تعریف VPN Site-to-Site: پلی امن بین جهانهای شبکهای مجزا
VPN (شبکه خصوصی مجازی) Site-to-Site که گاهی به آن VPN Gateway-to-Gateway نیز گفته میشود، فناوریای است که دو یا چند شبکه محلی (LAN) را در مکانهای فیزیکی متفاوت، از طریق یک تونل رمزنگاریشده بر بستر اینترنت ناامن، به یکدیگر متصل میکند. برخلاف VPNهای دسترسی از راه دور (Remote Access) که کاربران منفرد را به شبکه متصل میکنند، در این مدل، خود فایروالها یا روترهای مرزی هر سایت، نقاط پایانی (Endpoints) تونل را تشکیل میدهند. نتیجه، ایجاد یک “پل گسترده” (WAN) امن و مجازی است که به تمامی دستگاههای موجود در شبکههای متصل (مانند سرورها، رایانههای کاربران، و دستگاههای IoT) این اجازه را میدهد تا گویی در یک شبکه محلی واحد قرار دارند، با یکدیگر و به صورت کاملاً خصوصی ارتباط برقرار کنند. این تونل با استفاده از پروتکلهای رمزنگاری قدرتمندی مانند IPsec، تمامی ترافیک عبوری را در برابر استراق سمع (Eavesdropping)، دستکاری (Tampering) و جعل هویت (Spoofing) مصون میدارد.
کاربردهای حیاتی در دنیای متصل امروز
کاربرد VPNهای Site-to-Site تنها محدود به اتصال دو دفتر کار نیست، بلکه امروزه ستون فقرات ارتباطی بسیاری از مدلهای کسبوکاری و زیرساختی به شمار میروند:
اتصال شعب و دفاتر سازمانی: بزرگترین و سنتیترین کاربرد، ایجاد ارتباط امن، یکپارچه و با تأخیر کم بین مرکز اصلی سازمان (Headquarters) و شعب مختلف در سایر شهرها یا کشورها است. این امر امکان اشتراکگذاری امن منابع (مانند فایلسرورها، نرمافزارهای مالی و منابع چاپ)، اجرای برنامههای متمرکز و حتی برقراری تماسهای تلفنی داخلی (VoIP) بین شعب را با هزینهای به مراتب کمتر از خطوط اختصاصی (Leased Lines) فراهم میکند.
ارتباط با محیطهای ابری (Hybrid Cloud): با مهاجرت سازمانها به سمت رایانش ابری، VPN Site-to-Site نقش حیاتی در ایجاد “زیرساخت هیبریدی” ایفا میکند. این فناوری، شبکه داخلی (On-Premises) سازمان را به طور امن به شبکه مجازی (VPC/VNet) در ارائهدهندگانی مانند Amazon AWS، Microsoft Azure یا Google Cloud Platform متصل میکند. این اتصال، امکان گسترش یکپارچه دامنه شبکه سازمان به فضای ابری، دسترسی امن به نمونههای ابری (Cloud Instances) و سرویسهای ابری، و انتقال دادهها بدون نگرانی از افشای اطلاعات در اینترنت عمومی را ممکن میسازد.
یکپارچهسازی شبکههای پراکنده و ادغام سازمانی: در سناریوهایی مانند ادغام شرکتها، همکاریهای استراتژیک یا حتی اتصال مراکز دادهی اصلی و پشتیبان (Disaster Recovery Sites)، VPN Site-to-Site امکان ایجاد سریع و انعطافپذیر ارتباط امن بین زیرساختهای شبکهای مستقل را فراهم میآورد.
تأمین امنیت و حریم خصوصی دادهها: مهمترین دستاورد این فناوری، “امنیت” است. با رمزنگاری ترافیک، حتی اگر دادهها از طریق شبکههای عمومی عبور کنند، برای اشخاص ثالث غیرقابل خواندن و استفاده هستند. این امر برای رعایت مقررات حفاظت از دادهها مانند GDPR، HIPAA یا قانون جرایم رایانهای داخلی ضروری است.
