HƯỚNG DẪN CẤU HÌNH IPSEC VPN GIỮA PALO ALTO FIREWALL VÀ AWS

Mc đích bài viết

Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cách cấu hình IPsec VPN Site to site giữa thiết bị Palo Alto Firewall với AWS.

Sơ đồ mng

Chi tiết sơ đồ mạng:

Palo Alto Firewall:

  • Đường truyền internet được kết nối tại ethernet1/1 của thiết bị Palo Alto Firewall với IP 113.161.x.x.
  • Mạng LAN của thiết bị Palo Alto Firewall được cấu hình tại ethernet1/2 với IP 10.146.41.0/24 và đã cấu hình DHCP để cấp phát cho các thiết bị kết nối tới nó.

AWS:

  • AWS có IP WAN là 13.59.106.76.
  • Lớp mạng LAN của AWS là 172.31.32.0/20.
  • Trong mạng LAN có Linux server với IP 172.31.42.255/20.

Tình hung cu hình

Dựa theo sơ đồ trên chúng ta sẽ cấu hình IPsec VPN Site to site giữa Palo Alto Firewall và AWS để cả 2 mạng LAN của 2 bên có thể giao tiếp với nhau.

Các bước cu hình

AWS:

  • Tạo AWS Customer Gateway.
  • Tạo Virtual Private Gateway.
  • Tạo Site-to-site VPN connection.
  • Tạo route.
  • Tải xuống file cấu hình VPN và tổng hợp các thông tin cần thiết.

Palo Alto Firewall:

  • Tạo VPN zone.
  • Tạo Address Object.
  • Tạo tunnel interface.
  • Tạo Virtual Routers.
  • Tạo IKE Crypto.
  • Tạo IPsec Crypto.
  • Tạo IKE Gateways.
  • Tạo IPsec Tunnel.
  • Tạo Policy.

Kiểm tra kết quả.

Hướng dn cu hình.

AWS

To AWS Customer Gateway

Đăng nhập vào trang AWS Portal với tài khoản quản trị.

Nhấn vào Services và chọn VPC.

Chọn VPC của bạn tại Filter by VPC, đây là VPC bạn sẽ dùng để cấu hình IPsec VPN.

Đi đến VIRTUAL PRIVATE NETWORK (VPN) > Customer Gateways > Nhấn Create Customer Gateway.

Tạo Customer Gateways theo các thông số sau:

  • Name: Palo Alto Firewall.
  • Routing: Static.
  • IP Address: nhập vào IP WAN của Palo Alto là 113.161.x.x.
  • Nhấn Create Customer Gateway để tạo.

To Virtual Private Gateway

Đến VIRTUAL PRIVATE NETWORK > Virtual Private Gateways > Nhấn Create Virtual Private Gateway.

Tạo Virtual Private Gateway với các thông số sau:

  • Name tag: VPG-PaloAltoComunity.
  • ASN: Amazon default ASN.
  • Nhấn Create Virtual Private Gateway để tạo.

Tiếp theo chúng ta sẽ Add Virtual Private Gateways vừa tạo vào VPC.

Để Add chọn Virtual Private Gateways vừa tạo > nhấn Action > Attach to VPC.

Chọn VPC mà chúng ta đã filter tại bước tạo Customer Gateways và nhấn Yes, Attach để hoàn thành

Virtual Private Network đã được thêm vào VPC thành công.

To Site-to-site VPN Connection.

Để tạo vào VIRTUAL PRIVATE NETWORK (VPN) > Site-to-Site VPN Connection > nhấn Create VPN Connection.

Tạo với các thông tin sau:

  • Name tag: S2S-AWS-to-PaloAlto.
  • Target Gateway Type: chọn Virtual Private Gateway.
  • Virtual Private Gateway *: chọn Virtual Private Gateway vừa tạo ở bước trên.
  • Customer Gateway: chọn Existing.
  • Customer Gateway ID *: chọn Customer Gateway vừa tạo ở bước trên.
  • Routing Option: Static.
  • Static IP Prefixes: nhập lớp mạng LAN của Palo Alto là 10.146.41.0/24.
  • Local IPv4 Network Cidr: nhập 10.146.41.0/24.
  • Remote IPv4 Network Cidr: nhập lớp mạng local của AWS là 172.31.32.0/20.
  • Nhấn Create VPN Connection.

To route

Chúng ta cần tạo static route để route lớp mạng của Palo Alto Firewall thông qua Virtual Gateway.

Để tạo vào VIRTUAL PRIVATE CLOUD > Route Tables > tích chọn route tables đang có > vào Route tab > nhấn Edit Route > nhấn Add route.

