Çerezler, daha iyi bir kullanıcı deneyimi sunmamıza yardımcı olur. Web sitemizi kullanarak, çerezlerin kullanımını kabul etmiş oluyorsunuz.
0 yorumlar admin Netwoking, palo alto

Palo alto IPSec Tunnel setup:

Bahsedeceğimiz konu hakkında kısaca bir senaryo üretelim.

Şirketimizin Merkez ofisinde yer alan sunucularına, şube ofislerinden güvenli erişim sağlamak amacı ile her iki lokasyonu IPSec VPN üzerinden erişim sağlamak istiyoruz.

Her iki cihazın ayrı lokasyonlarda ve internet erişimi olduğu varsayılmıştır.

Kurulum adımları:

Network> Network Profiles tabından;

  1. Tunnel interface oluştur.
  2. VPN için ayrı bir “zone” oluştur. 
  3. IPSec Crypto Profil oluştur.
  4. IKE Crypto Profile oluştur. (PA to PA default kalabilir. Farklı cihazlar kullanılacak ise gözden geçirin )
  5. IKE Gateway oluştur.
  6. IPSec Tunnels Rule oluştur.

 

Policy tabı altından;

7. Security Rule oluştur. (trust to VPN //// VPN to trust)

Network>virtual router>default>static route tabından;

8. Static route oluştur.

9. IPSec VPN Troubleshoot

Her iki lokasyondaki cihazlar için bu adımları gerçekleştirmemiz gerekiyor. Ben sadece 1 lokasyon tarafını anlatacağım diğeri benzer şekilde olacağından problem olmayacak diye tahmin ediyorum.

 

 

Kurulum :

1.Tunnel interface :

 

 

 

2. VPN için Layer 3 zone oluşturalım;

 

3. IPSec Crypto Profile oluştur; PA to PA senaryolarda bu alanı default bırakabilirsiniz. Karşı uçta farklı bir cihaz var ise Encryption alanında belirtilen algoritmaların sırası önem kazanacaktır. Her iki cihazda da aynı olmasına dikkat etmeniz gerekmekte. Ben default bırakıyorum.

 

4. IKE Crypto Profile oluştur; default bırakıyorum fakat yukarıda söylediklerim burası içinde geçerli.

 

5. IKE Gateway oluştur;

 

6. IPSec Tunnel Rule; Buraya kadar VPN için kullanacağımız profilleri oluşturduk. Şimdi oluşturduğumuz profillerin bir bütün olarak hareket etmesini sağlayacağız.

 

 

7. Security Rule; iki lokasyon arasındaki VPN trafiği için kural oluşturuyoruz. Bu şekilde trafiği yönetme imkanımız olacak. Trafik içerisinde antivirüs, file blocking gibi farklı toolları source-destination mantığı çerçevesinde devreye alabilirsiniz.

 

 

 

 

 

8. Routing; her iki lokasyonun yerel ip adreslerinin birbirlerine erişebilmesi için routing tablolarını aşağıdaki gibi yapılandıralım.

 

9. Her iki lokasyon ve cihazda Ayarları bitirip Commit ettikten sonra VPN ayağa kalkmayabilir. Bunun için ve diğer durumlarda referans alabileceğiniz komutlar aşağıda belirtilmiştir.

  • test routing fib-lookup virtual-router default ip
  • test vpn ipsec-sa tunnel 
  • debug ike global on debug
  • less mp-log ikemgr.log
  • debug ike pcap on
  • view-pcap no-dns-lookup yes no-port-lookup yes debug-pcap ikemgr.pcap
  • debug ike pcap off
  • show vpn flow name 
  • show vpn flow name  | match bytes
  • show vpn ipsec-sa
  • show vpn ipsec-sa tunnel 
  • test vpn ike-sa gateway 

 

 

 

 

 

 

 

 

 

 

 

Ne düşündüğünü söyle

* Gerekli alanlar