Este artigo é unha continuación dedicado ás especificidades da instalación de equipos Palo Alto Networks . Aquí queremos falar da configuración VPN de sitio a sitio IPSec sobre equipos Palo Alto Networks e sobre unha posible opción de configuración para conectar varios provedores de Internet.
Para a demostración empregarase un esquema normalizado de conexión da sede social coa sucursal. Para proporcionar unha conexión a Internet tolerante a fallos, a sede central utiliza unha conexión simultánea de dous provedores: ISP-1 e ISP-2. A sucursal ten unha conexión só cun provedor, o ISP-3. Constrúense dous túneles entre os cortalumes PA-1 e PA-2. Os túneles operan no modo Modo de espera activo,Túnel-1 está activo, Tunnel-2 comezará a transmitir tráfico cando falle o Tunnel-1. Tunnel-1 usa unha conexión a ISP-1, Tunnel-2 usa unha conexión a ISP-2. Todos os enderezos IP xéranse aleatoriamente con fins de demostración e non teñen relación coa realidade.
Para crear unha VPN de sitio a sitio utilizarase IPsec — un conxunto de protocolos para garantir a protección dos datos transmitidos vía IP. IPsec funcionará mediante un protocolo de seguridade ESP (Encapsulating Security Payload), que garantirá o cifrado dos datos transmitidos.
В IPsec entra Ike (Internet Key Exchange) é un protocolo encargado de negociar SA (asociacións de seguridade), parámetros de seguridade que se utilizan para protexer os datos transmitidos. Compatibilidade con cortalumes PAN IKEv1 и IKEv2.
В IKEv1 Unha conexión VPN constrúese en dúas etapas: IKEv1 Fase 1 (túnel IKE) e IKEv1 Fase 2 (túnel IPSec), así, créanse dous túneles, un dos cales se utiliza para o intercambio de información de servizo entre cortalumes, o segundo para a transmisión de tráfico. EN IKEv1 Fase 1 Hai dous modos de funcionamento: modo principal e modo agresivo. O modo agresivo usa menos mensaxes e é máis rápido, pero non admite a protección da identidade dos pares.
IKEv2 substituído IKEv1, e en comparación con IKEv1 a súa principal vantaxe son os requisitos de ancho de banda máis baixos e unha negociación SA máis rápida. EN IKEv2 Utilízanse menos mensaxes de servizo (4 en total), son compatibles os protocolos EAP e MOBIKE e engadiuse un mecanismo para comprobar a dispoñibilidade do peer co que se crea o túnel. Verificación de vivacidade, substituíndo Dead Peer Detection en IKEv1. Se a comprobación falla, entón IKEv2 pode restablecer o túnel e despois restauralo automaticamente na primeira oportunidade. Podes aprender máis sobre as diferenzas .
Se se constrúe un túnel entre cortalumes de diferentes fabricantes, pode haber erros na implementación IKEv2, e para compatibilidade con tales equipos é posible usar IKEv1. Noutros casos é mellor usar IKEv2.
Pasos de configuración:
• Configurar dous provedores de Internet no modo ActiveStandby
Hai varias formas de implementar esta función. Un deles é utilizar o mecanismo Seguimento de camiños, que estivo dispoñible a partir da versión PAN-OS 8.0.0. Este exemplo usa a versión 8.0.16. Esta función é similar ao IP SLA nos routers Cisco. O parámetro de ruta predeterminada estática configura o envío de paquetes de ping a un enderezo IP específico desde un enderezo de orixe específico. Neste caso, a interface ethernet1/1 fai ping á pasarela predeterminada unha vez por segundo. Se non hai resposta a tres pings seguidos, a ruta considérase rota e elimínase da táboa de enrutamento. A mesma ruta está configurada cara ao segundo provedor de Internet, pero cunha métrica superior (é unha copia de seguridade). Unha vez que se elimine a primeira ruta da táboa, o firewall comezará a enviar tráfico pola segunda ruta − Fail-over. Cando o primeiro provedor comeza a responder aos pings, a súa ruta volverá á táboa e substituirá a segunda debido a unha mellor métrica - Fail-Back. Proceso Fail-over leva uns segundos dependendo dos intervalos configurados, pero, en todo caso, o proceso non é instantáneo, e durante este tempo pérdese tráfico. Fail-Back pasa sen perda de tráfico. Hai unha oportunidade de facer Fail-over máis rápido, con B.F.D., se o provedor de Internet ofrece tal oportunidade. B.F.D. soportado a partir do modelo Serie PA-3000 и VM-100. É mellor especificar non a pasarela do provedor como enderezo de ping, senón un enderezo de Internet público e sempre accesible.
• Creación dunha interface de túnel
O tráfico dentro do túnel transmítese a través de interfaces virtuais especiais. Cada un deles debe estar configurado cun enderezo IP da rede de tránsito. Neste exemplo, a subestación 1/172.16.1.0 empregarase para o Túnel-30 e a subestación 2/172.16.2.0 para o Túnel-30.