Add với các thông số sau:

  • Destination: 10.146.41.0/24.
  • Target: chọn Virtual Gateway vừa tạo.
  • Nhấn Save changes.

Ti xung file cu hình VPN và tng hp các thông tin cn thiết.

Sau khi tạo VPN Connection chúng ta sẽ tích chọn VPN Connection vừa tạo và nhấn Download Configuration.

Chọn các thông tin như sau để download file cấu hình:

  • Vendor: Palo Alto Networks.
  • Platform: PA Series.
  • Software: PANOS 7.0+.
  • Ike Version: ikev2.

Chúng ta bật file cấu hình vừa download về chúng ta sẽ có các thông tin như sau.

IKE Crypto và IPsec Crypto của kết nối IPsec.

IKE Crypto:

IPsec Crypto:

Thông tin về IP cổng tunnel của kết nối IPsec VPN trên Palo Alto.

  • IP tunnel tại Palo Alto: 169.254.60.150/30.
  • MTU: 1427.

  • IP tunnel tại AWS: 169.254.60.148/30.

Thông tin về cấu hình IKE Gateways:

Tất cả các thông tin này sẽ được dùng để cấu hình cho thiết bị Palo Alto Firewall trong phần tiếp theo.

Palo Alto Firewall

To Zone

Chúng ta cần tạo zone cho các kết nối VPN.

Để tạo vào Network > Zones.

Nhấn Add và tạo theo các thông tin sau:

  • Name: VPN
  • Type: Layer3
  • Nhấn OK để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

To Address Object

Chúng ta sẽ tạo Address Object cho 2 lớp mạng LAN của thiết bị Palo Alto Firewall và AWS.

Để tạo vào Object > Addresses.

Nhấn Add và tạo theo các thông số như sau.

Palo Alto Firewall LAN:

  • Name: PA_LAN.
  • Type: IP Netmask – 10.146.41.0/24.
  • Nhấn OK để lưu.

AWS LAN:

  • Name: AWS_LAN.
  • Type: IP Netmask – 172.31.32.0/20.
  • Nhấn OK để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

To Interface Tunnel

Để tạo vào Network > Interface > Tunnel.

Nhấn Add và tạo theo các thông tin như sau:

Tại Config tab:

  • Interface Name: tunnel.2
  • Virtual Router: None
  • Security Zone: VPN

Nhấn OK để lưu.

Tại IPv4 tab:

  • Nhấn Add và nhập IP tunnel 169.254.60.150/30 mà chúng ta có được từ file config trước đó.

Tại Advanced tab:

  • Chúng ta nhập MTU là 1427, thông số này được lấy từ file config đã download từ AWS.

Nhấn Commit để lưu các thay đổi cấu hình.

To Virtual Routers

Để tạo Virtual Routers vào Network > Virtual Routers > nhấn Add và cấu hình theo các thông tin sau.

Tab Router Settings:

  • Name: VR1
  • Tab General: nhấn Add và chọn các cổng vlan (cổng LAN), ethernet1/1(cổng internet) và tunnel.2(là tunnel dùng để kết nối VPN).

Tab Static Routes > IPv4:

Nhấn Add để thêm static routes và điền vào các thông tin sau:

  • Name: Route_AWS_Subnet.
  • Destination: nhập lớp mạng LAN của AWS là 172.31.32.0/20.
  • Interface: tunnel.2.
  • Next Hop: IP Address và nhập IP tunnel của AWS là 169.254.60.148
  • Nhấn OK 2 lần để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

To IKE Crypto

Chúng ta sẽ tạo IKE Crypto tức Phrase 1 cho kết nối VPN.

Để tạo vào Network > IKE Crypto nhấn Add và tạo theo các thông tin sau:

  • Name: vpn-0009b589f526268e7-0
  • DH Group: group2
  • Encryption: aes-128-cbc
  • Authentication: sha1
  • Key Lifetime: Seconds – 28800
  • Nhấn OK Để lưu

Nhấn Commit và OK để lưu các thay đổi cấu hình.

Tạo IPsec Crypto

Để tạo IPsec Crypto vào Network > IPsec Crypto và nhấn Add.

Cấu hình theo các thông số sau:

  • Name: ipsec-vpn-0009b589f526268e7-0
  • IPsec Protocol: ESP
  • Encryption: aes-128-cbc
  • Authentication: sha1
  • DH Group: group2
  • Lifetime: Seconds – 3600
  • Nhấn OK để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

To IKE Gateways

Để tao vào Network > IKE Gateways và nhấn Add.

