Wie kann ich mithilfe einer Palo-Alto-Firewall und AWS-VPN ein auf dynamischem Routing basierendes VPN aufbauen?

Lesedauer: 4 Minute

Ich möchte ein dynamisches AWS Virtual Private Network (AWS VPN) zwischen AWS und einer Palo-Alto-Firewall aufbauen.

Auflösung

Voraussetzungen

Sie benötigen eine virtuelle private Cloud (VPC) mit einer IP-CIDR, die sich nicht mit dem lokalen Netzwerk überschneidet. Diese VPC muss mit einem Virtual Private Gateway (VGW) verknüpft oder an ein Transit-Gateway (TGW) angeschlossen sein.

AWS-Konfiguration

1.Erstellen Sie ein Kunden-Gateway (CGW). Wenn Sie das CGW erstellen, können Sie entweder Ihre autonome Systemnummer (AS-Nummer) angeben oder die Standardoption wählen. Wenn Sie die Standardeinstellung wählen, stellt AWS eine AS-Nummer für Ihr CGW bereit.

2.Erstellen Sie ein Site-to-Site-VPN. Wählen Sie für Gateway VGW oder TGW und für Routing-Optionen wählen Sie Dynamic.

3.Laden Sie die Konfigurationsdatei von der AWS-Management-Console herunter.

Die Konfigurationsdatei enthält Folgendes:

Öffentliche AWS-IP-Adresse und vorinstallierter Schlüssel
IP-Adresse und MTU-Konfiguration für Ihre Palo-Alto-Tunnelschnittstelle
Border Gateway Protocol (BGP) -Konfiguration und BGP-IP zur Konfiguration in der Palo-Alto-Firewall

Palo-Alto-Konfiguration

Palo-Alto bietet Firewalls der nächsten Generation, die standardmäßig routenbasiertes VPN unterstützen. Wenn Sie also ein VPN zwischen Palo-Alto und AWS erstellen, benötigen Sie keine Proxy-IDs.

Hinweis: Die folgenden Verschlüsselungs-, DH-Gruppe- und Authentifizierungseinstellungen bleiben sowohl für IKE-Crypto als auch für IPsec-Crypto gleich. Die Lebensdauer der Einstellungen Phase 1 und Phase 2 beträgt standardmäßig 8 Stunden und 1 Stunde.

Verschlüsselung: AES-256-GCM
DH-Gruppe: 20
Authentifizierung: SHA-384

1.Erstellen Sie das IKE-Crypto-Profil mit dem obigen Algorithmus.

2.Erstellen Sie das IPsec-Crypto-Profil mit dem obigen Algorithmus.

3.Erstellen Sie die Tunnelschnittstelle. Geben Sie für IPv4 die Tunnelschnittstellen-IP an. Sie finden dies in Abschnitt 3 der Konfigurationsdatei, die Sie von der AWS Management Console heruntergeladen haben. Stellen Sie unter Erweitert einen MTU VON 1427 ein.

4.Erstellen Sie das IKE-Gateway mit den folgenden Konfigurationen:

Wählen Sie für Version nur IKEv2 und für Authentifizierung, wählen Sie die Vorinstallierter Schlüssel.
Stellen Sie im Abschnitt Erweitert sicher, dass NAT Traversal aktiviert ist.
Wählen Sie das IKE-Crypto-Profil, das Sie in Schritt 1 erstellt haben.
Schalten Sie die Lebendigkeit-Prüfung in einem Intervall von 5 Sekunden ein.

5.Wählen Sie auf der Registerkarte Netzwerk die Option IPSec-Tunnel aus, und erstellen Sie dann den IPSec-Tunnel. Wählen Sie die Tunnelschnittstelle und das IKE-Gateway, die Sie im vorherigen Schritt erstellt haben.

6.Übernehmen Sie Änderungen. Nachdem dies abgeschlossen ist, nehmen Sie SSH-Zugriff auf die Firewall und führen Sie dann die folgenden Befehle aus, um die VPN-Verhandlung zu starten:

test vpn ike-sa gateway <IKE-Gateway-Name>

test vpn ipsec-sa tunnel <IPsec-Tunnel-Name>

Auf der GUI-Schnittstelle unter IPSec-Tunnel ist der Status jetzt grün.

Konfigurieren BGP-Routing als Palo-Alto

Hinweis: AWS VPN unterstützt keinen ordnungsgemäßen Neustart und keine Bidirectional Forwarding Detection (BFD).

Erstellen Sie zunächst das Umverteilungsprofil. Konfigurieren Sie dann BGP mit diesen Einstellungen:

1.Markieren Sie auf der Allgemein Registerkarte das Kontrollkästchen, um BGP zu aktivieren.

2.Fügen Sie eine Router-ID hinzu und geben Sie die Palo-Alto AS-Nummer ein.

3.Wählen Sie auf der Registerkarte Peer-Group die Option Erstellen neue Peer-Gruppe aus.

4.Geben Sie für Peer AS die AWS AS-Nummer ein. Geben Sie als Peer-Adresse die AWS BGP-IP ein. Sie finden diese beiden Nummern in Abschnitt 4 der Konfigurationsdatei, die Sie zuvor von der AWS Management Console heruntergeladen haben.

4.Wählen Sie unter Verbindungsoptionen für das keep-alive-intervall die Option 10 Sekunden aus. Wählen Sie für die Haltezeit 30 Sekunden.

5.Wählen Sie den Registerkarte R****edist-Regeln und erstellen Sie dann eine Redist-Regel. Wählen Sie unter **Name ** das Weiterverteilungsprofil aus, das Sie zuvor erstellt haben. Wählen Sie dann Übernehmen Änderungen aus.

Stellen Sie als Nächstes sicher, dass BGP eingerichtet ist.

1.Wählen Sie die Registerkarte Netzwerk und dann Virtueller Router.

2.Wählen Sie Mehr Laufzeitstatistiken, und dann BGP. Stellen Sie unter Peer sicher, dass der Status festgelegt ist.

Relevanter Inhalt

Der VPN-Tunnel zwischen meinem Kunden-Gateway und meinem virtuelle privaten Gateway ist aktiv, aber ich kann keinen Datenverkehr durch ihn leiten. Was kann ich tun?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie verwende ich ein dynamisches BGP, um einen VPN-Tunnel zwischen AWS und Oracle Cloud Infrastructure zu erstellen?
AWS OFFICIALAktualisiert vor 10 Monaten
Wie konfiguriere ich das Routing für meine private virtuelle Direct Connect-Schnittstelle?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie löse ich eine private gehostete Route-53-Zone über ein VPN mithilfe von AWS Directory Service auf?
AWS OFFICIALAktualisiert vor einem Jahr