[Risolto]
Sto cercando di configurare una seconda Porta e Gateway (sulla stessa PA-440). La prima Porta e Gateway usano l’indirizzo IPv4 pubblico principale. L’indirizzo è assegnato all’interfaccia Internet e ha un subnet /27. Questo funziona bene.
La seconda Porta e Gateway utilizza un altro indirizzo IPv4 pubblico che è nella stessa subnet. L’indirizzo ha un subnet mask /32 assegnato alla stessa interfaccia Internet.
Dal mio router Internet, quando provo a PINGare uno dei due indirizzi IP, ricevo la risposta ARP corretta.
Quando provo a connettermi alla seconda Porta tramite un browser web sulla porta TCP 443 standard, non ricevo mai pacchetti di risposta. I log del traffico mostrano che i pacchetti da zona Outside a zona Outside sono consentiti tramite le impostazioni intra-zona di default. Mostra anche che la sessione è scaduta.
Mi sembra che il processo SSLVPN semplicemente non ascolti sull’indirizzo IPv4 pubblico secondario.
Sto usando 10.2.3-h2. Ho aperto un ticket ad alta priorità con PA.
Qualcuno ha configurato una seconda Porta e Gateway su un firewall PA usando questo design?
Crea un loopback /32 con l’indirizzo secondario e assegnalo alla zona outside insieme alla stessa VLAN di tutto il resto. Riconfigura di conseguenza la porta e il gateway. Ho fatto ciò in 9.1 e 10.1 quindi se non funziona, non ho più ipotesi.
Guarda i tuoi log. I tuoi sessioni mostrano pacchetti ricevuti e inviati? Questo ti dirà se sta ascoltando. E dove si trova il problema.
Problema risolto!!! La porta funziona ora.
Informerò il supporto PA affinché possano dire ad altri clienti come risolverlo rapidamente.
(Passo 1: Chiedi a Reddit)
Grazie, proverò questa sera.
Sembra una buona idea, ma è meglio creare una zona VPN-Outside e poi una policy di sicurezza da Outside a VPN-Outside per permettere panos-global-protect, ssl e ipssec-esp-udp?
Le catture di pacchetto sul firewall PA mostravano i pacchetti in arrivo e scartati. I log del traffico mostravano i pacchetti in arrivo e timeout.
L’idea di /u/darktimesGrandpa ha risolto il mio problema. Spostare l’indirizzo IPv4 pubblico secondario su un’interfaccia di loopback ha funzionato.
Può essere fatto con un singolo VSYS, su un singolo firewall PA?
Sì, puoi creare zone e mettere le interfacce nelle zone indipendentemente dal VSYS.
Interessante. Posso dire di averlo configurato senza il loopback prima, quindi so che funziona.
La mia interfaccia “outside” è “ae2”. Mi chiedo se ciò abbia a che fare con questo.
Non dovrebbe. L’ho fatto anch’io.
Il mio è ae1.xxx per il VLAN che lo trasporta al livello 2 verso un dispositivo Ciena di AT&T. Lo sto eseguendo su 10.1.9-h1 su alcuni 5220 in HA.
Anche il supporto PA ha detto così.
Ho configurato ae2 senza VLAN tagging per la mia uplink Internet. Si collega a due switch Cisco Nexus con un vPC in modalità accesso. Ho fatto questo per vedere l’uso di Internet separatamente da tutte le VLAN interne.
Ho due PA-440 in configurazione Attivo/Passivo.
Ho visto molti bug in 10.2. Non posso dirlo sicuramente perché non conosco abbastanza la configurazione, ma non lo escluderei.
Ho iniziato con 10.2 per accedere al motore di routing avanzato. Credo di aver ricevuto ciò che meritavo.
A volte è necessario. Dovuto anche farlo per hardware nuovo, capisco.