- Bài viết hướng dẫn cấu hình IPSec VPN trên thiết bị Firewall Palo Alto. Các bước thực hiện: Tạo Tunnel Zone Tạo Tunnel Interface Cấu hình IKE Crypto (phase 1) Cấu hình IPSec Crypto (phase 2) Cấu hình IKE Gateway Tạo IPSec Tunnel Thêm Routes Thêm Security Policy - Mô hình mạng của bài viết: I/ Một số thông tin về mô hình triển khai IPSec: - Trước khi đi vào chi tiết, mình sẽ tóm tắt một số thông tin về IPSec tunnel. Trong bài viết mình sẽ sử dụng Firewall của Palo Alto. - Các thông tin về VPN: Firewall PA-01: VPN Gateway IP (WAN): 10.1.1.100 LAN IP: 172.16.0.0/24. Tunnel Interface IP (St0.0): 10.10.10.1/30. Firewall PA-02: VPN Gateway IP (WAN): 10.1.1.200. LAN IP: 192.168.0.0/24. Tunnel Interface IP (St0.0): 10.10.10.1/30. - Các tham số mã hóa của VPN: + Phase 1: Authentication Method: Pre-Shared Key Authentication-algorithm: sha-256 Diffie-Hellman Group: Group 5 Encryption Algorithm: AES192 Lifetime (for renegotiation SEC): 86400 Pre Shared Key: letsconfig + Phase 2: Encapsulation (ESP or AH): ESP Encryption Algorithm: AES256 Authentication Algorithm: sha1 Lifetime (for renegotiation): 28800 1. Tạo Tunnel Zone: - Vào trang Network >> Zones >> click Add. Bạn đặt tên cho Zone (vd: VPN), chọn Type thành Layer3. Cuối cùng click OK. 2. Tạo Tunnel Interface: - Vào trang Network >> Interface >> Tunnel >> click Add để tạo thêm 1 tunnel mới. - Trong bảng Tunnel Interface: bạn đặt tên cho cổng này trong Interface Name, Virtual Router, Security Zone, IPv4 address. Trong bài viết mình sẽ đặt như sau: Interface Name: tunnel.5. Virtual Router: Our-VR. Security Zone: VPN. IPv4: 10.10.10.1/30. 3. Cấu hình IKE Crypto (phase 1): - Vào trang Network >> Network Profile >> IKE Crypto >> click Add. Cấu hình thêm các nội dung: Name: OUR-IKE-CRYPTO DH Group: group5 Authentication: sha256 Encryption: aes-192-cbc Timers (Key Lifetime): 50,000 seconds 4. Cấu hình IPSec Crypto (phase 2): - Vào trang Network >> Network Profile >> IPSec Crypto >> click Add. Cấu hình thêm các nội dung: Name: OUR-IPSEC-CRYPTO Encryption: aes-256-cbc Authentication: sha1 DH Group: group2 Lifetime: 10,000 seconds 5. Cấu hình IKE Gateway: - Vào trang Network >> Network Profile >> IKE Gateway >> click Add. Cấu hình thêm các nội dung: Name: OUR-IKE-GATEWAY Version: IKEv1 Interface: ethernet1/1 (IPSec interface) Local IP Address: 10.1.1.100/24 Peer IP Address Type: IP Peer Address: 10.1.1.200 Authentication: Pre-Shared Key Pre-shared Key: LetsConfig - Sau đó bạn vào Advanced Options và chọn IKE Crypto Profile là OUR-IKE-CRYPTO (đã được tạo ở trên). 6. Tạo IPSec Tunnel: - Vào trang Network >> IPSec Tunnels >> click Add. Cấu hình thêm các nội dung: Name: OUR-IPSEC Tunnel Interface: tunnel.5 IKE Gateway: OUR-IKE-GATEWAY IPSec Crypto Profile: OUR-IPSEC-CRYPTO 7. Thêm cấu hình định tuyến: - Chúng ta cần thêm cấu hình định tuyến để SITEA >> SITEB và ngược lại. Dưới đây chúng ta sẽ route từ SITEA >> SITEB, nơi Gateway là IPSec peer IP là 10.10.10.2. 8. Security Policy: - Bạn cần tạo thêm 2 Policy: 1 cho IPSec của chúng ta và 1 cho các ứng dụng giao tiếp giữa các Site với nhau. i. IPSec: Source Zone: Outside Destination Zone: Outside Application: ike, ipsec-esp ii. Giao tiếp Site to Site: Source Zone: LAN & VPN Source IP: 172.16.0.0/24 & 192.168.0.0/24 Destination Zone: LAN & VPN Destination IP: 172.16.0.0/24 & 192.168.0.0/24 Application: any (hoặc có thể chọn tùy theo nhu) - Tương tự các bước trên, chúng ta có thể cấu hình cho thiết bị Firewall Palo Alto tại Site B. Bạn chỉ cần thay đổi các nội dụng theo mô hình triển khai: 9. Kiểm tra: - Chúng ta sử dụng CMD để ping từ Site A đến IP tại Site B <PC-1> ping 192.168.0.10 84 bytes from 192.168.0.10 icmp_seq=1 ttl=62 time=8.956 ms 84 bytes from 192.168.0.10 icmp_seq=2 ttl=62 time=10.322 ms 84 bytes from 192.168.0.10 icmp_seq=3 ttl=62 time=9.418 ms 84 bytes from 192.168.0.10 icmp_seq=4 ttl=62 time=11.895 ms 84 bytes from 192.168.0.10 icmp_seq=5 ttl=62 time=11.569 ms - Chúng ta có thể thực hiện thành công ping đến Site B. Để xem lại các thông tin của IPSec từ Palo Alto sử dụng Command: admin@PA-VM> show vpn ipsec-sa tunnel OUR-IPSEC ###
