步驟2:建立 Palo Alto IPSec 站點到站點 VPN 配置

Jamf Connect 說明文件
Solution
Application
Jamf Connect
Content Type
技術說明文件
Utilities & Services
ft:locale
zh-TW
  1. 登入到 Palo Alto 裝置。
  2. 在裝置管理介面中開啟 Network (網路) 索引標籤。
  3. 選取 "Tunnel (通道)"
    1. 按一下底部的 Add (新增) 以建立新「通道」介面。
    2. Config (配置) 索引標籤中選取要使用的相應「虛擬路由器」和「安全性區域」。
      Note:

      Jamf 建議您建立新的「安全性區域」,以便能夠在更精細的層級控制允許從終端用戶裝置進入您網路的流量。如果您選擇這麼做,您可能需要配置新的安全性原則。

    3. IPv4 索引標籤中,以 CIDR 標記法為通道指派內部 IP。
    4. 按一下 OK (確定) 以建立通道介面。
  4. 按一下 Network (網路) 索引標籤。
  5. Network Profile (網路設定檔) 區域中選取 IKE Crypto (IKE 加密)
    1. 按一下 Add (新增) 以建立新的 IKE 加密設定檔。
    2. 輸入描述檔的名稱,例如Jamf IKE Profile
    3. 使用配置該互連的 Jamf Security Cloud 端時所定義的階段 1 值來填入欄位。如果使用建議值,這些值如下所示:
      • DH 群組group14
      • 加密aes-256-cbc
      • 認證sha256
      • 金鑰存留期秒,28800
      • IKE 認證多重0
    4. 按一下 OK (確定) 以儲存新的 IKE 加密配置。
  6. 按一下 Network (網路) 索引標籤。
  7. Network Profile (網路設定檔) 區域中選取 IPSec Crypto (IPSec 加密)
    1. 按一下 Add (新增) 以建立新的 IPSec 加密設定檔。
    2. 輸入描述檔的名稱,例如Jamf IPSec Profile
    3. 使用配置該互連的 Jamf 端時所定義的階段 1 值來填入欄位。如果使用建議值,這些值為:
      • IPSec 通訊協定ESP
      • 加密aes-256-cbc
      • 認證sha256
      • DH 群組group14
      • 使用期限秒,28800
    4. 按一下 OK (確定) 以儲存新的 IPSec 加密配置。
  8. 按一下 Network (網路) 索引標籤。
  9. Network Profile (網路設定檔) 區域中選取 IKE Gateway (IKE 閘道)
    1. 按一下 Add (新增) 以建立新的 IKE 閘道設定檔。
    2. 輸入閘道的名稱,例如Jamf IKE Gateway
    3. 對於版本,選取Jamf Security Cloud中定義的密鑰交換通訊協定(通常是IKEv2 only mode)。
    4. 作為 Local IP Address (本機 IP 位址),選取指派給防火牆公用介面的位址。

      視您的網路拓撲而定,此 IP 可能是私人或公用 IP 位址。

    5. 對於 Peer IP Type (節點 IP 類型) 選取 "Dynamic (動態)"
    6. 對於 Authentication (認證) 選取 "Pre-Shared Key (預共用金鑰)"
    7. Pre-Shared Key (預共用金鑰) 中,貼上在上一步複製並在 Jamf Security Cloud 中建立的預共用/秘密金鑰。
    8. Local Identification (本機識別) 中,選取 "FQDN (hostname) (FQDN (主機名稱))" 並插入 Jamf Security Cloud 中提供的 IKE Domain ID (IKE 網域 ID) (例如,jamf.customer.com)。
    9. 對於對等識別身分,選取"FQDN(主機名稱)"並插入wpa.wandera.com
    10. Advanced Options (進階選項) 索引標籤下,選取下列選項:

      • Enable Passive Mode (啟用被動模式)

      • 如果您的防火牆位於 NAT 後方,則選取 Enable NAT Traversal (啟用 NAT 周遊)

      • 您先前建立的IKE加密編譯設定檔名稱(例如,Jamf IPSec Crypto

    11. 按一下 OK (確定) 建立 IKE 閘道配置。
  10. 按一下 Network (網路) 索引標籤。
  11. 選取 IPSec Tunnels (IPSec 通道) 並設定 IPSec 通道,如下所示:
    1. 按一下 Add (新增) 建立新的 IPSec 通道設定檔。
    2. Tunnel (通道) 選項欄位中,指定上面建立的通道介面。
    3. 對於 Type (類型),選取 "Auto Key (自動金鑰)"
    4. 對於 Address Type (位址類型),選取 "IPv4"
    5. 對於 IKE Gateway (IKE 閘道),選取先前建立的 IKE 閘道 (例如,Jamf IKE 閘道)。
    6. 對於 IPSec Crypto Profile (IPSec 加密設定檔),選取先前建立的 IPSec 加密設定檔 (例如,Jamf IPSec 設定檔)。
    7. 按一下 OK (確定) 建立新的 IPSec 通道配置。
  12. 檢閱配置,然後選取 Commit (認可) 以發佈和啟用它。