Palo Alto IPSec

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
qligowski
wannabe
wannabe
Posty: 219
Rejestracja: 16 maja 2014, 18:35

Palo Alto IPSec

#1

#1 Post autor: qligowski » 12 lip 2019, 17:28

Witam,

Czy Palo Alto 'otwiera' firewall dla IPSec automatycznie w trakcie tworzenia IPSec? Proboje swotrzyc S2S z Azure ale tcpdump po drugiej stronie nie widzi zadnych pakietow isakmp UDP 500, to samo dzieje sie z innym linuxowy serverem z openswan - nic nie dochodzi. Logi na Palo Alto pokazuja ze phase1 pakiety sa wysylane (initiated).

mihu
wannabe
wannabe
Posty: 749
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: Palo Alto IPSec

#2

#2 Post autor: mihu » 13 lip 2019, 01:09

cześć,

nie. musisz dodać rulę w zone "untrust" dla aplikacji ike i ipsec , jeśli używasz application default. tak samo z jakimkolwiek ruchem przez data plane, np. BGP, czy ssh, WebUI do firewalla.

A potem standardowe rule dla ruchu w L2L VPN w odpowiednich zone-ach.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

qligowski
wannabe
wannabe
Posty: 219
Rejestracja: 16 maja 2014, 18:35

Re: Palo Alto IPSec

#3

#3 Post autor: qligowski » 15 lip 2019, 09:56

Dzieki, tak myslalem, wsyzstko zaczelo dzialac jak puscilem to manulanie przez policy. :D

ODPOWIEDZ