VPN重複するサブネット範囲を持つトンネル内の複数プロキシ ID の構成

29770

Created On 04/09/19 09:24 AM - Last Modified 06/06/25 19:06 PM

Symptom

IPSec VPN を構成する場合、プロキシ ID は、ベース VPN をサポートするピアの要件 Policy です。

同じピアに対して複数のローカルおよびリモートサブネット VPN が通信する必要がある場合があります。ピア側がベースの policy VPN 場合は、ピアのポリシーに一致するように Palo Alto firewall トンネルの設定に複数のプロキシ ID を設定する必要があります。

正しい構成であっても、プロキシ ID が Dataplane( ) に格納される方法により、トラフィックが失敗する可能性があります DP 。この記事では、重複するサブネット用の同じピアで複数のプロキシ ID を構成する際に使用するベストプラクティスについて説明します。

Environment

任意 PAN-OS の .
パロアルト Firewall .
IPSEC VPN プロキシ ID で構成されます。

Cause

複数のプロキシ ID が設定されている場合、 Policy プロキシの一致の順序はプロキシ ID ID 名の文字列順序に依存するため、ID の名前付けが重要になります。
例:

トンネル構成の下に 4 つのプロキシ ID が設定されているとします。

TestProxyID-1 : ローカル = 10.1.1.0/24、リモート = 192.168.30.0/24
プロキシID-10_8_0_0 : ローカル = 10.8.1.0/24、リモート = 192.168.30.0/24
プロキシ id-10_123_0_0:ローカル = 10.123.1.0/24, リモート = 192.168.30.0/24
AllNetworks : ローカル = 10.0.0.0.0/8, リモート = 192.168.30.0

プロキシ ID DP がに格納されている場合、並べ替え順序を指定するために文字列比較 ( ASCII 並べ替え) を
使用して並べ替え、上記のプロキシ名の文字列並べ替え順序を使用するhttps://www.textfixer.com/tools/alphabetical-order.php

などの並べ替えツールを使用できます ID 。

AllNetworks : ローカル = 10.0.0.0/8, リモート = 192.168.30.0/24 プロキシ
id-10_123_0_0:ローカル = 10.123.1.0/24, リモート = 192.168.30.0/24
ProxyID-10_8_0_0:ローカル = 10.8.1.0/24, リモート = 192.168.30.0/24
TestProxyID-1 : ローカル = 10.1.1.0/24, リモート = 192.168.30.0/24

IPSEC セキュリティ SA は、の順序で保存されます DP 。これは、特定のトラフィックをプロキシ ID の 1 つを使用して暗号化する必要がある場合のようにトラフィック処理に影響を与えます ID 。

上記の例では、構成の下部に "AllNetworks" プロキシ ID が定義されているにもかかわらず、その中で DP 最初の順序になります。

上記の例では、このトンネルを経由して送信元 10.123.1.0/24 から IPSEC リモートにトラフィックが送信 IP される場合 、"proxy-id-10_123_0_0" ではなく "AllNetworks"を介して送信されます。そのため、プロキシ ID に対して着信トラフィックをチェックしているリモート側では、この問題が発生する可能性があります。

Resolution

重複するサブネットを持つプロキシ ID の場合、 ID より具体的なプロキシ ID 名が ID 、文字列の並べ替えに従ってより広いプロキシ名よりも上位になるようにプロキシ名を定義します。

Additional Information