Bonjour,
J’essaie de mettre en place la conception ci-dessous afin de séparer les utilisateurs VPN internes et externes. La raison de la zone virtuelle de staging est que tous les réseaux RFC1918 peuvent être utilisés en staging et que les utilisateurs VPN externes devront y avoir accès. En même temps, il y a la zone de confiance qui doit être séparée de la zone de staging et l’accès doit être autorisé via GP uniquement pour les utilisateurs VPN internes.
Je n’ai qu’une seule adresse IP publique à disposition.
J’ai suivi les guides liés ci-dessous et configuré le portail GP (10.10.10.1) et la passerelle (10.10.10.2) sur des adresses loopback et j’ai réussi à faire fonctionner le VPN IPSec en utilisant la NAT de destination pour les utilisateurs GP internes selon le schéma.
Ce qui bloque pour moi, c’est de savoir comment configurer la deuxième passerelle liée à une interface de tunnel dans le VR de staging pour maintenir une séparation de routage avec la zone de confiance.
J’ai créé une deuxième interface de tunnel et je l’ai assignée au VR de staging et créé une nouvelle zone de sécurité. J’ai ensuite créé une autre boucle (10.10.10.3).
Ensuite, j’ai créé une autre passerelle avec cette nouvelle boucle. Dans la configuration de l’agent, j’ai sélectionné la nouvelle interface de tunnel et activé IPSec.
Mes avancées ont ensuite été bloquées au niveau de la règle NAT car j’ai déjà une règle pour l’IP publique unique qui traduit le trafic IPSec entrant vers la première passerelle (10.10.10.2).
Des idées sur la façon dont je peux faire fonctionner cela ou améliorer l’implémentation de ces exigences de conception ?
Merci,
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGKCA0
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClKPCA0