چرا فایروال نسل بعدی Palo Alto برای VPN Site-to-Site ایدهآل است؟
در حالی که بسیاری از روترها و فایروالها قابلیت ایجاد VPN را دارند، فایروالهای Palo Alto Networks با رویکرد “امنیت نسل بعدی” خود، مزایای منحصربهفردی ارائه میدهند که آنها را به گزینهای برتر تبدیل میکند:
امنیت پیشرفته یکپارچه: نقطه قوت اصلی Palo Alto، تزریق “هوش امنیتی” به خود تونل VPN است. برخلاف راهحلهای سنتی که تنها به رمزنگاری و احراز هویت اکتفا میکنند، این فایروالها میتوانند تمام ترافیک رمزگشاییشده داخل تونل VPN را با موتورهای امنیتی قدرتمند خود بازرسی کنند. این به معنای شناسایی و مسدودسازی تهدیداتی مانند بدافزارها، باجافزارها، اکسپلویتها و حتی کنترل دسترسی برنامههای کاربردی (Application-aware Policies) در همان نقطه ورود به شبکه است. شما میتوانید سیاستهایی تعریف کنید که مثلاً تنها ترافیک مجاز برنامههایی مانند SAP یا Oracle از تونل عبور کند و از نفوذ تهدیدات از طریق یک شاخه آلوده به شاخه دیگر جلوگیری نمایید.
مدیریت متمرکز و ساده با Panorama: ابزار مدیریت متمرکز Panorama، امکان پیکربندی، نظارت و بهروزرسانی همزمان صدها تونل VPN در سراسر سازمان را از یک کنسول واحد فراهم میکند. این امر پیچیدگی عملیاتی را به شدت کاهش داده و از ایجاد خطاهای پیکربندی انسانی جلوگیری میکند.
پشتیبانی از آخرین استانداردهای رمزنگاری و پروتکلها: Palo Alto از قویترین الگوریتمهای رمزنگاری مانند AES-256-GCM، SHA-2 و پروتکلهای مدرنی مانند IKEv2 پشتیبانی میکند. همچنین قابلیتهای امنیتی پیشرفتهای مانند Perfect Forward Secrecy (PFS) را ارائه میدهد که اطمینان میدهد در صورت به خطر افتادن یک کلید خصوصی، کلیدهای جلسات گذشته نیز افشا نخواهند شد.
کارایی و مقیاسپذیری بالا: سختافزار و نرمافزار Palo Alto به گونهای طراحی شدهاند که بتوانند رمزگشایی/رمزنگاری (Encryption/Decryption) با حجم بالا را با کمترین تأثیر بر عملکرد کلی فایروال انجام دهند. این امر برای محیطهایی با ترافیک زیاد یا تأخیر حساس (مانند صدا و تصویر) حیاتی است.
قابلیت مشاهده (Visibility) و گزارشگیری بینظیر: داشبوردهای جامع، لاگهای دقیق و ابزارهای عیبیابی قدرتمند در داخل خود فایروال یا Panorama، به مدیران شبکه این امکان را میدهد که نه تنها از وضعیت Up/Down بودن تونل مطلع شوند، بلکه حجم ترافیک، برنامههای در حال استفاده، کاربران فعال و حتی تهدات شناساییشده در ترافیک VPN را به وضوح ببینند و تحلیل کنند.
در نتیجه، پیادهسازی VPN Site-to-Site با فایروال Palo Alto تنها ایجاد یک کانال ارتباطی امن نیست؛ بلکه ایجاد یک گذرگاه امنیتی هوشمند است که همزمان با برقراری ارتباط، از شبکه در برابر تهدیدات پیچیده امروزی محافظت میکند. این مقاله، با ارائه راهنمای گامبهگام و عملی، شما را در راهاندازی این گذرگاه امن و قدرتمند یاری خواهد کرد.
۲. پیشنیازها و الزامات فنی
راهاندازی موفقیتآمیز یک تونل VPN Site-to-Site مستلزم آمادهسازی دقیق زیرساخت و جمعآوری اطلاعات ضروری است. عدم رعایت این پیشنیازها میتواند منجر به شکست در برقراری اتصال، مشکلات پایداری یا ایجاد نقاط ضعف امنیتی شود.
پیشنیازهای شبکهای و سیستمی
الف) دسترسی و مجوزهای مدیریتی
دسترسی سطح Administrator: اطمینان حاصل کنید که به هر دو دستگاه فایروال Palo Alto (هم در Site A و هم در Site B) با حساب کاربری دارای نقش (Role) “Superuser” یا دسترسی معادل آن دسترسی دارید. این دسترسی برای ایجاد و تغییر تنظیمات حیاتی در بخشهای Network, Policies, و Objects ضروری است.
