Ця стаття є продовженням , присвяченого особливостям налаштування обладнання Palo Alto Networks . Тут ми хочемо розповісти про налаштування IPSec Site-to-Site VPN на устаткуванні Palo Alto Networks та про можливий варіант конфігурації підключення кількох інтернет-провайдерів.
Для демонстрації буде використано стандартну схему підключення головного офісу до філії. Для того, щоб забезпечити відмовостійке інтернет-з'єднання, в головному офісі використовується одночасне підключення двох провайдерів: ISP-1 та ISP-2. Філія має підключення тільки одного провайдеру, ISP-3. Між міжмережевими екранами PA-1 та PA-2 пробудовується два тунелі. Тунелі працюють у режимі Активний режим очікування, Tunnel-1 активний, Tunnel-2 почне передавати трафік при відмові Tunnel-1. Tunnel-1 використовує підключення до інтернет-провайдера ISP-1, Tunnel-2 використовує підключення до інтернет-провайдера ISP-2. Всі IP-адреси згенеровані випадково для демонстрації, і не мають відношення до реальності.
Для побудови Site-to-Site VPN буде використано IPSec — набір протоколів для захисту даних, що передаються за протоколом IP. IPSec працюватиме з використанням протоколу безпеки ESP (Encapsulating Security Payload), що забезпечить шифрування даних, що передаються.
В IPSec входить IKE (Internet Key Exchange) — протокол, який відповідає за узгодження SA (security associations), параметрів безпеки, які використовуються для захисту даних, що передаються. Міжмережні екрани PAN підтримують IKEv1 и IKEv2.
В IKEv1 З'єднання VPN будується в два етапи: IKEv1 Phase 1 (IKE тунель) та IKEv1 Phase 2 (IPSec тунель), таким чином, створюються два тунелі, один з яких служить для обміну службовою інформацією між міжмережевими екранами, другий для передачі трафіку. У IKEv1 Phase 1 Існує два режими роботи - main mode і aggressive mode. Aggressive mode використовує менше повідомлень та працює швидше, але не підтримує Peer Identity Protection.
IKEv2 прийшов на зміну IKEv1, і в порівнянні з IKEv1 його головна перевага - це менші вимоги до смуги пропускання та більш швидке узгодження SA. У IKEv2 використовується менше службових повідомлень (всього 4), підтримується протокол EAP, MOBIKE та доданий механізм перевірки доступності бенкету, з яким створюється тунель. Перевірка живучості, що замінює Dead Peer Detection в IKEv1 Якщо перевірка не пройде, то IKEv2 може скинути тунель і потім автоматично відновити за першої можливості. Детальніше про відмінності можна .
Якщо тунель розбудовується між міжмережевими екранами різних виробників, то можлива наявність багів у реалізації IKEv2, і для сумісності з таким обладнанням можна використовувати IKEv1. В інших випадках краще застосовувати IKEv2.
Етапи налаштування:
• Налаштування двох інтернет-провайдерів у режимі ActiveStandby
Є кілька способів реалізувати цю функцію. Один із них полягає у використанні механізму Path Monitoring, що став доступним починаючи з версії PAN-OS 8.0.0. У цьому прикладі використовується версія 8.0.16. Ця функція схожа на IP SLA у маршрутизаторах Cisco. У статичному дефолтному маршруті налаштовується відправка ping пакетів на певну IP-адресу з певної адреси джерела. Інтерфейс ethernet1/1 пінгує шлюз за замовчуванням раз на секунду. Якщо три пінга поспіль немає відповіді, то маршрут вважається неробочим і видаляється з таблиці маршрутизації. Такий самий маршрут налаштовується у бік другого інтернет-провайдера, але з більшою метрикою (він резервний). Як тільки перший маршрут буде видалено з таблиці, міжмережевий екран почне відправляти трафік другим маршрутом Fail-Over. Коли перший провайдер почне відповідати на пінги, його маршрут повернеться до таблиці і замінить другий через найкращу метрику. Fail-Back. Процес Fail-Over займає кілька секунд залежно від налаштованих інтервалів, але, у будь-якому випадку, процес не миттєвий, і в цей час трафік втрачається. Fail-Back проходить без втрати трафіку. Є можливість зробити Fail-Over швидше, за допомогою BFD, якщо інтернет-провайдер надасть таку можливість. BFD підтримується починаючи з моделі Серія ПА-3000 и VM-100. Як адресу для пінгу краще вказати не шлюз провайдера, а публічну, завжди доступну інтернет-адресу.
• Створення тунельного інтерфейсу
Трафік усередині тунелю передається через спеціальні віртуальні інтерфейси. На кожному з них має бути налаштована IP-адреса з транзитної мережі. У цьому прикладі для Tunnel-1 буде використовуватися підсісти 172.16.1.0/30, а для Tunnel-2 - підсісти 172.16.2.0/30.
