.0.0.0/8, Remoto a 192.168.30.0/24
proxy-id-10_123_0_0 : Local á 10.123.1.0/24, Remoto á 192.168.30.0/24
ProxyID-10_8_0_0 : Local á 10.8.1.0/24, Remoto 192.168.30.0/24
TestProxyID-1 : Local 10.1.1.0/24, Remoto a 192.168.30.0/24
IPSEC Seguridad SA 's se almacenará en este orden en DP . Esto afectará al procesamiento de tráfico, ya que cuando un cierto tráfico necesita ser cifrado usando uno de los ID proxy, se buscará de arriba a abajo para el primer proxy ID coincidente.
En el ejemplo anterior, aunque el proxy "AllNetworks" ID se define en la parte inferior de la configuración, pero en él será el primero en DP orden.
En el ejemplo anterior, si cualquier tráfico va de la fuente 10.123.1.0/24 vía este IPSEC túnel a un control IP remoto, no se enviará a través de "proxy-id-10_123_0_0" sino a través de "AllNetworks". Así que esto puede fallar en el lado remoto, que está comprobando el tráfico entrante contra los DOCUMENTOS proxy.
Resolution
Para los ID de proxy con subredes superpuestas, defina los nombres de proxy ID para que el nombre de proxy más específico esté por encima del nombre proxy más amplio según ID la ID ordenación de cadenas.
Additional Information
Consejos y trucos: Por qué usar A VPN proxy ID