Интерфейс пользователя для Palo Alto все еще сбит с толку для меня, так как это новое устройство. Мы удалили наш старый роутер pfSense в пользу недавно полученного Palo Alto firewall, который теперь слежит за логами. Хотел бы получить совет по разрешению нашему Meraki VPN подключаться через это устройство.
Я общался с Meraki, и они сказали, что нужно включить порты 500 и 4500, но судя по этим документам, возможно, потребуется сделать больше в настройках Palo Alto:
Извините, другой администратор здесь сделал половину работы и ушел в отпуск, оставив меня с задачей.
Я собираюсь в отпуск по траурной причине, а завтра у меня отпуск, и я заметил вчера вечером, что мое VPN соединение сломано, и я пытаюсь убедиться, что оно работает, прежде чем уйти на три недели.
Могли бы вы уточнить топологию. Строите ли вы VPN-туннель с MX и PA? (иначе, зачем тогда KB для PA?) Или вы устанавливаете MX за PA, который завершает ваш интернет-доступ? (то, что кажется при упоминании использования Pfsense как роутера.
И зачем вообще ставить SMB-класс firewall (MX) за более мощное оборудование класса enterprise ¶?
В любом случае, этот пост可能 будет закрыт / удален, так как это довольно домашний уровень вопросов.
Это звучит странно похоже на ту же самую настройку, с которой я сталкиваюсь сейчас.
В любом случае, кто инициатор? Если инициатор находится за файрволом, вам нужны только исходные порты, чтобы VPN был успешным. Если вы инициатор, вам нужно открыть порты для удаленного VPN.
У нас есть такая же настройка:
MX > удаленный файрвол > Интернет > PA
Нам пришлось установить статический IP и порт в настройках site-to-site, так как наш Palo не разрешал динамические порты для VPN-соединения. Это заставило VPN Meraki использовать только этот конкретный порт и IP для подключения к HUB. Я только просыпаюсь, вскоре пришлю соответствующие статьи.
Спасибо за интерес к публикации в этом сабреддите. Чтобы бороться с спамом, новые аккаунты не могут публиковать и комментировать в течение 24 часов после создания.
Пожалуйста, НЕ обращайтесь к модерам с просьбой одобрить ваш пост.
Вы можете заново отправить свою тему или комментарий примерно через 24 часа.
Я робот, и это действие было выполнено автоматически. Если у вас есть любые вопросы или опасения, пожалуйста, свяжитесь с модерами этого сабреддита.
Вам, вероятно, нужно настроить проброс портов, если только облако Meraki не достаточно умно, чтобы обнаружить такие вещи и сообщить конечному устройству.
NAT Traversal > Ручной проброс портов, вам нужно будет настроить правила в вашем файрволе, но это фактически говорит Meraki, что порт и IP для VPN-центра не меняется и использовать именно их.
Потому что Meraki — это то, что мы используем. Palo Alto нам дали, и он только для логирования до сих пор. Понимаю, что вы имеете в виду, у меня было это настроено на другом старом клиенте, и это было хорошо. Пока что я, наверное, сделаю так и, возможно, сделаю это еще, но сейчас мне нужно иметь оба варианта.
Спасибо. Сейчас смотрю эти настройки. У меня, по крайней мере, есть site-to-site проблемы на одной из площадок. Другие две — школы, лето, они не жалуются.
Все, что, как правило, нужно для работы MX/Z site-to-site VPN (AutoVPN), это UDP/9350 для связи с реестром VPN, а затем разрешить трафик обратно (что должно произойти после установления исходящего соединения, благодаря stateful packet inspection). Но когда у вас есть что-то, инспектирующее трафик на уровне приложений, нужно убедиться, что правило приложения не блокирует его, потому что трафик не соответствует шаблонам.
Так что эти ссылки вообще не актуальны, так как они предназначены для установки site-to-site туннелей с MX на стороннее VPN.