IPsec Site-to-Site VPN Palo Alto <-> AVM FRITZ!Box

Wer im Büro auf eine Palo Alto Networks Firewall setzt und von zu Hause hinter seiner FRITZ!Box per VPN im Büro arbeiten möchte, der muss die richtigen Einstellungen auf beiden Geräten finden. Genau das habe ich getan und stelle hier die entsprechenden Details online. Viel Spaß dabei. ;)

This is one of many VPN tutorials on my blog. –> Have a look at this full list. <–

Während ich in meinem letzten Blogpost das VPN von der FRITZ!Box zur Juniper ScreenOS beschrieben habe und dabei auf viele Infos im www zurückgreifen konnte, habe ich über das VPN zur Palo Alto noch nichts gefunden. Also war etwas testen angesagt. Fairerweise muss man aber sagen, dass sich die Einstellungen auf der Palo Alto kaum zu denen der Juniper unterschieden haben, so dass ich die Einstellungen ziemlich schnell raus hatte.

(Randnotiz: Ich zweifel ja noch etwas an dem Use Case dieser Verbindung. Wer im Büro eine Firewall des Kalibers Palo Alto einsetzt dürfte seinen Usern zu Hause kaum die FRITZ!Box durchgehen lassen. Falls also jemand diese Einstellungen verwendet: Ich freue mich über einen Kommentar am Ende dieses Beitrags. ;))

Aufbau und Infos

Im Vergleich zur Juniper muss man (leider) sagen, dass die Palo Alto es nicht erlaubt, ein statisches VPN zu einem dynamischen Namen (FQDN) aufzubauen. So muss man a) für den Tunnel den Aggressive Mode nehmen und leider b) auf einen Tunnel-Aufbau seitens der Palo Alto verzichten. Sprich: Der VPN Tunnel kommt nur zustande, wenn er von der FRITZ!Box her initiiert wurde.

Mein Laboraufbau sieht wie folgt aus: Die Palo Alto verfügt über eine statische (obgleich geNATete) IPv4-Adresse, während die FRITZ!Box ganz klassisch an einem DSL-Anschluss mit wechselnder IP-Adresse hängt. Über einen entsprechenden DynDNS-Account liegt immerhin ein statischer FQDN vor.

S2S VPN Palo Alto - FritzBox Laboratory

Palo Alto

Seitens Palo Alto wird ein Route-Based VPN umgesetzt. Als erstes wird ein Tunnel-Interface angelegt. Es muss einem Virtual Router und einer entsprechenden Site-to-Site VPN Security Zone zugewiesen werden:

S2S-FB-PaloAlto_Palo-01_TunnelInterface

Danach folgt das IKE Gateway vom Typ Dynamic. Wichtig ist dabei unter anderem das richtige IKE Crypto Profile, welches genau so angelegt werden muss:

S2S-FB-PaloAlto_Palo-02_IKEGateway

Dann fehlt nur noch der IPsec Tunnel. Hier wird das Tunnel-Interface, das IKE Gateway und das richtige IPsec Crypto Profile (entsprechend anlegen) ausgewählt. Die “Enable Replay Protection” kann deaktiviert werden:

S2S-FB-PaloAlto_Palo-03_IPsecTunnel

Bei den Proxy IDs muss analog zur FRITZ!Box Konfigurationsdatei das eigene und das entfernte Netzwerk spezifiziert werden. Als Protocol sollte “any” angegeben werden:

S2S-FB-PaloAlto_Palo-04_IPsecTunnel_ProxyIDs

Zum Schluss ist noch die Route über das Tunnel-Interface anzulegen. Da der Tunnel an sich ja keine IP-Adresse hat, wird der Next Hop mit “None” ausgewählt:

S2S-FB-PaloAlto_Palo-05_Route

(Noch mal der Hinweis: Die Palo Alto braucht zusätzlich eine Policy von untrust nach untrust die die Applications “ike” und “ipsec-esp” erlaubt, damit der Verbindungsversuch der FRITZ!Box nicht im Default-Deny endet):

S2S-FB-PaloAlto_Palo-07_PolicyUntrust

Auch ist es natürlich notwendig, entsprechende Policies von den trust Netzwerken zu den Site-to-Site VPN Zonen und umgekehrt einzurichten.

FRITZ!Box

Hier die verwendete *.cfg Datei zum Importieren in der FRITZ!Box. (Nein, das ist nicht der von mir verwendete PSK, sondern nur ein Beispiel.) Wer ein paar weitere Kommentare zu den einzelnen Einstellungen haben möchte, kann sich hier meinen Artikel für das VPN zur Juniper anschauen, bei dem ich etwas mehr dazu geschrieben habe. Größte Änderung bezüglich der Palo Alto ist lediglich der mode = phase1_mode_aggressive; .

Überall Grüne Bubbles

Ist alles richtig eingerichtet und das VPN seitens der FRITZ!Box aufgebaut, sieht man in beiden Devices grüne Status Bubbles, über die man sich freuen kann. ;)

S2S-FB-PaloAlto_Palo-06_GrueneBubbles

S2S-FB-PaloAlto_Fritz_GrueneBubbles

Wer ein paar weitere Infos haben möchte kann in der Palo Alto wie gewohnt im Session Browser für aktuell bestehende Sessions, bzw. im Traffic Log für bereits beendete Sessions nach den Protokollen ike bzw. ipsec-esp suchen:

S2S-FB-PaloAlto_Palo-08_SessionBrowser

S2S-FB-PaloAlto_Palo-09_TrafficLog

Viel Erfolg!