A interface do túnel créase na sección Rede -> Interfaces -> Túnel. Debes especificar un enrutador virtual e unha zona de seguridade, así como un enderezo IP da rede de transporte correspondente. O número da interface pode ser calquera cousa.
Na sección Avanzado pódese especificar Perfil de xestiónque permitirá facer ping na interface indicada, isto pode ser útil para probar.
• Configurando o perfil IKE
Perfil IKE é o responsable da primeira fase de creación dunha conexión VPN; aquí se especifican os parámetros do túnel IKE Fase 1. O perfil créase na sección Rede -> Perfís de rede -> IKE Crypto. É necesario especificar o algoritmo de cifrado, o algoritmo de hash, o grupo Diffie-Hellman e a duración da chave. En xeral, canto máis complexos sexan os algoritmos, peor será o rendemento; deben seleccionarse en función dos requisitos de seguridade específicos. Non obstante, non se recomenda estrictamente utilizar un grupo Diffie-Hellman menor de 14 anos para protexer a información confidencial. Isto débese á vulnerabilidade do protocolo, que só se pode mitigar empregando módulos de 2048 bits ou superiores, ou algoritmos de criptografía elíptica, que se utilizan nos grupos 19, 20, 21, 24. Estes algoritmos teñen un maior rendemento en comparación cos criptografía tradicional. . E .
• Configurar o perfil IPSec
A segunda etapa da creación dunha conexión VPN é un túnel IPSec. Os parámetros SA para iso están configurados en Rede -> Perfís de rede -> Perfil criptográfico IPSec. Aquí ten que especificar o protocolo IPSec - AH ou ESP, así como parámetros SA — algoritmos de hash, cifrado, grupos Diffie-Hellman e duración da chave. Os parámetros SA no perfil IKE Crypto e IPSec Crypto Profile poden non ser os mesmos.
• Configurando IKE Gateway
Pasarela IKE - este é un obxecto que designa un router ou firewall co que se constrúe un túnel VPN. Para cada túnel debes crear o teu propio Pasarela IKE. Neste caso, créanse dous túneles, un a través de cada provedor de Internet. Indícanse a interface de saída correspondente e o seu enderezo IP, enderezo IP do mesmo e clave compartida. Os certificados poden usarse como alternativa a unha chave compartida.
Aquí indícase o creado anteriormente Perfil IKE Crypto. Parámetros do segundo obxecto Pasarela IKE similar, excepto para os enderezos IP. Se o firewall de Palo Alto Networks está situado detrás dun enrutador NAT, entón tes que activar o mecanismo Travesía NAT.
• Configuración do túnel IPSec
Túnel IPSec é un obxecto que especifica os parámetros do túnel IPSec, como o nome indica. Aquí cómpre especificar a interface do túnel e os obxectos creados previamente Pasarela IKE, Perfil criptográfico IPSec. Para garantir o cambio automático do enrutamento ao túnel de copia de seguridade, debes activalo Monitor de túnel. Este é un mecanismo que verifica se un par está activo mediante o tráfico ICMP. Como enderezo de destino, cómpre especificar o enderezo IP da interface do túnel do peer co que se está construíndo o túnel. O perfil especifica temporizadores e que facer se se perde a conexión. Agarda Recuperar - agarde ata que se restaure a conexión, Fail Over — enviar tráfico por unha ruta diferente, se está dispoñible. A configuración do segundo túnel é completamente semellante; especifícanse a interface do segundo túnel e a pasarela IKE.
• Configurar o enrutamento
Este exemplo usa o enrutamento estático. No firewall PA-1, ademais das dúas rutas predeterminadas, cómpre especificar dúas rutas á subrede 10.10.10.0/24 na rama. Unha ruta usa o Túnel-1, a outra o Túnel-2. A ruta polo Túnel-1 é a principal porque ten unha métrica inferior. Mecanismo Seguimento de camiños non se utiliza para estas rutas. Responsable do cambio Monitor de túnel.
As mesmas rutas para a subrede 192.168.30.0/24 deben configurarse no PA-2.
• Configurar regras de rede
Para que o túnel funcione, son necesarias tres regras:
- Para traballar Monitor de ruta Permitir ICMP en interfaces externas.
- Para IPsec permitir aplicacións ike и ipsec en interfaces externas.
- Permitir tráfico entre subredes internas e interfaces de túneles.
Conclusión
Este artigo analiza a opción de configurar unha conexión a Internet tolerante a fallos e VPN de sitio a sitio. Agardamos que a información fose útil e que o lector se fixera unha idea das tecnoloxías utilizadas Palo Alto Networks. Se tes preguntas sobre a configuración e suxestións sobre temas para futuros artigos, escríbeas nos comentarios, estaremos encantados de responder.
Fonte: www.habr.com