Cấu hình IPSEC giữa PaloAlto và Cisco Router dễ nhớ

 

CẤU HÌNH VPN IPSEC GIỮA PALO ALTO và CISCO ROUTER

Mô hình

Thông số VPN:

Cấu hình trên Palo Alto:

Chỉ quanh quanh các menu này:

Đầu tiên vào IKE crypto:

Chọn Add và điền thông số pha 1 như đã quy hoạch

Tiếp theo vào IPSEC Crypto:

Chọn Add và điền các thông số pha 2

Tiếp theo vào IKE gateway

Chọn Add và điền thông số IP wan, đầu xa...

Ta tạo tunnel để truyền traffic VPN

Cuối cùng vào “IPSEC tunnel “ để gọi tunnel trên

Chọn Add

Tạo thêm route sang dải LAN đầu xa via tunnel (trong virtual router)

Commit

==============================

Trên Cisco:

Khai báo kiểu VPN route-based (tạo tunnel và mã hóa)

Pha 1:

crypto isakmp policy 10

 encr 3des

 hash md5

 authentication pre-share

 group 2

 lifetime 28800

crypto isakmp key 123456 address 10.1.2.1      

Pha 2:

crypto ipsec transform-set TS esp-3des esp-md5-hmac

 mode tunnel

!

crypto ipsec profile HAI_PS

 set transform-set TS

 set pfs group2

!

!khai tunnel

interface Tunnel0

 ip address 172.16.1.2 255.255.255.0

 tunnel source 10.2.3.3

 tunnel mode ipsec ipv4 (do ở Palo dùng mode ipsec tunnel nên mình cần khai cho khớp)

 tunnel destination 10.1.2.1

 tunnel protection ipsec profile HAI_PS

!

ip route 192.168.15.0 255.255.255.0 Tunnel0

Verify:

Trên Palo alto vào IPSec Tunnel thấy Xanh là ok

Trên Cisco:

show crypto session thấy UP-ACTIVE nếu chưa thấy thì thử ping 2 LAN sang nhau rồi show lại. Nếu chưa được thì check lại các thông số khớp nhau

========

=========