Nota: O seguinte artigo irá ajudá-lo com: Configurando o failover de VPN IPsec em Palo Alto
Ao configurar o failover de VPN IPsec em Palo Alto, é importante considerar o seguinte:
-Os gateways VPN IPsec primários e secundários
-As configurações de fase 1 e fase 2
-Os algoritmos de criptografia e autenticação
-As políticas de segurança
Os gateways VPN IPsec primário e secundário devem ser configurados com os mesmos parâmetros de fase 1 e fase 2. Os algoritmos de criptografia e autenticação devem ser compatíveis entre os dois gateways. As políticas de segurança devem ser idênticas em ambos os gateways.
Se um dos gateways VPN IPsec falhar, o outro gateway assumirá o controle e estabelecerá a conexão VPN. Esse mecanismo de failover garante que a conexão VPN esteja sempre funcionando.
Conecte um Cisco ASA a um servidor de Palo Alto e configure o failover de IPSEC. Como esta é uma VPN baseada em política, não há VPN baseada em rota. Isso pode ser feito criando uma rota para a lan leste de 192.168.1. 3.0/24 que inclui a interface do próximo salto como túnel 1, e este túnel deve ter uma distância normal de 10 quilômetros. Para criar túneis no ASA, você deve primeiro criar duas interfaces WAN. O túnel principal é mantido e pode ser monitorado por IP desde que o túnel não esteja caindo. Assim que os poings derivados do túnel 1 falharem, uma rota de backup é implementada e o túnel é desfeito.
Como faço para ativar o monitoramento de túneis em Palo Alto?
Crédito: Knowledgebase.paloaltonetworks.com
Para habilitar o monitoramento de túnel em Palo Alto, vá para a guia Monitor e clique na subguia VPN Tunnels. A partir daí, você pode habilitar o monitoramento de túneis específicos marcando a caixa de seleção ao lado dos túneis que deseja monitorar.
Manter-se Ativo é feito enviando dados para os firewalls da Palo Alto Networks por meio do IP da interface do túnel. As ferramentas de monitoramento devem ser capazes de monitorar toda a rede, bem como o uso do SNMP. O teste de ping ICMP (Internet Control Message Protocol) é um componente crítico do monitoramento da disponibilidade da VPN.
Como usar o monitoramento de túnel da Palo Alto Networks
O IP de interface de túnel (TIC) é usado como endereço de origem para pacotes keep-alive enviados pelos firewalls da Palo Alto Networks. Como resultado, o Tunnel Monitor pode detectar se o túnel está operacional ou fluindo corretamente, inspecionando-o.
Configuração de VPN de Palo Alto Ipsec
A VPN IPsec da Palo Alto Networks oferece muitos benefícios, incluindo conectividade segura, alto desempenho e flexibilidade. O firewall da Palo Alto Networks usa dois tipos de túneis: estáticos e dinâmicos. Os túneis estáticos são pré-configurados e não requerem nenhuma ação adicional do administrador. Os túneis dinâmicos são estabelecidos e mantidos pelo firewall da Palo Alto Networks e não requerem intervenção do administrador.
Quando você habilita uma VPN IPSec em um firewall da Palo Alto Networks, é tão simples quanto clicar no botão de engrenagem. Nesta lição, veremos como configurar a VPN IPSEC no Palo Alto Firewall. Levará algum tempo para configurar o IPSec. Para compreender os detalhes, você deve primeiro entender os seguintes parâmetros para um túnel IPSec. Se você deseja adicionar o IKE Gateway, navegue até Network >> Network Profile. IKE agora pode ser adicionado indo para Opções Avançadas e clicando nele na mesma janela pop-up. Our-Ike-Crypto (anteriormente conhecido como OUR-IKE) tem um perfil. Para chegar ao SITEB, você precisa de um IP de peer IPSec de 10.10.1.100/24 conforme descrito no diagrama abaixo.
Redundância de VPN site a site Palo Alto
A VPN Site-to-Site da Palo Alto Networks oferece redundância e alta disponibilidade, permitindo que você configure vários túneis de um único Gateway Privado Virtual (VGW) para vários concentradores VPN. Isso permite que você tenha vários caminhos para seu tráfego em caso de falha ou interrupção.
Monitoramento de túnel para redundância de VPN site a site
A redundância de uma VPN Site-to-Site pode ser uma ótima maneira de realizar a manutenção em um único dispositivo enquanto o tráfego continua a fluir pela conexão Site-to-Site VPN do segundo gateway do cliente. Um PING é enviado para o destino configurado dentro de um túnel IPSec na função de monitoramento de túnel da Palo Alto Networks para garantir que o tráfego esteja passando com sucesso por ele.