Тунельний інтерфейс створюється у розділі Network -> Interfaces -> Tunnel. Необхідно вказати віртуальний маршрутизатор та зону безпеки, а також IP-адресу з відповідної транспортної мережі. Номер інтерфейсу може бути будь-яким.
У розділі Advanced можна указати Управління профілю, який дозволить ping на цей інтерфейс, це може бути корисно для тестування.
• Налаштування IKE Profile
IKE Profile відповідає за перший етап створення VPN-з'єднання, тут зазначаються параметри тунелю. IKE Phase 1. Профіль створюється у розділі Network -> Network Profiles -> IKE Crypto. Необхідно вказати алгоритм шифрування, хешування, групу Діффі-Хеллмана та термін життя ключів. У загальному випадку, чим складніші алгоритми, тим гірша продуктивність їх потрібно вибирати виходячи з конкретних вимог до безпеки. Однак категорично не рекомендується застосовувати групу Діффі-Хеллмана нижче 14 для захисту важливої інформації. Це пов'язано з уразливістю протоколу, нівелювати яку можна тільки використовуючи розмір модулів 2048 біт і вище, або алгоритми еліптичної криптографії, які застосовуються в групах 19, 20, 21, 24. Ці алгоритми мають більшу продуктивність порівняно з традиційною криптографією. . І .
• Налаштування IPSec Profile
Другий етап створення VPN з'єднання – IPSec тунель. Параметри SA для нього налаштовуються в Network -> Network Profiles -> IPSec Crypto Profile. Тут потрібно вказати протокол IPSec. AH або ESP, а також параметри SA — алгоритми хешування, шифрування, групи Діффі-Хеллмана та термін життя ключів. Параметри SA в IKE Crypto Profile та IPSec Crypto Profile можуть не збігатися.
• Налаштування IKE Gateway
IKE Gateway — це об'єкт, що позначає маршрутизатор або міжмережевий екран, з яким просувається тунель VPN. Для кожного тунелю потрібно створити свій IKE Gateway. В даному випадку створюється два тунелі, по одному через кожного інтернет-провайдера. Вказується відповідний вихідний інтерфейс та його ip-адреса, ip-адреса бенкету, і загальний ключ. Як альтернативу загальному ключу можна використовувати сертифікати.
Тут вказується раніше створений IKE Crypto Profile. Параметри другого об'єкта IKE Gateway аналогічні, крім IP-адрес. Якщо міжмережевий екран Palo Alto Networks розташований за маршрутизатором NAT, то потрібно включити механізм Обхід NAT.
• Налаштування IPSec Tunnel
Тунель IPSec — це об'єкт, у якому вказуються параметри IPSec тунелю, як випливає з назви. Тут потрібно вказати тунельний інтерфейс та раніше створені об'єкти IKE Gateway, IPSec Crypto Profile. Для забезпечення автоматичного перемикання маршрутизації на резервний тунель слід увімкнути Tunnel Monitor. Це механізм, який перевіряє, чи живе бенкет, за допомогою ICMP трафіку. Як адреса призначення потрібно вказати IP-адресу тунельного інтерфейсу бенкету, з яким будується тунель. У профілі вказуються таймери та дія при втраті зв'язку. Wait Recover – чекати, доки зв'язок відновиться, Відмова — відправити трафік іншим маршрутом, якщо такий є. Налаштування другого тунелю повністю аналогічне, вказується другий тунельний інтерфейс та IKE Gateway.
• Налаштування маршрутизації
У цьому прикладі використовується статична маршрутизація. На міжмережевому екрані PA-1 потрібно, окрім двох дефолтних маршрутів, вказати два маршрути до підмережі 10.10.10.0/24 у філії. Один маршрут використовує Tunnel-1, інший Tunnel-2. Маршрут через Tunnel-1 є основним, оскільки має меншу метрику. Механізм Path Monitoring для цих маршрутів немає. За перемикання відповідає Tunnel Monitor.
Такі самі маршрути для підмережі 192.168.30.0/24 потрібно налаштувати на PA-2.
• Налаштування мережевих правил
Для роботи тунелю потрібно три правила:
- Для роботи Path Monitor дозволити ICMP на зовнішніх інтерфейсах.
- Для IPSec дозволити додатки ike и ipsec на зовнішніх інтерфейсах.
- Дозволити трафік між внутрішніми підмережами та тунельними інтерфейсами.
Висновок
У цій статті розглянуто варіант налаштування відмовостійкого інтернет-з'єднання та VPN між сайтами. Сподіваємося, інформація була корисною, і читач отримав уявлення про технології, що використовуються в Palo Alto Networks. Якщо у вас є питання щодо налаштування та побажання за темами майбутніх статей — пишіть їх у коментарях, будемо раді відповісти.
Джерело: habr.com