Hej, jag är ganska ny på PaloAlto så förlåt om detta är dumt.
Jag migrerar en VPN IPSec från CISCO till Palo Alto brandväggar. På den produktionsbrandväggen (CISCO) har jag 8 enskilda IPs som lokala LAN och 5 IPs som avlägsna LAN. Det är enkelt eftersom jag har 2 grupper av IPs för varje LAN VPN (lokal och avlägsen) och jag valde intressant trafik.
Nu i Palo Alto tror jag att jag måste göra 40 kombinationer av ProxyIDs eftersom jag inte kan välja objektgrupper i Lokala och Avlägsna LAN, och mitt enda alternativ är att skriva IPs individuellt och kombinera dem alla.
Missar jag något???
Tack på förhand
Min första fråga är om du behöver en policy/domänbaserad VPN eller om du kan migrera till en routad VPN. Palo-brandväggar gör bara routade VPNs och falska policy-baserade, så om andra sidan också kan göra routade, blir det troligen enklare att bara routa önskad trafik över VPN på båda sidor och inte använda några proxy IDs.
Om du måste ha en policybaserad tunnel, brukade jag använda CLI i skriptläge och då hade jag ett Excel-blad som genererade de nödvändiga kommandona baserat på indata och jag kopierade och klistrade in det.
Det andra att tänka på är om du kan förenkla paren. Eftersom trafiken på Palo-sidan fortfarande behöver routas, kan du ha det som ‘valfritt’ för Palo lokalt. Då behöver du bara 5 tunnlar. Detta beror på om att ha ‘valfritt’ som avlägset på den avlägsna brandväggen orsakar problem eller inte.
Se till att matcha på båda sidor. Om du har ett större intervall på ena sidan, när det finns trafik utanför det intervallet som initierade tunneln, kommer den att brytas ner och byggas om. Detta orsakar betydande prestandaproblem om du ständigt bryter ner och bygger upp tunneln