¿Es necesario permitir direcciones de interfaz IP de túnel con A seguridad Policy en el Firewall?
12839
Created On 09/15/22 03:21 AM - Last Modified 03/24/23 07:28 AM
Question
¿Es necesario permitir direcciones de interfaz IP de túnel con A seguridad Policy en el Firewall?
Environment
- Firewalls de Palo Alto Networks.
- Soportado PAN-OS.
- Túneles IPSec.
- Monitoreo de túneles.
Answer
- Cuando se configura un túnel de sitio a sitio con enrutamiento estático, la interfaz del túnel no requiere una IP dirección. Para habilitar la supervisión de túneles, considere la posibilidad de agregar una IP dirección.
- Si la supervisión de rutas está habilitada en la ruta estática para el túnel y está configurada para VPN supervisar las direcciones de interfaz de túnel del mismo nivel, es necesario permitir que las VPN direcciones de interfaz IP IP de túnel en una seguridad policy mantengan el túnel activo.
- Al reducir la seguridad para permitir direcciones/objetos/grupos de direcciones de origen y destino específicos, asegúrese de que las direcciones de interfaz IP de túnel estén permitidas en la seguridad policy policy en caso de que se produzca el escenario de configuración anterior.
- Si las direcciones de túnel no están permitidas en una regla de seguridad, la supervisión de rutas hará que los túneles IP se caigan ya que los pings fallarán.
- Se puede configurar la supervisión de la ruta para supervisar cualquier otra IP dirección detrás del túnel en lugar de la dirección de la interfaz IP del VPN túnel. Esta configuración no requerirá permitir direcciones de interfaz IP de túnel en un valor policy.