Come faccio a creare una VPN basata sul routing dinamico utilizzando un firewall Palo-Alto e AWS VPN?

4 minuti di lettura
0

Voglio creare una rete privata virtuale AWS (AWS VPN) dinamica tra AWS e un firewall Palo-Alto.

Risoluzione

Prerequisiti

È necessario disporre di un cloud privato virtuale (VPC) con un IP-CIDR che non si sovrapponga alla rete locale. Questo VPC deve essere associato a un gateway privato virtuale (VGW) o collegato a un gateway di transito (TGW).

Configurazione AWS

1.    Crea un gateway del cliente (CGW). Quando crei il CGW, puoi fornire il tuo numero di sistema autonomo (numero AS) o scegliere l'opzione predefinita. Quando scegli l'impostazione predefinita, AWS fornisce un numero AS per il tuo CGW.

2.    Crea una VPN sito-sito. Per Gateway, scegli VGW o TGW e per Routing options (Opzioni di routing), scegli Dynamic (Dinamico).

3.    Scarica il file di configurazione dalla Console di gestione AWS.

Il file di configurazione fornisce quanto segue:

  • IP pubblico AWS e chiave precondivisa
  • Indirizzo IP e configurazione MTU per l'interfaccia del tunnel Palo-Alto
  • Configurazione Border Gateway Protocol (BGP) e IP BGP da configurare nel firewall Palo-Alto

Configurazione Palo-Alto

Palo-Alto fornisce firewall di nuova generazione che supportano VPN basate su percorsi, per impostazione predefinita. Quindi, quando crei una VPN tra Palo-Alto e AWS, non hai bisogno di ID proxy.

Nota: le seguenti impostazioni di crittografia, gruppo DH e autenticazione rimangono le stesse sia per IKE-crypto che per IPsec-crypto. La durata delle impostazioni di fase 1 e fase 2 è di 8 ore e 1 ora, per impostazione predefinita.

  • Crittografia: AES-256-GCM
  • Gruppo DH: 20
  • Autenticazione: SHA-384

1.    Crea il profilo IKE-Crypto utilizzando l'algoritmo sopra riportato.

2.    Crea il profilo IPsec-Crypto utilizzando l'algoritmo sopra riportato.

3.    Costruisci l'interfaccia del tunnel. Per IPv4, fornisci l'IP dell'interfaccia tunnel. Puoi trovarlo nella sezione 3 del file di configurazione che hai scaricato dalla Console di gestione AWS. In Advanced (Avanzate), imposta un MTU DI 1427.

4.    Crea il gateway IKE, utilizzando le seguenti configurazioni:

  • Per Version (Versione), scegli IKEv2 only (solo IKEv2) e per Authentication (Autenticazione), scegli pre-shared key (chiave precondivisa).
  • Nella sezione avanzata, assicurati che NAT Traversal sia attivato.
  • Scegli il profilo IKE-Crypto che hai creato nel passaggio 1.
  • Attiva il liveness check a un intervallo di 5 secondi.

5.    Dalla scheda Network (Rete), scegli IPsec Tunnels (Tunnel IPsec), quindi crea il tunnel IPsec. Scegli l'interfaccia Tunnel e il gateway IKE che hai creato nel passaggio precedente.

6.    Conferma le modifiche. Al termine, accedi tramite SSH al firewall, quindi esegui i seguenti comandi per avviare la negoziazione VPN:

test vpn ike-sa gateway <IKE-Gateway-Name>

test vpn ipsec-sa tunnel <IPsec-Tunnel-Name>

Nell'interfaccia GUI, in IPsec Tunnels (Tunnel IPsec), lo stato è ora verde.

Configura il routing BGP come Palo-Alto

Nota: AWS VPN non supporta il riavvio semplice e il rilevamento dell'inoltro bidirezionale (BFD).

Innanzitutto, crea il profilo di ridistribuzione. Quindi, configura BGP utilizzando queste impostazioni:

1.    Nella scheda General (Generale), seleziona la casella di controllo per attivare BGP.

2.    Aggiungi un router ID (ID router) e inserisci il numero AS Palo-Alto.

3.    Nella scheda Peer-Group (Gruppo Peer), scegli Create a new peer group (Crea un nuovo gruppo peer).

4.    Per Peer AS (AS Peer), inserisci il numero AS AWS. Per Peer address (Indirizzo Peer), inserisci l'IP AWS BGP. Puoi trovare entrambi questi numeri nella sezione 4 del file di configurazione che hai scaricato in precedenza dalla Console di gestione AWS.

4.    In Connection options (Opzioni di connessione), per keep-alive interval (Intervallo keep-alive), scegli 10 secondi. Per Hold time (Tempo di attesa), scegli 30 secondi.

5.    Scegli la scheda R****edist rules, quindi crea una regola di redist. Per Name (Nome), scegli il profilo di ridistribuzione che hai creato in precedenza. Quindi, scegli Commit changes (Conferma modifiche).

Infine, verifica che sia stato stabilito il BGP.

1.    Scegli la scheda Network (Rete), quindi scegli Virtual router (Router virtuale).

2.    Scegli More run time stats (Altre statistiche sul tempo di esecuzione), quindi scegli BGP. In Peer, verifica che lo stato sia impostato.

Informazioni correlate

Come faccio a scaricare i file di configurazione di esempio della VPN sito-sito AWS?

AWS UFFICIALE
AWS UFFICIALEAggiornata un anno fa