症状
文档提供了关于设置IPSEC隧道的信息。这篇文章提供了一个带有屏幕截图和IP地址的例子。
环境
Palo Alto 防火墙
IPSEC VPN配置
支持的PAN-OS
拓扑
解决办法
注意:Palo Alto Networks只支持IPSec VPN的隧道模式。IPSec VPN不支持传输模式。
步骤1
进入 "网络">"接口">"隧道 "标签,点击 "添加 "创建一个新的隧道接口,并指定以下参数。
名称: tunnel.1
虚拟路由器:(选择你希望你的隧道接口所在的虚拟路由器)
安全区:(为隧道接口配置一个新的安全区,以便更精细地控制进出隧道的流量)。
注意:如果隧道接口所处的区域与流量起源或离开的区域不同,那么就需要一个策略来允许流量从源区域流向包含隧道接口的区域。
在隧道接口上配置ip-address是可选的。如果你打算在隧道接口上运行动态路由协议,就需要IP-address。
第2步
转到网络 > 网络配置文件 > IKE加密。
点击添加并定义IKE加密配置文件(IKEv1阶段1)参数。
名称并不重要,可以是任何你喜欢的。
这些参数应该在远程防火墙上匹配,以便IKE Phase-1协商成功。
第3步
进入网络 > 网络配置文件 > IKE网关,配置IKE阶段1的网关。
版本。版本有选项,你可以选择只有IKEv1模式、只有IKEv2模式或IKEv2首选模式。
选择网关支持的IKE版本,并且必须同意与对等网关一起使用。IKEv2首选模式使网关进行IKEv2协商,如果对等方也支持IKEv2,他们就会使用该模式。否则,网关将退回到IKEv1。
接口。连接到互联网的外部接口。
本地和对等体识别。定义本地/对等网关的格式和标识,它们与预共享密钥一起用于IKEv1第一阶段SA和IKEv2 SA的建立。
选择以下类型之一并输入数值。FQDN(主机名)、IP地址、KEYID(二进制格式的HEX ID字符串)、或用户FQDN(电子邮件地址)。如果不指定数值,网关将使用本地/对方的IP地址作为本地/对方的识别值。
点击 "高级选项 "标签
启用被动模式 - 防火墙仅处于响应者模式。防火墙将只响应IKE连接,而不会发起连接。
交换模式 - 设备可以接受主模式和攻击性模式的协商请求;但是,只要有可能,它就会发起协商并允许在主模式下进行交换
步骤 4
在 "网络">"网络配置文件">"IPSec加密 "下,单击 "添加 "创建新的配置文件,定义IPSec加密配置文件以指定协议和算法,用于基于IPSec SA协商(IKEv1阶段2)的VPN隧道的识别、验证和加密。
这些参数应在远程防火墙上匹配,以使IKE第二阶段的协商成功。
第5步
在网络 > IPSec隧道下,点击添加创建一个新的IPSec隧道。
在常规窗口中,使用上面的隧道接口、IKE网关和IPSec加密配置文件来设置参数,以便在防火墙之间建立IPSec VPN隧道。
注意:如果隧道的另一端是支持基于策略的VPN的对等体,你必须定义代理ID
当配置IPSec隧道的Proxy-ID配置来识别被NAT化的流量的本地和远程IP网络时,IPSec隧道的Proxy-ID配置必须配置Post-NAT的IP网络信息,因为Proxy-ID信息定义了IPSec配置中允许通过隧道两边的网络。
第6步
在网络 > 虚拟路由器下,点击你的虚拟路由器配置文件,然后点击静态路由。
为另一个VPN端点后面的网络添加一个新的路由。使用适当的隧道接口。
完成后点击确定。
第7步
配置所需的安全规则/政策
允许IKE协商和IPSec/ESP数据包。默认情况下,IKE协商和IPSec/ESP数据包将通过区域内的默认允许被允许。
如果你希望有更精细的控制,你可以特别允许所需的流量,而拒绝其他的流量。
允许传入和传出的流量通过隧道。如果你需要对传入和传出的流量进行细化控制,你可以为每个方向创建单独的规则。
第八步
提交配置。
注意。
只有当有有趣的流量指向该隧道时,该隧道才会出现。
要手动启动隧道,检查状态和清除隧道请参考。
如何检查状态、清除、恢复和监控IPSEC VPN隧道。