Dựa trên thông số IKE Gateway mà chúng ta đã có từ file config download về từ AWS.

Nếu chúng ta sử dụng IKEv2 only mode thì điền vào các thông số của IKEv2 only mode, nếu sử dụng IKEv2 preferred mode thì nhập vào thông số của IKEv2 preferred mode.

Trong bài viết này chúng ta sẽ sử dụng IKEv2 only mode

Cấu hình theo các thông số sau

Bảng General:

  • Name: ike-vpn-0009b589f526268e7-0
  • Version: IKEv2 only mode
  • Address Type: IPv4
  • Interface: ethernet1/1 (cổng WAN của Palo Alto Firewall)
  • Local IP Address: None
  • Peer Address: Nhập IP WAN của AWS là 13.59.106.76
  • Authentication: Pre-shared Key
  • Pre-shared key: nhập mật khẩu kết nối từ file config.
  • Confirm Pre-shared key: nhập lại mật khẩu kết nối.
  • Local Identification: chọn IP address và nhập IP WAN của Palo Alto Firewall là 113.161.x.x.
  • Peer Identification: chọn IP address và nhập IP WAN của AWS là 13.59.106.76.

Bảng Advanced Options:

  • IKE Crypto Profile: chọn vpn-0009b589f526268e7-0.
  • Nhấn OK để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

To IPsec Tunnels

Giờ chúng ta sẽ bắt đầu tạo kết nối VPN với AWS.

Để tạo vào Network > IPsec Tunnels và nhấn Add.

Tạo với các thông tin như sau.

Tab General:

  • Name: ipsec-tunnel-1
  • Tunnel Interface: tunnel.2
  • Type: Auto Key
  • Address Type: IPv4
  • IKE Gateways: ike-vpn-0009b589f526268e7-0
  • IPsec Crypto Profile: IPsec-vpn-0009b589f526268e7-0

Tab Proxy IDs:

Nhấn Add và cấu hình các thông tin sau:

  • Proxy ID: Proxy-1
  • Local: 10.146.41.0/24
  • Remote: 172.31.32.0/20
  • Protocol: Any
  • Nhấn OK 2 lần để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

To Policy

Chúng ta cần tạo policy cho phép các traffic từ lớp mạng LAN của Palo Alto Firewall đi qua lớp mạng LAN của AWS và ngược lại.

Để tạo policy vào Policies > Security và nhấn Add.

Tạo policy cho phép traffic từ lớp mạng LAN của Palo Alto Firewall đi qua lớp mạng LAN của AWS với các thông tin như sau:

Tab General:

  • Name: LAN_TO_VPN
  • Rule Type: universal (default)

Tab Source:

  • Source Zone: nhấn Add và chọn LAN zone
  • Source Address: nhấn Add và chọn PA_LAN

Tab Destination:

  • Destination Zone: VPN
  • Destination Address: AWS_LAN

Tab Action:

  • Action: chọn Allow để cho phép.
  • Nhấn OK để lưu.

Tiếp theo chúng ta sẽ nhấn Add và tạo policy cho phép các traffic đi từ lớp mạng LAN của AWS sang lớp mạng LAN của Palo Alto Firewall với các thông tin sau:

Tab General:

  • Name: VPN_TO_LAN
  • Rule Type: universal (default)

Tab Source:

  • Source Zone: nhấn Add và chọn VPN zone
  • Source Address: nhấn Add và chọn AWS_LAN

Tab Destination:

  • Destination Zone: LAN
  • Destination Address: PA_LAN

Tab Action:

  • Action: chọn Allow để cho phép.
  • Nhấn OK để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

Kim tra kết qu.

Vào AWS portal > Virtual Private Network (VPN) > Site-to-Site VPN Connections.

Tại VPN Connection > Tunnel Details > bảo đảm rằng status của tunnel là UP

Trên Palo Alto Firewall chúng ta vào Network > IPsec Tunnels và chúng ta cũng thấy là tunnel đã UP.

Datech sẽ dùng máy chủ Linux tại AWS để ping về IP LAN của Palo Alto Firewall để kiểm tra kết nối.

Kết quả ping từ máy chủ linux đến máy IP LAN của Palo Alto Firewall.

Kết quả ping thành công.

Sau khi ping thành công chúng ta có thể kiểm tra log bằng cách vào Monitor > Logs > Traffic, chúng ta sẽ thấy traffic đi từ source ip là 172.31.42.255 đến destination source là 10.146.41.1.

Ngược lại ping từ mạng LAN của Palo Alto Firewall đến máy chủ Linux tại AWS.

Kết quả ping thành công.