Тази статия е продължение посветен на характеристиките на настройката на оборудването Пало Алто Мрежи . Тук искаме да говорим за настройката IPSec Site-to-Site VPN върху оборудването Пало Алто Мрежи и за възможна опция за конфигурация за свързване на няколко интернет доставчика.
За демонстрацията ще се използва стандартна схема за свързване на централата с клона. За да осигури устойчива на грешки интернет връзка, централата използва едновременната връзка на двама доставчика: ISP-1 и ISP-2. Клонът има връзка само с един доставчик ISP-3. Между защитните стени PA-1 и PA-2 са изградени два тунела. Тунелите са в експлоатация. Активен режим на готовност, Тунел-1 работи, Тунел-2 ще започне да пренасочва трафика, когато Тунел-1 се повреди. Тунел-1 използва връзка с ISP-1, Тунел-2 използва връзка с ISP-2. Всички IP адреси са произволно генерирани за демонстрационни цели и не са свързани с реалността.
За изграждане на Site-to-Site ще се използва VPN IPSec - набор от протоколи за осигуряване на защита на данните, предавани по IP протокола. IPSec ще работи с помощта на протокол за сигурност ESP (Encapsulating Security Payload), което ще гарантира криптирането на предаваните данни.
В IPSec включва IKE (Internet Key Exchange) е протокол, отговорен за договаряне на SA (асоциации за сигурност), параметри за сигурност, които се използват за защита на предаваните данни. Поддръжка на PAN защитни стени IKEv1 и IKEv2.
В IKEv1 VPN връзката се изгражда на два етапа: IKEv1 Фаза 1 (тунел IKE) и IKEv1 Фаза 2 (IPSec тунел), по този начин се създават два тунела, единият от които служи за обмен на служебна информация между защитните стени, а вторият - за прехвърляне на трафик. IN IKEv1 Фаза 1 Има два режима на работа - основен режим и агресивен режим. Агресивният режим използва по-малко съобщения и е по-бърз, но не поддържа Peer Identity Protection.
IKEv2 заменен IKEv1, и в сравнение с IKEv1 основното му предимство е по-ниските изисквания за честотна лента и по-бързото договаряне на SA. IN IKEv2 използват се по-малко overhead съобщения (общо 4), поддържа се протокол EAP, MOBIKE и е добавен механизъм за проверка на наличността на партньора, с който е създаден тунелът - проверка на жизнеността, който замества Dead Peer Detection в IKEv1. Ако проверката е неуспешна, тогава IKEv2 може да нулира тунела и след това автоматично да го възстанови при първа възможност. Можете да научите повече за разликите .
Ако тунелът е изграден между защитни стени от различни производители, тогава може да има грешки в изпълнението IKEv2, а за съвместимост с такова оборудване е възможно да се използва IKEv1. В други случаи е по-добре да се използва IKEv2.
Стъпки за настройка:
• Настройване на два ISP в режим ActiveStandby
Има няколко начина за прилагане на тази функция. Един от тях е да използвате механизма Мониторинг на пътя, които станаха достъпни от версията PAN-OS 8.0.0. Този пример използва версия 8.0.16. Тази функция е подобна на IP SLA в рутерите на Cisco. Параметърът за статичен маршрут по подразбиране е конфигуриран да изпраща ping пакети до конкретен IP адрес от конкретен адрес на източник. В този случай интерфейсът ethernet1/1 пингва шлюза по подразбиране веднъж в секунда. Ако няма отговор за три пинга подред, тогава маршрутът се счита за мъртъв и се премахва от таблицата за маршрутизиране. Същият маршрут е конфигуриран към втория интернет доставчик, но с по-голям показател (той е резервен). След като първият маршрут бъде премахнат от таблицата, защитната стена ще започне да изпраща трафик по втория маршрут − Срив. Когато първият доставчик започне да отговаря на ping, неговият маршрут ще се върне в таблицата и ще замени втория поради по-добра метрика − Fail Back... процес Срив отнема няколко секунди в зависимост от конфигурираните интервали, но във всеки случай процесът не е мигновен и трафикът се губи през това време. Fail Back преминава без загуба на трафик. Има възможност да се направи Срив по-бързо с BFDако вашият интернет доставчик ви позволява да го направите. BFD поддържа се от модела Серия PA-3000 и VM-100. Като адрес за ping е по-добре да посочите не шлюза на доставчика, а публичен, винаги достъпен интернет адрес.
• Създаване на тунелен интерфейс
Трафикът вътре в тунела се предава чрез специални виртуални интерфейси. Всеки от тях трябва да бъде конфигуриран с IP адрес от транзитната мрежа. В този пример Тунел-1 ще използва подмрежа 172.16.1.0/30, а Тунел-2 ще използва подмрежа 172.16.2.0/30.
