[LAB] VPN SITE TO SITE PALO ALTO - Phần 2: Cấu hình VPN Site To Site

pluto

Moderator
[LAB] VPN SITE TO SITE PALO ALTO - Phần 2: Cấu hình VPN Site To Site

3.CẤU HÌNH VPN SITE TO SITE TRÊN PALO ALTO
Tiếp theo, bài viết sẽ trình bày các bước cấu hình VPN Site To Site trên Palo Alto theo sơ đồ bài LAB sau:
1635144716457.png



3.1 Cấu hình VPN trên PAN-site1
3.1.1.Cấu hình Tunel
Network > Interfaces > Tunnel > Add:
1635144734421.png



Chọn như hình dưới:
1635144745679.png



Security Zone > New Zone > tạo zone VPN> OK:
1635144758419.png



Qua tab IPv4 > Add > cấu hình như sau > OK:
1635144768732.png



3.1.2. Cấu hình IKE Crypto
Network > Network Profiles > IKE Crypto > Add:
1635144781215.png




Cấu hình như sau > OK:
  • Name: PHASE1
  • DH Group > Add > Group 5
  • Encryption > Add > aes-128-cbc
  • Authentication > Add > sha1
1635144795661.png



3.1.3. Cấu hình IPSec Crypto
Network > Network Profiles > IPSec Crypto > Add:
1635144818196.png




Cấu hình như sau > OK:
  • Name: PHASE2
  • DH Group > group5
  • Encryption > Add > aes-128-cbc
  • Authentication > Add > sha1
1635144835462.png



3.1.4. Cấu hình IKE Gateways
Network > Network Profiles > IKE Gateways > Add:
1635144856871.png





Cấu hình như sau > OK:
  • Name: IKE-Gateway1
  • Interface : ethernet1/1
  • Local IP Address : 1.1.1.1/24
  • Peer Address: 2.2.2.2
  • Pre-shared Key : 123456a@
  • Confirm Pre-shared Key : 123456a@
1635144877279.png




Qua tab Advanced Options:
  • Exchange Mode: main
  • IKE Crypto Profile : PHASE1
1635144896440.png



3.1.5. Cấu hình IPSec Tunnels
Network > IPSec Tunnels > Add:
1635144914798.png




Cấu hình như sau > OK:
  • Name: TO-PAN02
  • Tunnel Interface: tunnel.1
  • IKE Gateway : IKE-Gateway1
  • IPSec Crypto Profile: PHASE2
1635144930535.png




3.1.6. Cấu hình Virtual Router
Network > Vitual Router > default > Static Routes > Add:
1635144945664.png




Cấu hình như sau > OK:
  • Name: TO-PAN02
  • Destination: 10.2.2.0/24
  • Interface : tunnel.1
  • Next Hop: IP Address , 3.3.3.251
1635144964394.png



Chọn OK để hoàn thành:
1635144989332.png



3.1.7. Cấu hình Policies
Policies > Security > Add:
1635145000988.png




Cấu hình như sau > OK:
  • General> Name : VPN-site1
  • Source > Source Zone > Add : Outside
  • Destination > Destination Zone > Add: OutSide
  • Action : Log at sesion start + Allow
1635145031090.png

1635145035045.png

1635145038977.png

1635145043247.png



Policies > Security > Add:
1635145062975.png




Cấu hình như sau > OK:
  • General> Name : VPN-to-Inside
  • Source > Source Zone > Add : Inside + VPN
  • Destination > Destination Zone > Add: Inside + VPN
  • Action : Log at sesion start + Allow
1635145084791.png

1635145092308.png

1635145096027.png

1635145101468.png



Commit:
1635145114401.png




3.2 Cấu hình VPN trên PAN-site2
3.2.1.Cấu hình Tunel
Network > Interfaces > Tunnel > Add:
1635145124605.png



Chọn như hình dưới:
1635145138835.png




Security Zone > New Zone > tạo zone VPN> OK:
1635145146720.png


Qua tab IPv4 > Add > cấu hình như sau> OK:
1635145156434.png




3.2.2. Cấu hình IKE Crypto
Network > Network Profiles > IKE Crypto > Add:
1635145165226.png




Cấu hình như sau > OK:

  • Name: PHASE1
  • DH Group > Add > group5
  • Encryption > Add > aes-128-cbc
  • Authentication > Add > sha1
1635145179437.png




3.2.3. Cấu hình IPSec Crypto
Network > Network Profiles > IPSec Crypto > Add:
1635145194716.png



Cấu hình như sau > OK:
  • Name: PHASE2
  • DH Group > group5
  • Encryption > Add > aes-128-cbc
  • Authentication > Add > sha1
1635145214219.png



3.2.4. Cấu hình IKE Gateways
Network > Network Profiles > IKE Gateways > Add:
1635145232049.png



Cấu hình như sau > OK:
  • Name: IKE-Gateway1
  • Interface : ethernet1/1
  • Local IP Address : 2.2.2.2/24
  • Peer Address: 1.1.1.1
  • Pre-shared Key : 123456a@
  • Confirm Pre-shared Key : 123456a@
1635145251769.png



Qua tab Advanced Options:
  • Exchange Mode: main
  • IKE Crypto Profile : PHASE1
1635145268274.png




3.2.5. Cấu hình IPSec Tunnels
Network > IPSec Tunnels > Add:
1635145285522.png



Cấu hình như sau > OK:
Name: TO-PAN01
Tunnel Interface: tunnel.1
IKE Gateway : IKE-Gateway1
IPSec Crypto Profile: PHASE2
1635145312066.png



3.2.6. Cấu hình Virtual Router
Network > Vitual Router > default > Static Routes > Add:
1635145325822.png



Cấu hình như sau > OK:
  • Name: TO-PAN01
  • Destination: 10.1.1.0/24
  • Interface : tunnel.1
  • Next Hop: IP Address , 3.3.3.250
1635145342918.png



Chọn OK để hoàn thành:
1635145361013.png



3.2.7. Cấu hình Policies
Policies > Security > Add:
1635145370123.png




Cấu hình như sau > OK:
  • General> Name : VPN-site2
  • Source > Source Zone > Add : Outside
  • Destination > Destination Zone > Add: OutSide
  • Action : Log at sesion start + Allow
1635145389126.png

1635145402343.png

1635145405782.png

1635145409621.png




Policies > Security > Add:
1635145418026.png



Cấu hình như sau > OK:
  • General> Name : VPN-to-Inside
  • Source > Source Zone > Add : Inside + VPN
  • Destination > Destination Zone > Add: Inside + VPN
  • Action : Log at sesion start + Allow
1635145438233.png

1635145445711.png

1635145449674.png

1635145453927.png



Commit:
1635145465021.png




3.3 Kiểm tra cấu hình VPN SITE TO SITE



Trên PC-site1 thực hiện kiểm tra ping tới Gateway và tới PC-site2:
1635145573747.png



Trên PC-site2 thực hiện kiểm tra ping tới Gateway và tới PC-site1:
1635145577779.png



Như vậy, đã cấu hình VPN Site To Site thành công trên hai thiết bị Palo Alto PAN-site1 và PAN-site2
 
Top