13 thoughts on “IPsec Site-to-Site VPN Palo Alto <-> AVM FRITZ!Box

  1. Herzlichen Dank für diesen Post !!!
    Das hier ist wirklich hilfreich.
    Viele Grüße

  2. Hallo,

    erstmal muss ich sagen sehr coole Anleitung.

    nun habe ich dies genau so gemacht, bekomme aber eine Fehlermeldung auf der Fritzbox “IKE-Error 0x2027”

    Muss ich eigentlich ein DynDNS für die Fritzbox haben oder kann ich erst auch mit der IP Adresse testen.

    Gruß
    Karim

    1. Hallo Karim,

      hm, also eigentlich hätte ich ja gesagt, dass es definitiv auch ohne DynDNS gehen sollte. Evtl. muss man die PA dann etwas anders konfigurieren (anstatt des FQDN halt die IP).
      Interessanterweise ist auf der AVM Homepage bei deinem IKE-Error aber genau die Rede von einem fehlenden DynDNS Zugang. Also könnte es doch damit zusammenhängen. Das kannst du ja ziemlich leicht ausprobieren, da es DynDNS Accounts ja kostenlos gibt, zum Beispiel hier: http://www.noip.com/

      Falls du es hingekriegt hast, bitte die Ursache hier noch posten! ;) Thx.

      1. Hey,
        danke erstmal für die schnelle Antwort.

        Habe nun auch das mit dem NoIP getestet, aber bekomme irgenwie weiterhin den gleichen Fehler und weiß nicht wo der Fehler liegen kann.

        Kann ich dir irgendwie was zu Verfügung stellen damit du vieleicht einen Fehler findest.

        Gruß
        Karim

        1. Hm, komisch. Hast du alle Einstellungen noch mal überprüft? Pre-Shared Key richtig auf beiden Geräten? Proxy-IDs auf der PA richtig herum konfiguriert? Richtige IKE und IPsec Profile ausgewählt? Route auf der PA gesetzt?
          Oder schau mal in die System Logs der PA. Da müssten ja auch Meldungen stehen, zumal das VPN von der FRITZ!Box her aufgebaut wird. Das heißt, dass die aussagekräftigeren Logs eh auf der PA zu finden sind.
          Ansonten mail mir mal deine *.cfg Datei und ein paar Screenshots der IPsec und IKE Einstellungen auf der PA. Meine Adresse steht oben under “About Me”.

  3. Hallo,
    danke für deine super Anleitung.

    Habe das ganze probiert nachzustellen, jedoch der IKE Kanal wird von der Fritzbox zur PaloAlto aufgebaut, der IPSec Tunnel jedoch noch nicht. Kannst du einmal das IPSec Crypto Profil passend zur phase2ss = “esp-3des-sha/ah-no/comp-no/pfs”; posten?

    1. Hi Tobi,

      du hast Recht, ich habe die IPSec Crypto für die Palo Alto nicht direkt gescreenshotet. Aber wenn du im dritten meiner Screenshots mal guckst, dann habe ich da das IPSec Crypto Profile sehr genau benannt (“esp-3des-sha1-g2-3600”). Du must also ein IPSec Crypto Profile anlegen, was genau diese Werte hat, also Protocol “ESP”, Encryption “3des”, Authentication “sha1”, DH group “group2”, und Lifetime von “1h”. Dieses must du dann in deinem IPSec Tunnel auswählen.
      –> Was siehst du denn unter Monitor -> Logs -> System? Meistens kann man die VPN Fehlermeldungen ganz gut interpretieren…

  4. Danke für die Antwort. Zwischenzeitlich habe ich das Thema selbstständig in den Griff bekommen.

  5. Hallo,
    die VPN Verbindung funktioniert einwandfrei. Leider kommt der Traffic von TCP Port 139 und 445 beim DCPromo als Incomplete auf der PaloAlto an. Die FW Regeln der Paloalto habe ich entsprechend angepasst, dass hier alles durch den VPN Tunnel durch darf.

  6. Servus Johannes,

    kleines Update von meiner Seite. Seit dem PAN-OS Update 8.1 kann man einen FQDN als Gegenstelle des VPN eintragen. Habe meine Fritzbox von einem dynamischen Account mit meiner PA-200 ebenfalls hinter einem dynamischen Account verbunden. Klappt wie in deiner Anleitung, nur das ich im Fritz cfg File statt des Parameters “remoteip “den Paramter “remotehostname” verwendet habe.

  7. Hallo Johannes,

    Ich habe versucht dein Setup nachzubauen, komme aber in einem Punkt nicht weiter. Verwende dazu PANOS 9.1.11-h2.
    Der Tunnel wird bei mir grün und ich erkenne in der Tunnel Info dass die Counter für Packet Encap und Decap steigen. Allerdings bekomme ich keine Rückantwort für einen ping von hinter der Palo zur Fritzbox (Routen und Policies vorhanden). Pinge ich von hinter der Fritzbox auf die Palo sehe ich den Ping im Monitor ankommen. Laut der Palo mit Packets Sent und Received. Allerdings kommt nichts auf der anderen Seite an.
    Es wirkt für mich als würde irgendwo bei der Enkapsulierung der Richtung Palo -> Fritz verloren gehen.
    Hattest du schon mal so ein Phänomen beobachtet?

    1. Update:
      Das aktivieren von GRE Encap und anschließende deaktivieren sorgte für Funktion. o.O

    2. Hey Andi,
      tjaja, es ist nicht leicht. ;) Wenn der Tunnel sowohl auf der Palo als auch auf der Fritzbox grün angezeigt wird, ist das ja schon mal gut. Was ich schon ein paar Mal hatte sind Probleme mit NAT was dazwischen liegt. Es muss ja sowohl IKE auf UDP Port 500 als auch IPsec per NAT-Traversal auf UDP Port 4500 funktionieren. Vielleicht kannst du das verifizieren?

Leave a Reply to Tobi Ber Cancel reply

Your email address will not be published. Required fields are marked *