Интерфейсът на тунела е създаден в секцията Мрежа -> Интерфейси -> Тунел. Трябва да посочите виртуален рутер и зона за сигурност, както и IP адрес от съответната транспортна мрежа. Номерът на интерфейса може да бъде всякакъв.
В раздел Подробно можете да укажете Профил на управлениекоето ще позволи ping към дадения интерфейс, това може да бъде полезно за тестване.
• Конфигуриране на IKE профил
IKE профил отговорен за първия етап от създаването на VPN връзка, параметрите на тунела са посочени тук IKE Фаза 1. Профилът се създава в секцията Мрежа -> Мрежови профили -> IKE Crypto. Трябва да посочите алгоритъма за криптиране, хеширането, групата на Diffie-Hellman и живота на ключа. Като цяло, колкото по-сложни са алгоритмите, толкова по-лоша е производителността, те трябва да бъдат избрани въз основа на специфични изисквания за сигурност. Въпреки това силно не се препоръчва използването на група на Diffie-Hellman под 14 за защита на чувствителна информация. Това се дължи на уязвимост на протокола, която може да бъде изравнена само чрез използване на размер на модула от 2048 бита или повече, или елиптични криптографски алгоритми, които се използват в групи 19, 20, 21, 24. Тези алгоритми имат по-добра производителност в сравнение с традиционната криптография . , и .
• Настройка на IPSec профил
Втората стъпка в създаването на VPN връзка е IPSec тунел. SA параметрите за него са конфигурирани в Мрежа -> Мрежови профили -> IPSec крипто профил. Тук трябва да посочите IPSec протокола - AH или ESP, както и параметрите SA - алгоритми за хеширане, криптиране, групи на Дифи-Хелман и продължителност на живота на ключовете. Настройките на SA в IKE Crypto Profile и IPSec Crypto Profile може да не съвпадат.
• Конфигуриране на IKE Gateway
IKE Gateway е обект, обозначаващ рутера или защитната стена, с които се изгражда VPN тунелът. За всеки тунел трябва да създадете свой собствен IKE Gateway. В този случай се създават два тунела, по един през всеки ISP. Указват се съответният изходящ интерфейс и неговият ip-адрес, ip-адресът на партньора и споделеният ключ. Като алтернатива на предварително споделен ключ можете да използвате сертификати.
Това е мястото, където създадените по-рано IKE крипто профил. Параметри на втория обект IKE Gateway са еднакви с изключение на IP адресите. Ако защитната стена на Palo Alto Networks се намира зад NAT рутер, тогава трябва да активирате механизма NAT преминаване.
• Настройка на IPSec тунел
IPSec тунел - Това е обект, който определя параметрите на IPSec тунела, както подсказва името. Тук трябва да посочите интерфейса на тунела и предварително създадените обекти IKE Gateway, IPSec крипто профил. За да осигурите автоматично превключване на маршрутизиране към резервния тунел, трябва да активирате Тунелен монитор. Това е механизъм, който проверява дали партньорът е жив, използвайки ICMP трафик. Като адрес на местоназначение трябва да посочите IP адреса на интерфейса на тунела на партньора, с който се изгражда тунелът. Профилът определя таймери и действие при загуба на връзка. Изчакайте възстановяване - изчакайте, докато връзката се възстанови, Срив — изпраща трафик по различен маршрут, ако има такъв. Настройката на втория тунел е напълно подобна, интерфейсът на втория тунел и IKE Gateway са посочени.
• Настройка на маршрута
Този пример използва статично маршрутизиране. На защитната стена PA-1, в допълнение към двата маршрута по подразбиране, трябва да посочите два маршрута към подмрежата 10.10.10.0/24 в клона. Единият маршрут използва тунел-1, другият използва тунел-2. Маршрутът през Тунел-1 е основен, защото е с по-ниска метрика. Механизъм Мониторинг на пътя не се използва за тези маршрути. Отговаря за превключването Тунелен монитор.
Същите маршрути за подмрежата 192.168.30.0/24 трябва да бъдат конфигурирани на PA-2.
• Настройка на мрежови правила
Има три правила за работа на тунела:
- Да работиш Монитор на пътя разреши ICMP на външни интерфейси.
- За IPSec разрешаване на приложения Айк и ipsec на външни интерфейси.
- Разрешаване на трафик между вътрешни подмрежи и тунелни интерфейси.
Заключение
Тази статия обсъжда опцията за настройка на устойчива на грешки интернет връзка и VPN от сайт до сайт. Надяваме се, че информацията е била полезна и читателят е получил представа за технологиите, използвани в Пало Алто Мрежи. Ако имате въпроси относно настройката и желания по темите на бъдещи статии - напишете ги в коментарите, ще се радваме да отговорим.
Източник: www.habr.com