Palo – Generator configów VPN

W napływie mocy stworzyłem małego Excela z generatorem konfigów połączeń IPSec, jest to na chwilę wersja uboga ale mam nadzieję z czasem uda mi się dodać więcej funkcji. Na chwilę obecną obsługuje vpn’y w trybie main z PSK. wersja 0.2 poprawione błędy, dodanie opisów pól, uporządkowanie leciutkie. Plik generatora(potrzeba włączenia obsługi makro): Wersja 0.2 cli_config_palo_vpn_ver0.2

LAB – IPSec Palo – Cisco ASA

Poniżej pokazuję jak zestawiać połączenie IPsec pomiędzy PaloAlto Networks a Cisco ASA. W mym przypadku oba urządzenia są w wersji wirtualnej ale konfiguracja ich odpowiada tak jak byśmy konfigurowali urządzenia fizyczne. Założenia: Faza 1 aes256 sha-1 pfs g2 86400s Faza 2 aes256 sha-1 pfs g2 28800s Palo Cisco ASA Sieci które będą podlegały szyfrowaniu 10.20.10.0/24 172.16.1.0/24 Palo Cisco ASA Interfejs z adresem tzw. publicznym 192.168.1.51/24 192.168.1.80/24

Juniper – Ograniczenie dostępu do IKE

Co zrobić aby na urządzeniu na którym jest uruchomiona usługa IKE na skanach bezpieczeństwa nie pojawiało się że jest włączony aggressive mode. Najszybciej będzie założenie filtru który będzie nam dopuszczał wybrane adresy peerów do usługi IKE i ESP Definiujemy grupę w której będzie lista adresów IP i sieci które będą mogły się zestawić IPSEC’a oraz z którymi urządzenie będzie mogło nawiązać połączenie

 Definiujemy term w którym będziemy blokować wszystkie …

LAB – IPSEC SRX <--> PALO

Dziś przyszedł czas na lab z wykorzystaniem urządzeń Juniper SRX oraz Palo Alto Networks. Skupię się w tym wpisie na skonfigurowaniu połączenia VPN Ipsec pomiędzy tymi urządzeniami. założenia: Faza 1 aes256 sha-1 pfs g2 3600s Faza 2 aes256 sha-1 pfs g2 3600s Palo SRX Sieci które będą podlegały szyfrowaniu 10.20.10.0/24 10.10.10.0/24 Palo SRX Interfejs z adresem tzw. publicznym 192.168.1.210/24 192.168.1.2/24 Konfiguracja SRX Faza1

Faza 2

Konfiguracja polityki vpn Dodanie …

Lab – IPSEC Juniper SRX – Cisco router

Dziś postanowiłem opisać trochę labowania, temat ostatnio bardzo mocno przerabiany IPSEC. Poniżej opiszę wariant policy base vpn, który jest bardzo elastyczny. Założenia: Faza 1 aes256 sha-1 pfs g2 3600s Faza 2 aes256 sha-1 pfs g2 3600s Cisco Juniper SRX Sieci które będą podlegały szyfrowaniu 172.16.10.0/24 10.10.10.0/24 Cisco Juniper SRX Interfejs z adresem tzw. publicznym 192.168.1.201/24 192.168.1.2/24 Konfiguracja Cisco Logujemy się do Cisco:

konfiguracja fazy 1

konfiguracja fazy 2 …