Est-il nécessaire d’autoriser les adresses d’interface IP de tunnel avec A sécurité Policy sur le Firewall?
12809
Created On 09/15/22 03:21 AM - Last Modified 03/24/23 07:29 AM
Question
Est-il nécessaire d’autoriser les adresses d’interface IP de tunnel avec A sécurité Policy sur le Firewall?
Environment
- Pare-feu Palo Alto Networks.
- Pris en charge PAN-OS.
- Tunnels IPSec.
- Surveillance des tunnels.
Answer
- Lorsqu’un tunnel de site à site est configuré avec le routage statique, l’interface du tunnel ne nécessite pas d’adresse IP . Pour activer la surveillance des tunnels, envisagez d’ajouter une IP adresse.
- Si la surveillance de chemin est activée sur la route statique pour le tunnel et qu'elle est configurée pour surveiller les adresses d'interface de tunnel de l'homologue, il est nécessaire d'autoriser les VPN adresses d'interface IP IP de tunnel dans une sécurité policy pour VPN maintenir le tunnel.
- Tout en réduisant la sécurité pour autoriser des adresses/objets/groupes d’adresses/adresses source et de destination spécifiques, assurez-vous que les adresses d’interface IP de tunnel sont autorisées dans la sécurité policy policy dans le cas du scénario de configuration ci-dessus.
- Si les adresses de tunnel IP ne sont pas autorisées dans une règle de sécurité, la surveillance des chemins entraînera l’arrêt des tunnels car les pings échoueront.
- On peut configurer la surveillance du chemin pour surveiller toute autre IP adresse derrière le VPN tunnel au lieu de l’adresse d’interface IP du tunnel. Cette configuration ne nécessite pas d’autoriser les adresses d’interface IP de tunnel dans un fichier policy.