Connect Palo Alto

Bài viết này hướng dẫn build thiết bị Router để đấu nối VPN_S2S với dịch vụ VPN Site-to-Site của FPT Smart Cloud.

Cần đảm bảo các điều kiện sau:

VPN Site-to-Site trên trang Portal
Palo Alto đã được cài đặt và enable ở phía khách hàng.
Palo Alto đã được cài đặt và có 3 IP: Managenment( IP public) - WAN( IP public) - LAN.

Bước 1: Cấu hình cho VPN Site-to-Site

Truy cập và tạo VPN Site-to-Site trên trang https://console.fptcloud.com/ - Tạo Customer Gateway:

- Tạo VPN Connection: Thông số của VPN Connection sẽ bao gồm 3 mục chính:

General information (chứa các thông tin chung của kết nối VPN)
Remote VPN Information (chứa các thông tin mã hóa và thông tin của quý khách hàng)
Dead Peer Detection (số lần hệ thống tự động retry kết nối khi bị vấn đề)

Phần 1: General information Lưu ý : Thông số Pre-shared-key cần lưu lại để kết nối với Palo Alto

Phần 2: Remote VPN information

Khi quý khách hàng lựa chọn Providers “Palo Alto”, hệ thống sẽ tự động điền thông tin cho IKE và IPSec cụ thể như sau: Đối với IKE:

Đối với IPsec:

Phần 3: Remote VPN information Điền thông số Delay và max failure và chọn Create VPN Connection

Đăng nhập web vào Palo Alto khách hàng theo IP Management: - Chọn Add và kích hoạt Zone của Palo Alto - Tạo Virtual Router của Palo Alto và chọn OK. - Tạo ra interface WAN là LAN, (lưu ý làm cho ethernet1/1 và tương tự cho ethernet 1/2)
- Tạo ra IKE Crypto: - Tạo ra IPSec Crypto: - Chọn IPsec Tunnels:
- Tại tab General, điền Peer Address là IP của FPT đã tạo ở bước 1(trong hình là 103.176.147.48) +Tại tab Advanced Options điền các thông tin sau: - Tạo ra GlobalProtect IPSec: - Tạo ra IPSec Tunnels:

Để cấu hình firewall và routing cho Palo Alto, thao tác theo các bước ở ví dụ dưới đây:

Mở firewall bất kỳ Tuỳ theo từng khách hàng mà mở source và destination theo rule
Mở Routing theo 2 subnet là 30.30.30.0/24 và 80.80.80/24 (tùy theo khách hàng mà mở source và destination theo rule). Tới đây khách hàng đã có thể mở Terminal - Command line để thử Ping thông mạng.