Skip to main content

HowTo: Create site-to-site VPN via Advanced Virtual Firewall

under construction

The English version of this document is under construction and will be available soon.

HowTo:利用進階虛擬防火牆建立 site-to-site VPN

本篇文章是使用 TWSC 的進階虛擬防火牆 (VFW) 服務建立兩台的 PaloAlto Firewall,並使用這兩台防火牆進行 site-to-site VPN 的建置範例。

準備工作

1. 建立兩台 PaloAlto

請按照 建立進階虛擬防火牆 教學步驟一步步完成 請注意此兩台需建立在不同的信任網路及非信任網路,這樣才可驗證 site-to-site VPN 功能。

2. 建立兩台虛擬運算個體分別位於兩台 PaloAlto 底下

請按照 建立虛擬運算個體 來進行建立,後續將此兩台虛擬個體分別納入兩台 PaloAlto 防火牆保護範圍,可以參考 HowTo:透過跳板機將個體納入防火牆保護範圍進行設置。

PaloAlto 網路資訊

此章節紀錄此文章範例所使用兩台 PaloAlto 的網路資訊。

第一台

私有IP

  • 信任網路 : olivernetwork
    • CIDR: 192.160.180.0/24
    • IP: 192.160.180.23
  • 非信任網路: default_network
    • CIDR: 192.168.211.0/24
    • IP: 192.168.211.12
  • 管理網路: pan_manager_net
    • IP: 192.168.178.15

公有IP

  • 管理IP: 203.145.221.239
  • 服務IP: 203.145.221.134

第二台

私有IP

  • 信任網路 : olivertestpa2
    • CIDR: 10.1.1.0/24
    • IP: 10.1.1.5
  • 非信任網路: olivertestpa1
    • CIDR: 186.128.20.0/24
    • IP: 186.128.20.11
  • 管理網路: pan_manager_net
    • IP: 192.168.178.12

公有IP

  • 管理IP: 203.145.215.56
  • 服務IP: 203.145.215.44

TWSC PaloAlto site-to-site VPN 網路架構


TWSC PaloAlto site-to-site VPN 建置步驟

此章節介紹一台 PA 建置 site-to-site VPN 所需設定,其另一台 PA 也跟著做同樣設定。

Step 1. 建立 Tunnel

  • 路徑: NETWORK->Intetfaces->Tunnel

  • 新增 1個 Tunnel 給 VPN 使用

  • Interface Name : tunnel.1
  • Virtual Router: default
  • Security Zone : VPN
    • VPN 此 Zone 須自己新增

Step 2. 設定 IKE Crypto

  • 路徑: NETWORK->Network Profiles -> IKE Crypto

tip

此步驟不一定要操作,您也可以使用 PA 原本已建立的規則。但請注意如果您有建立新規則,另一台也要建立相同規則,後續建立兩邊規則需選擇相同,以下為範例(可自行更改):

  • DH GROUP: group2
  • AUTHENTICATION: sha256
  • ENCRYPTION: aes-256-cbc

Step 3. 建立 IKE Gateways

  • 路徑: NETWORK->Network Profiles -> IKE Gateways

General

  • Version: IKEv2 only mode
  • Address Type: IPv4
  • interface: ethernet1/1
  • Local IP Address: None
  • Peer IP Address Type: IP
  • Peer Address : 設定目標 PA 的服務 IP (203.145.215.44)
  • Authentication: Pre-Shared Key
  • Pre-shared Key: 請輸入自訂密碼,注意兩台 PA 的密碼需一致
  • Confirm Pre-shared Key: 同Pre-shared Key
  • Local Identification : IP address 輸入來源 PA 的服務 IP (203.145.221.134)
  • Peer Identification:IP address 輸入目標 PA 的服務 IP (203.145.215.44)

Advanced Options

  • IKE Crypto Profile 選擇 Step2. 所建立的規則

Step 4. 設定 IPSec Crypto

  • 路徑: NETWORK->Network Profiles -> IPSec Crypto

tip

Step 2. 一樣,此步驟不一定要操作,後續建立兩邊規則相同即可。

  • ENCRYPTION : aes-256-cbc
  • AUTHENTICATION : sha256
  • DH Group: group2
  • Lifeytime: Hours 1

Step 5. 建立 Virtual Routers

  • 路徑: NETWORK-> Virtual Routers

  • 將 default 增加 Step 1. 所新增的 interface

  • 在 Static Routes 增加目標 PA 底下信任網路網域

  • Destination : 目標 PA 底下的信任網路 (10.1.1.0/24)
  • Interface: tunnel.1 (Step 1. 所建立的 tunnel)

Step 6. 建立 Security rules

  • 路徑: POLICIES -> Security

  • 設定來源端跟目標端地連線規則

來源端至目標端


  • SOURCE ZONE: trust
  • SOURCE ADDRESS : 來源 PA 信任網路網域(192.160.180.0/24)

  • DESTINATION ZONE: VPN (STEP1 所建立的 ZONE)
  • DESTINATION ADDRESS: 目標 PA 信任網路網域(10.1.1.0/24)

目標端至來源端

  • SOURCE ZONE: VPN (Step 1. 所建立的 ZONE)
  • SOURCE ADDRESS : 目標 PA 信任網路網域(10.1.1.0/24)

  • DESTINATION ZONE: trust
  • DESTINATION ADDRESS: 來源 PA 信任網路網域(192.160.180.0/24)

Step 7. 建立 IPSec Tunnels

  • 路徑: NETWORK-> IPSec Tunnels

  • 設定 IPSec Tunnels

  • Tunnel Interface : tunnel.1 (Step 1. 建立的 tunnel)
  • IKE Gateway: Step 3. 所建立的 IKE Gateway
  • IPSec Crypto Profile: Step 4. 所建立的 IPSec Crypto Profile

Step 8. 完成 site-to-site VPN 建立

  • 在 Step 1-7 都設定完成後記得 Commit 設定才會生效

  • 兩台 PA 都 Commit 成功後,需 ssh 進入一台 PA 內觸發此功能,連入 PA 後輸入指令
test vpn ike-sa
test vpn ipsec-sa

  • 之後查看 IPSec Tunnels Stauts 燈號是否有轉為綠色,綠色代表通道有成功建立

  • 然後連入 PA 底下 VM 測試看是否可以 Ping 到目標 PA 底下 VM。成功 Ping 到就代表 site-to-site VPN 成功建立完成