configuration d’identités proxy multiples dans VPN tunnel avec des plages de sous-réseau qui se chevauchent

configuration d’identités proxy multiples dans VPN tunnel avec des plages de sous-réseau qui se chevauchent

29780
Created On 04/09/19 09:24 AM - Last Modified 06/06/25 19:06 PM


Symptom


Lors de la configuration des VPN IPSec, proxy iDs sont une exigence avec un pair qui prend en charge Policy les VPN basés.

Parfois, plusieurs sous-réseaux locaux et distants doivent communiquer VPN pour le même pair. Si le côté pair est policy VPN basé, vous devrez configurer plusieurs iD proxy sur la configuration du tunnel de Palo Alto firewall pour correspondre aux stratégies de peer.

Même avec la configuration correcte, le trafic peut échouer en raison de la façon dont les ID proxy sont stockés dans l’avion de données ( DP ).Cet article met en évidence les meilleures pratiques à utiliser lors de la configuration de plusieurs iD proxy avec le même pair qui sont pour les sous-réseaux qui se chevauchent.

Environment


  • Tout PAN-OS .
  • Palo Alto Firewall .
  • IPSEC VPN configurés avec des iD proxy.

Cause


Lorsque plusieurs identifiants proxy sont configurés, la dénomination Policy des identifiants est importante car l’ordre de correspondance par procuration ID dépend de l’ordre des enchères du nom de l’id proxy.
Exemple :

Supposons qu’il y ait 4 ID proxy configurés sous la configuration du tunnel :

TestProxyID-1 : Local = 10.1.1.0/24, Remote = 192.168.30.0/24
ProxyID-10_8_0_0 : Local = 10.8.1.0/24, Distance = 192.168.30.0/24
proxy-id-10_123_0_0 : Local = 10.123.1.0/24, Distance = 192.168.30.0/24
AllNetworks : Local = 10.0.0.0/8, Remote = 192.168.30.0/24


Lorsque les ID proxy sont DP stockés, ils sont triés à l’aide de la comparaison de chaîne ASCII (tri)
Pour déterminer l’ordre de tri, nous pouvons utiliser tous les outils de tri tels que https://www.textfixer.com/tools/alphabetical-order.php En

utilisant ce qui précède, l’ordre de tri des cordes pour les noms proxy ID ci-dessus:


AllNetworks : Local = 10.0.0.0/8, Remote = 192.168.30.0/24
proxy-id-10_123_0_0 : Local = 10.123.1.0/24, Distance = 192.168.30.0/24
ProxyID-10_8_0_0 : Local = 10.8.1.0/24, Distance = 192.168.30.0/24
TestProxyID-1 : Local = 10.1.1.0/24, Remote = 192.168.30.0/24


IPSEC La SA sécurité sera stockée dans cet ordre dans DP . Cela affectera le traitement du trafic comme lorsqu’un certain trafic doit être crypté à l’aide de l’une des cartes d’impression proxy, il se penchera de haut en bas pour le premier proxy correspondant ID .

Dans l’exemple ci-dessus, même si « AllNetworks » proxy ID est défini en bas dans la configuration, mais en DP elle sera la première dans l’ordre.

Dans l’exemple ci-dessus, si un trafic va de la source 10.123.1.0/24 via IPSEC ce tunnel à une IP télécommande, il ne sera pas envoyé via « proxy-id-10_123_0_0 » mais via « AllNetworks ». Donc, cela peut échouer sur le côté distant, qui vérifie le trafic entrant contre les iD proxy.
 

Resolution


Pour les iD proxy avec des sous-réseaux qui se chevauchent, définissez les noms proxy de ID sorte que le nom proxy plus spécifique soit ID au-dessus du nom proxy ID plus large selon le tri des cordes.
 

Additional Information


Trucs et astuces: Pourquoi utiliser A VPN proxy ID
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLTlCAO&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language