Hej, jag är ganska ny till PaloAlto så, förlåt om detta är dumt.
Jag migrerar 1 VPN IPSec från CISCO till Palo Alto-brandväggar. I produktionsbrandväggen (CISCO), har jag 8 enskilda IPs som lokal LAN och 5 IPs som fjärr-LAN. Det är enkelt eftersom jag har 2 grupper av IPs för varje LAN VPN (lokal och fjärr) och jag valde som intresserad trafik.
Nu i Palo Alto tänker jag att jag behöver göra 40 kombinationer av ProxyIDs eftersom jag inte kan välja objektsgrupper i Lokala och fjärr-LAN, och mitt enda alternativ är att skriva IPs individuellt och kombinera alla.
Min första fråga är om du behöver en policy/domänbaserad VPN eller om du kan migrera till en route-baserad VPN. Palo firewalls gör enbart route-baserade VPNs och fejkar policy-baserade, så om andra sidan också kan göra route-baserat, blir det troligen lättare att bara rida trafiken över VPN:en på båda sidor och inte använda några proxy IDs.
Om du behöver ha en policybaserad tunnel, brukade jag använda CLI i skriptläge och sedan hade jag ett Excel-blad som genererade de nödvändiga kommandona baserat på inmatningar och jag kopierade och klistrade in dem.
Det andra att tänka på är om du kan förenkla paren alls. Eftersom trafiken på Palo-sidan fortfarande behöver routas, kan du ha det som vilken som helst för Palo-lokalen. På så sätt behöver du bara 5 tunnlar. Detta beror på om det att ha vilken som helst som fjärr på fjärr-brandväggen orsakar problem eller inte.
Se till att matcha på båda sidor. Om du har ett större intervall på en sida, när som helst det finns trafik utanför det intervall som startade tunneln, kommer det att riva ner tunneln och bygga om den. Detta orsakar betydande prestandaproblem om du ständigt river ner och bygger om tunneln.
Jag har personligen migrerat ett hundratal tunnlar från ASA till Palo,
Proxy-IDs fungerar och de fungerar bra. Du måste vara försiktig med dem eftersom för varje Proxy-ID du listar räknas det mot max antal VPN för den aktuella hårdvarumodellen.
Produktsidan kommer att ge dig det numret för varje hårdvarumodell / familj. Det kommer att listas under “IPSEC VPN”.
Ditt antagande är rätt u/alexx8b - Du måste skapa proxy-IDs för varje kombination ELLER arbeta med leverantören för att migrera till en route-baserad VPN. Beroende på vilken teknik leverantören använder kan det vara enklare att göra så och det kommer att gynna dig på lång sikt.
Dum fråga kan du klara din trafik?
Är detta något som kräver en till en? Om du kan placera all din trafik i en enda intervall eller ett mindre intervall kan det lösa (nat överbelastning.. det är vad jag pratar om.. här..)
Tack man, bra svar. Just nu har jag policybaserad VPN.
Peer är ett tredjeföretag, och jag tror inte att de är så mycket insatta i IT. Så, jag föredrar att inte ändra något från deras sida. Så, mitt enda val är att antingen undersöka skriptlösningen eller återskapa de 40 kombinationerna.
Tunnlar kommer inte att starta om du inte matchar andra sidan exakt för fas 2. Att göra någon form av NAT på Palo-sidan hjälper inte OP med problemet med Proxy IDs.
Att lägga till proxy-IDs i GUI är ett absolut börda och att gå vägen via skript är en bra inlärningsmöjlighet. En bra metod för att bakåtutveckla de nödvändiga CLI-kommandona är att göra den ändring du vill ha i GUI men inte genomföra den och sedan använda show config list changes (jag tror att det är rätt kommando, det var ett tag sedan!) för att få CLI- motsvarigheten.
Personligen skulle jag fortfarande verifiera eventuella ändringar i CLI i GUI och skulle rekommendera att aldrig göra ändringar direkt i CLI.
Jag ser inte var OP sa att han inte kan ändra konfiguration på någon sida…
Hans fråga är hur man kan minska konfigurationen och jag gav ett svar som fungerar…
Implementationen är okej för en leverantör som bara gör route-baserade VPN. Proxy IDs finns där så att du om absolut måste göra en policy-baserad VPN kan göra det, men det är definitivt inte den avsedda användningen och implementationen motsvarar det.
Med hur proxy IDs fungerar kan du om du gör Cisco-stil intresserad trafik med objekt maxa gränsen för antalet VPN-tunnlar mycket snabbt och oavsiktligt. Varje proxy-ID-par räknas som en IPsec-tunnel. På något som VM-300 har du bara 2000 tunnlar så detta är det minst dåliga sättet att tillhandahålla policy-baserad VPN-stöd medan du faktiskt bara gör rutebaserad VPN.