Palo Alto IPSec VPN Site to Site 設定

內容目錄

Architecture

雖然中間用一朵雲Internet表示

但通常兩間公司使用IPSec VPN的話中間需要許多Switch跟Router來轉接

而我實驗環境是在不同VLAN裡面而已

所以大多是用Virtual Route跳出去而已

Zone

首先VPN的zone都是額外的

到Network->Zones

Add一個新的Zone叫做vpn

接著建立tunnel

Tunnel

建立一個tunnel的interface

到Network->Interfaces->Tunnel

新增一條Tunnel

Virtual Router的default是把全部的IP都綁一起

我把tunnel、trust、untrust內外腳都綁在一起

zone選擇剛才建的vpn zone

而這條tunnel是logical的

所以不需要設定任何IP

Virtual Router

到Network->Virtual Routers

然後我是把全部的腳都綁在一起

而Static Routes設定成tunnel要走的路

新增兩條一條單純的default gateway

另一條是tuunel的線

我的GW走外腳透過自己環境的switch跟router找到對方

所以我下一跳是先自己的default gateway

第二條是vpn

只需要建立該tunnel而已

而且是Logical的

所以不需要下一跳直接none即可

Interface Mgmt

內外腳都加上ping profile

或者你要全開都可以

到Network->Interface Mgmt裡面新增

然後把原本的內外腳Advanced都加上剛才建的ping profile

確認內外腳都有上

IKE Crypto

Network->Network Profiles->IKE Crypto

IPSec VPN建立一條加密過的VPN Tunnel

所以需要雙方溝通用加密過的Profile

先是VPN雙方建立通道的Key如何交換

就得靠IKE Crypto來做到

雙方使用則加密協定要相同

Diffie-Hellman Group相同

加密方法我選用AES-128-CBC

驗證用的Hash選擇SHA256

key的存活時間我選擇1小時

但依個人情況可以調整

IPSec Crypto

到Network->Network Profile->IPSec Crypto

交換完key之後

開始建立雙方的通道

確保資料傳輸時的安全性就是使用IPSec

IKE Gateway

Network->Network Profiles->IKE Gateways

開始建立通道

Local IP是自己的外腳

然後Peer是對方的外腳

Pre-shared key雙方要設一樣的

Local Identification可有可無

選擇的版本是IKEv1

然後Advanced Options內確認自己剛才建立的IKE Crypto Profile

IPSec Tunnels

開始就是重頭戲

到Network->IPSec Tunnels新增一條

interface選擇剛才建立的tunnel

IKE Gateway跟IPSec Crypto一樣選擇剛才建立的

Proxy IDs我自己建立一條兩邊各自內網的路

IPSec VPN Policy

除了建立好IPSec Tunnel之外

還需要3條Policy來控管VPN

  1. allow IKE IPSec的Policy放行IKE, IPSec的application

這條針對IPSec tunnel

所以這從untrust到untrust

然後新增IKE跟IPSec的applicaiton

並且是allow的

2. Allow tunnel Traffic Out

再來是出去的流量

從內網到vpn的路

所以是從trust到vpn

3. allow tunnel traffic in

能夠出去到別人內網

對方也必須能夠進到我的內網

所以也需要一條進來的Policy

從vpn到trust的路

Other Side PA Firewall

就跟上面的步驟做一模一樣的事

你可以輸出config倒進去另一台

然後Interface調整一下即可

Result

我設定Interface Management Profile的Ping是因為我要互Ping對方來驗證

將雙方的PA Firewall串上一台PC

然後互Ping對方PC的IP

兩台PC來自不一樣的網段

然後檢查IPSec Tunnel

Network->IPSec Tunnel

如果雙方的Status兩顆都是亮綠燈的話就代表設定成功

這邊要注意的是必須要先互通做加解密功能後IKE Tunnel Status才會顯示綠燈

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGkCAK

按照PA官方KB所寫的資訊

最後檢查雙方Log

Monitor->Traffic

確認雙方PA Log都有對方Ping的Log就代表整個有架設成功

可以進來也可以出去

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。