IPSec S2S VPN Palo Alto – Cisco

by admin · Grudzień 14, 2017

W poniższym wpisie pokażę konfigurację tunelu IPSEC VPN pomiędzy firewallem Palo Alto a routerem CISCO. Konfigurację wykonam w labie GNS3, w którym wykorzystam następujące obrazy:

CISCO CSR1000v3.17 – obraz routera CISCO
PA-VM7.1.1.0-1 – obraz firewalla Palo Alto w wersji 7.1.1.0-1
gns3-webterm – kontener dockera do zarządzania firewallem

LAB

Topologia laba GNS3 wygląda nastepująco:

Adresacja

Cisco

Gi1 – 150.1.1.1/30

Tunnel1 – 10.0.0.1/24

Palo Alto

ethernet1/1 – 150.1.1.2/30

tunnel.1 – 10.0.0.2/24

Konfiguracja CISCO

INTERFACES

Router(config)#interface Gi1
Router(config-if)#ip address 150.1.1.1 255.255.255.252
Router(config)#interface Tunnel1
Router(config-if)#ip address 10.0.0.1 255.255.255.0
Router(config-if)#tunnel source 150.1.1.1
Router(config-if)#tunnel destination 150.1.1.2

ISAKMP POLICY

Router(config)#crypto isakmp policy 10
Router(config-isakmp)#hash sha256
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#group 14
Router(config-isakmp)#lifetime 86400
Router(config-isakmp)#encryption aes 256

KLUCZ SZYFRUJĄCY

Router(config)#crypto isakmp key 0 palo_to_cisco! address 150.1.1.2

IP TRANSFORM SET

Router(config)#crypto ipsec transform-set TSET esp-sha512-hmac esp-aes 256

IPSEC PROFILE

Router(config)#crypto ipsec profile IPSEC-PROFILE
Router(ipsec-profile)#set transform-set TSET
Router(ipsec-profile)#set pfs group14
Router(ipsec-profile)#set security-association lifetime seconds 3600

IPSEC TUNNEL

Router(config-if)#tunnel mode ipsec ipv4
Router(config-if)#tunnel protection ipsec profile IPSEC-PROFILE

Cała konfiguracja CISCO

crypto isakmp policy 10
 hash sha256
 authentication pre-share
 group 14
 lifetime 86400
 encryption aes 256
!
crypto isakmp key 0 palo_to_cisco! address 150.1.1.2
!
crypto ipsec transform-set TSET esp-sha512-hmac esp-aes 256
!
crypto ipsec profile IPSEC-PROFILE
 set transform-set TSET
 set pfs group14
 set security-association lifetime seconds 3600
!
interface Gi1
 ip address 150.1.1.1 255.255.255.252
!
interface Tunnel1
 ip address 10.0.0.1 255.255.255.0 
 tunnel source 150.1.1.1
 tunnel destination 150.1.1.2
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile IPSEC-PROFILE
!

Konfiguracja PALO ALTO

INTERFACE MANAGEMENT PROFILE

Network -> Network Profiles -> Interface Mgmt

INTERFACES

Network -> Interfaces -> ethernet1/1

Network -> Interfaces -> tunnel.1

IKE CRYPTO PROFILE

Network -> Network Profiles -> IKE Crypto

IKE GATEWAY

Network -> Network Profiles -> IKE Gateways

IPSEC CRYPTO

Network -> Network Profiles -> IPSec Crypto

IPSEC TUNNEL

Network -> IPSec Tunnels

COMMIT

Teraz wystarczy zrobić commit.

WERYFIKACJA

Sprawdźmy czy tunel się zestawił. Spróbujmy na routerze CISCO spingować adres tunelu na Palo Alto:

Router#ping 10.0.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/8/29 ms

Udało się, teraz sprawdźmy teraz jak wyglądają wyniki następujących komend:

show crypto isakmp sa (faza 1 – IKE SA)
show crypto ipsec sa -(faza 2 – IPSEC SA)

Router#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
150.1.1.2 150.1.1.1 QM_IDLE 1001 ACTIVE

Router#show crypto ipsec sa
interface: Tunnel1
 Crypto map tag: Tunnel1-head-0, local addr 150.1.1.1

protected vrf: (none)
 local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
 remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
 current_peer 150.1.1.2 port 500
 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
 #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. failed: 0
 #pkts not decompressed: 0, #pkts decompress failed: 0
 #send errors 0, #recv errors 0

local crypto endpt.: 150.1.1.1, remote crypto endpt.: 150.1.1.2
 plaintext mtu 1422, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet1
 current outbound spi: 0xA402847E(2751628414)
 PFS (Y/N): Y, DH group: group14

inbound esp sas:
 spi: 0x1AB4F9C2(448068034)
 transform: esp-256-aes esp-sha512-hmac ,
 in use settings ={Tunnel, }
 conn id: 2003, flow_id: CSR:3, sibling_flags FFFFFFFF80004048, crypto map: Tunnel1-head-0
 sa timing: remaining key lifetime (k/sec): (4607999/3143)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
 spi: 0xA402847E(2751628414)
 transform: esp-256-aes esp-sha512-hmac ,
 in use settings ={Tunnel, }
 conn id: 2004, flow_id: CSR:4, sibling_flags FFFFFFFF80004048, crypto map: Tunnel1-head-0
 sa timing: remaining key lifetime (k/sec): (4607999/3143)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:

Jak widać od strony CISCO wszystko działa, sprawdźmy teraz jak wygląda tunel IPSEC od strony firewalla Palo Alto.

Najpierw spingujmy adres tunelu na CISCO:

admin@PA-VM> ping source 10.0.0.2 host 10.0.0.1
PING 10.0.0.1 (10.0.0.1) from 10.0.0.2 : 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=255 time=1.91 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=255 time=1.81 ms
64 bytes from 10.0.0.1: icmp_seq=3 ttl=255 time=2.16 ms
64 bytes from 10.0.0.1: icmp_seq=4 ttl=255 time=2.50 ms

Teraz sprawdźmy status intefejsu. Robimy to w interfejsie webowym w zakładce Network -> IPSec Tunnels

Jeśli w polach Status widnieją zielone kropki to znaczy, że tunel zestawił się poprawnie.

PODSUMOWANIE

Tunel IPSEC między urządzeniami CISCO i PALO ALTO jest bardzo łatwy w konfiguracji i mam nadzieję, że po przeczytaniu powyższego wpisu nie powinien sprawić nikomu kłopotu.

IPSec S2S VPN Palo Alto – Cisco

LAB

Adresacja

Konfiguracja CISCO

Cała konfiguracja CISCO

Konfiguracja PALO ALTO

WERYFIKACJA

PODSUMOWANIE

You may also like...

Dodaj komentarz Anuluj pisanie odpowiedzi

Newsletter

Wyszukiwarka

Najnowsze wpisy

Kategorie

LINKI

Archiwum

IPSec S2S VPN Palo Alto – Cisco

LAB

Adresacja

Konfiguracja CISCO

Cała konfiguracja CISCO

Konfiguracja PALO ALTO

WERYFIKACJA

PODSUMOWANIE

You may also like...

Palo Alto API tworzenie reguł – Python skrypt

IPSEC VPN – teoria

Rancid jako narzędzie do automatycznego zapisywania kopii zapasowych urządzeń sieciowych CISCO

Dodaj komentarz Anuluj pisanie odpowiedzi

Newsletter

Wyszukiwarka

Najnowsze wpisy

Kategorie

LINKI

Archiwum

Tagi