怎样配置IPSec VPN

yishi — Wed, 04 Jan 2023 03:31:25 GMT

症状

文档提供了关于设置IPSEC隧道的信息。这篇文章提供了一个带有截图和IP地址的例子。

环境

Palo Alto 防火墙
IPSEC VPN配置
支持的PAN-OS

拓扑

解决办法

注意：Palo Alto Networks只支持IPSec VPN的隧道模式。IPSec VPN不支持传输模式。

第1步
进入 "网络">"接口">"隧道 "标签，点击 "添加 "创建一个新的隧道接口，并指定以下参数。
名称： tunnel.1
虚拟路由器：（选择你希望的隧道接口所在的虚拟路由器）
安全区（Security Zone）：（为隧道接口配置一个新的安全区，以便更精细地控制进出隧道的流量）。

注意：如果隧道接口所处的区域与流量起源或离开的区域不同，那么就需要一个策略来允许流量从源区域流向包含隧道接口的区域。
在隧道接口上配置ip-address是可选的。如果你打算在隧道接口上运行动态路由协议，就需要IP-address。

第2步
转到网络 > 网络配置文件 > IKE加密。
点击添加并定义IKE加密配置文件（IKEv1阶段1）参数。
名称并不重要，可以是任何。
这些参数应该在远程防火墙上匹配，以便IKE Phase-1协商成功。

第3步
进入网络 > 网络配置文件 > IKE网关，配置IKE阶段1的网关。
版本：版本有选项，你可以选择只有IKEv1模式、只有IKEv2模式或IKEv2首选模式。
选择网关支持的IKE版本，并且必须同意与对等网关一起使用。IKEv2首选模式使网关进行IKEv2协商，如果对等方也支持IKEv2，他们就会使用该模式。否则，网关将退回到IKEv1。
接口：连接到互联网的外部接口。
本地和对等体识别：定义了本地/对等网关的格式和标识，与预共享密钥一起用于IKEv1第一阶段SA和IKEv2 SA的建立。

选择以下类型之一并输入数值。FQDN（主机名）、IP地址、KEYID（HEX格式的二进制ID字符串）、或用户FQDN（电子邮件地址）。如果不指定数值，网关将使用本地/对方的IP地址作为本地/对方的识别值。

点击 "高级选项 "标签。

启用被动模式 - 防火墙将处于仅响应者模式。防火墙将只响应IKE连接，而从不发起连接。
交换模式 - 设备可以接受主模式和攻击性模式的协商请求；但是，只要有可能，它就会发起协商并允许在主模式（main mode）下进行交换。

第4步
在 "网络">"网络配置文件">"IPSec加密 "下，单击 "添加 "创建新的配置文件，定义IPSec加密配置文件以指定协议和算法，用于基于IPSec SA协商（IKEv1阶段2）的VPN隧道的识别、验证和加密。
这些参数应在远程防火墙上匹配，以使IKE第二阶段的协商成功。

第5步
在网络 > IPSec隧道下，点击添加创建一个新的IPSec隧道。
在常规窗口中，使用上面的隧道接口、IKE网关和IPSec加密配置文件来设置参数，以便在防火墙之间建立IPSec VPN隧道。

注意：如果隧道的另一端是支持基于策略的VPN的对等体，你必须定义代理ID
当配置IPSec隧道的Proxy-ID配置来识别被NAT化的流量的本地和远程IP网络时，IPSec隧道的Proxy-ID配置必须配置Post-NAT的IP网络信息，因为Proxy-ID信息定义了IPSec配置中允许通过隧道两边的网络。

第6步
在网络 > 虚拟路由器下，点击你的虚拟路由器配置文件，然后点击静态路由。
为另一个VPN端点后面的网络添加一个新的路由。使用适当的隧道接口。
完成后点击确定。

第7步
配置所需的安全规则/政策

允许IKE协商和IPSec/ESP数据包。默认情况下，IKE协商和IPSec/ESP数据包将通过区域内的默认允许被允许。
如果你希望有更精细的控制，你可以特别允许所需的流量，而拒绝其他的流量。

允许传入和传出的流量通过隧道。如果你需要对传入和传出的流量进行细化控制，你可以为每个方向创建单独的规则。

第8步
提交配置

注意。
只有当有感兴趣的流量指向该隧道时，该隧道才会出现。

要手动启动隧道，检查状态和清除隧道请参考。

How to check Status, Clear, Restore, and Monitor an IPSEC VPN Tunnel

article 怎样配置IPSec VPN in 配置和实施

怎样配置IPSec VPN

症状

环境

拓扑

解决办法