CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
Danh sách nội dung [Ẩn]
Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cách cấu hình IPsec VPN Site to site giữa thiết bị Palo Alto Firewall với AWS.
Chi tiết sơ đồ mạng:
Palo Alto Firewall:
AWS:
Dựa theo sơ đồ trên chúng ta sẽ cấu hình IPsec VPN Site to site giữa Palo Alto Firewall và AWS để cả 2 mạng LAN của 2 bên có thể giao tiếp với nhau.
AWS:
Palo Alto Firewall:
Kiểm tra kết quả.
Đăng nhập vào trang AWS Portal với tài khoản quản trị.
Nhấn vào Services và chọn VPC.
Chọn VPC của bạn tại Filter by VPC, đây là VPC bạn sẽ dùng để cấu hình IPsec VPN.
Đi đến VIRTUAL PRIVATE NETWORK (VPN) > Customer Gateways > Nhấn Create Customer Gateway.
Tạo Customer Gateways theo các thông số sau:
Đến VIRTUAL PRIVATE NETWORK > Virtual Private Gateways > Nhấn Create Virtual Private Gateway.
Tạo Virtual Private Gateway với các thông số sau:
Tiếp theo chúng ta sẽ Add Virtual Private Gateways vừa tạo vào VPC.
Để Add chọn Virtual Private Gateways vừa tạo > nhấn Action > Attach to VPC.
Chọn VPC mà chúng ta đã filter tại bước tạo Customer Gateways và nhấn Yes, Attach để hoàn thành
Virtual Private Network đã được thêm vào VPC thành công.
Để tạo vào VIRTUAL PRIVATE NETWORK (VPN) > Site-to-Site VPN Connection > nhấn Create VPN Connection.
Tạo với các thông tin sau:
Chúng ta cần tạo static route để route lớp mạng của Palo Alto Firewall thông qua Virtual Gateway.
Để tạo vào VIRTUAL PRIVATE CLOUD > Route Tables > tích chọn route tables đang có > vào Route tab > nhấn Edit Route > nhấn Add route.
Add với các thông số sau:
Sau khi tạo VPN Connection chúng ta sẽ tích chọn VPN Connection vừa tạo và nhấn Download Configuration.
Chọn các thông tin như sau để download file cấu hình:
Chúng ta bật file cấu hình vừa download về chúng ta sẽ có các thông tin như sau.
IKE Crypto và IPsec Crypto của kết nối IPsec.
IKE Crypto:
IPsec Crypto:
Thông tin về IP cổng tunnel của kết nối IPsec VPN trên Palo Alto.
Thông tin về cấu hình IKE Gateways:
Tất cả các thông tin này sẽ được dùng để cấu hình cho thiết bị Palo Alto Firewall trong phần tiếp theo.
Chúng ta cần tạo zone cho các kết nối VPN.
Để tạo vào Network > Zones.
Nhấn Add và tạo theo các thông tin sau:
Nhấn Commit và OK để lưu các thay đổi cấu hình.
Chúng ta sẽ tạo Address Object cho 2 lớp mạng LAN của thiết bị Palo Alto Firewall và AWS.
Để tạo vào Object > Addresses.
Nhấn Add và tạo theo các thông số như sau.
Palo Alto Firewall LAN:
AWS LAN:
Nhấn Commit và OK để lưu các thay đổi cấu hình.
Để tạo vào Network > Interface > Tunnel.
Nhấn Add và tạo theo các thông tin như sau:
Tại Config tab:
Nhấn OK để lưu.
Tại IPv4 tab:
Tại Advanced tab:
Nhấn Commit để lưu các thay đổi cấu hình.
Để tạo Virtual Routers vào Network > Virtual Routers > nhấn Add và cấu hình theo các thông tin sau.
Tab Router Settings:
Tab Static Routes > IPv4:
Nhấn Add để thêm static routes và điền vào các thông tin sau:
Nhấn Commit và OK để lưu các thay đổi cấu hình.
Chúng ta sẽ tạo IKE Crypto tức Phrase 1 cho kết nối VPN.
Để tạo vào Network > IKE Crypto nhấn Add và tạo theo các thông tin sau:
Nhấn Commit và OK để lưu các thay đổi cấu hình.
Tạo IPsec Crypto
Để tạo IPsec Crypto vào Network > IPsec Crypto và nhấn Add.
Cấu hình theo các thông số sau:
Nhấn Commit và OK để lưu các thay đổi cấu hình.
Để tao vào Network > IKE Gateways và nhấn Add.
Dựa trên thông số IKE Gateway mà chúng ta đã có từ file config download về từ AWS.
Nếu chúng ta sử dụng IKEv2 only mode thì điền vào các thông số của IKEv2 only mode, nếu sử dụng IKEv2 preferred mode thì nhập vào thông số của IKEv2 preferred mode.
Trong bài viết này chúng ta sẽ sử dụng IKEv2 only mode
Cấu hình theo các thông số sau
Bảng General:
Bảng Advanced Options:
Nhấn Commit và OK để lưu các thay đổi cấu hình.
Giờ chúng ta sẽ bắt đầu tạo kết nối VPN với AWS.
Để tạo vào Network > IPsec Tunnels và nhấn Add.
Tạo với các thông tin như sau.
Tab General:
Tab Proxy IDs:
Nhấn Add và cấu hình các thông tin sau:
Nhấn Commit và OK để lưu các thay đổi cấu hình.
Chúng ta cần tạo policy cho phép các traffic từ lớp mạng LAN của Palo Alto Firewall đi qua lớp mạng LAN của AWS và ngược lại.
Để tạo policy vào Policies > Security và nhấn Add.
Tạo policy cho phép traffic từ lớp mạng LAN của Palo Alto Firewall đi qua lớp mạng LAN của AWS với các thông tin như sau:
Tab General:
Tab Source:
Tab Destination:
Tab Action:
Tiếp theo chúng ta sẽ nhấn Add và tạo policy cho phép các traffic đi từ lớp mạng LAN của AWS sang lớp mạng LAN của Palo Alto Firewall với các thông tin sau:
Tab General:
Tab Source:
Tab Destination:
Tab Action:
Nhấn Commit và OK để lưu các thay đổi cấu hình.
Vào AWS portal > Virtual Private Network (VPN) > Site-to-Site VPN Connections.
Tại VPN Connection > Tunnel Details > bảo đảm rằng status của tunnel là UP
Trên Palo Alto Firewall chúng ta vào Network > IPsec Tunnels và chúng ta cũng thấy là tunnel đã UP.
Datech sẽ dùng máy chủ Linux tại AWS để ping về IP LAN của Palo Alto Firewall để kiểm tra kết nối.
Kết quả ping từ máy chủ linux đến máy IP LAN của Palo Alto Firewall.
Kết quả ping thành công.
Sau khi ping thành công chúng ta có thể kiểm tra log bằng cách vào Monitor > Logs > Traffic, chúng ta sẽ thấy traffic đi từ source ip là 172.31.42.255 đến destination source là 10.146.41.1.
Ngược lại ping từ mạng LAN của Palo Alto Firewall đến máy chủ Linux tại AWS.
Kết quả ping thành công.