Solução de problemas do túnel Ipsec Palo Alto
Se você estiver solucionando problemas de um túnel IPsec em um firewall da Palo Alto Networks, lembre-se de algumas coisas. Primeiro, verifique a configuração do túnel e certifique-se de que está correta. Em seguida, verifique as políticas de segurança aplicadas ao túnel e certifique-se de que elas estão permitindo o fluxo de tráfego. Por fim, verifique os logs para ver se há algum erro ou aviso que possa estar causando a falha do túnel.
Configuração de VPN site a site de Palo Alto passo a passo
Os firewalls da Palo Alto Networks oferecem suporte a VPNs site a site usando os protocolos IKEv1, IKEv2 e SSL VPN. Este documento descreve as etapas para configurar uma VPN site a site usando o protocolo IKEv2.
1. Configure o gateway IKEv2.
2. Configure a política IKEv2.
3. Configure o perfil IKEv2.
4. Configure a interface do túnel.
5. Configure a rota estática.
Para obter instruções mais detalhadas, consulte a documentação da Palo Alto Networks.
Configurando uma VPN Palo Alto Site to Site com IPsec. Como dito anteriormente, o firewall Pfsense baseado em Linux pode ser usado para configurar túneis IPsec entre ferramentas de firewall de código aberto, como o Zeus. Qualquer coisa de fora seria bloqueada por padrão pelo Palo Alto Firewall. O protocolo começa com a fase 1 do IPsec e continua com a fase 2. O modo de transporte não existe em Palo Alto; em vez disso, o modo de túnel é usado. Há duas maneiras de autenticar no IPsec: uma com uma chave pré-compartilhada e outra com uma chave RSA. Configurando o IKE Gateway em Palo Alto Firewalls 1 e 2.
A criptografia IPsec é uma etapa necessária para configurá-la. Clique na guia Perfis de Rede para ver a opção Criptografia IPSEC. Usaremos os parâmetros IPsec Crypto abaixo para ambos os firewalls. Configure as rotas estáticas do túnel IPSec. Para alcançar o lado da LAN da Filial 2, devemos definir uma política para o tráfego iniciado no lado da LAN da Filial 1. A rota desse túnel difere de um túnel de política, pois não é baseado em política. Os quebra-cabeças devem então ser ligados entre si para que as etapas finais sejam concluídas.
Você deve usar o nome Permitir-IPsec no contexto geral. A zona de origem pode ser selecionada como IP-Sec ou Confiável na guia Origem. Ao selecionar o endereço de destino na guia Destino, você poderá encontrar os endereços LAN Filial2 e Filial1. Você deve permitir que o tráfego passe na guia Ação.
Práticas recomendadas do túnel Ipsec de Palo Alto
A melhor prática é usar o algoritmo de criptografia e autenticação mais forte que o par pode suportar. Para usar o algoritmo de autenticação, use SHA-384 ou superior (este é o mais comum para transações de longa duração). Você não pode usar SHA-1 ou MD5 neles.
Usando o Palo Alto IPsec, você pode configurar os túneis. Uma VPN pode ser usada em Palo Alto. Usando IPsec, você pode conectar duas redes a uma VPN que se conecta a uma rede site a site. As VPNs baseadas em rota podem ser usadas para conectar os firewalls da Palo Alto Networks a um dispositivo de segurança de terceiros em outro local. Uma interface de túnel é um canal de comunicação lógica que conecta dois terminais. Para se conectar a um túnel VPN, uma interface de túnel lógica deve ser fornecida pelas interfaces em cada extremidade. À medida que os dados (pacotes IP) passam pelo túnel, é possível autenticá-los e criptografá-los.
Como verificar os logs do túnel Ipsec em Palo Alto
Para verificar os logs de túnel IPsec em Palo Alto, vá para Monitor > IPsec Monitor. A partir daqui, você pode visualizar o status de todos os túneis IPsec ativos, bem como logs de conexão e erro. Para visualizar logs detalhados de um túnel específico, clique no nome do túnel.
O comando show vpn flow tunnel-id determinará se o monitoramento está ativo ou inativo. O status do monitor agora pode ser visto na saída. Quando o monitor está ligado e o túnel está inativo por qualquer motivo, você pode ver que o número de pacotes de monitor enviados continua aumentando.