مجوزهای فایروال: فایروال باید دارای مجوز فعال (License) برای سرویسهای VPN باشد. همچنین، اگر قصد استفاده از قابلیتهای امنیتی پیشرفته (مانند Threat Prevention, URL Filtering) روی ترافیک VPN را دارید، مجوزهای مربوطه نیز باید فعال باشند.
ب) الزامات ارتباطی و آدرسدهی
IP عمومی ثابت (Static Public IP): هر یک از فایروالها باید یک آدرس IPv4 عمومی ثابت در اینترفیس خروجی به اینترنت (معمولاً اینترفیس از نوع Ethernet مانند ethernet1/1) داشته باشند. آدرسهای پویا (Dynamic IP) یا سرویسهایی که NAT انجام میدهند، برای endpointهای VPN پایدار مناسب نیستند.
توجه: این آدرسهای Public باید مستقیماً در دسترس یکدیگر باشند. اگر فایروال پشت یک روتر دیگر یا تحت Double NAT قرار دارد، باید قوانین Static NAT (Port Forwarding) برای پروتکلهای IKE (UDP 500, 4500) و ESP (IP Protocol 50) روی آن روتر به سمت آدرس خصوصی فایروال تنظیم شود.
مسیریابی (Routing) پایه: در هر سایت، روتر بالادست (Upstream Router) یا فایروال باید مسیر پیشفرض (Default Route) صحیحی به سمت اینترنت داشته باشد تا بتواند ترافیک مربوط به مذاکره VPN را به مقصد برساند.
عدم تداخل محدوده آدرسهای IP: محدوده آدرسهای شبکه محلی (LAN Subnets) در Site A و Site B نباید با یکدیگر تداخل (Overlap) داشته باشند. به عنوان مثال، اگر هر دو سایت از محدوده 192.168.1.0/24 استفاده کنند، VPN به درستی کار نخواهد کرد. این آدرسها باید یکتا و مجزا باشند.
دسترسی اینترفیسها: اینترفیسهای خارجی (External) فایروالها باید امکان ارتباط بر روی پورتهای ضروری را داشته باشند. معمولاً لازم است Policyای روی فایروال یا دستگاه بالادست ایجاد شود که اجازه عبور ترافیک زیر را بدهد:
UDP Port 500 (برای IKE یا ISAKMP)
UDP Port 4500 (برای IKE در حالت NAT-Traversal)
IP Protocol 50 (برای ESP – Encapsulating Security Payload) یا در صورت استفاده از NAT-T، همین ترافیک روی UDP 4500 کپسوله میشود.
ج) الزامات زمانی (حیاتی برای احراز هویت)
همگامسازی ساعت (NTP): زمان سیستم (System Time) هر دو فایروال باید با یک منبع زمان معتبر (مانند سرور NTP) همگام (Sync) باشد. اختلاف زمانی بیش از چند ثانیه میتواند باعث رد شدن مذاکرات IKE به دلیل عدم اعتبار گواهیهای دیجیتال یا زمانبندی احراز هویت شود.
اطلاعات مورد نیاز: چکلیست جمعآوری دادهها
قبل از شروع پیکربندی، کلیه اطلاعات زیر را برای هر دو سایت جمعآوری و در جدولی مشابه نمونه زیر ثبت کنید. دقت در این مرحله از بروز خطاهای پیکربندی جلوگیری میکند.
چکلیست اطلاعات فنی هر سایت
| پارامتر | توضیح | مثال برای Site A (شعبه مرکزی) | مثال برای Site B (شعبه یا ابر) |
| شناسه سایت | نام توصیفی سایت | HQ-Branch | Azure-VNet |
| محدوده شبکه محلی (Local Subnet) | شبکهای که در پشت فایروال قرار دارد و باید از طریق VPN قابل دسترس شود. | 192.168.1.0/24 | 10.10.10.0/24 |
| آدرس IP عمومی فایروال | آدرس IPv4 ثابتی که فایروال با آن به اینترنت متصل است. | 203.0.113.10 | 198.51.100.20 |
| Default Gateway فایروال | آدرس روتر بالادست فایروال در هر سایت. | 203.0.113.1 | 198.51.100.1 |
| Zone اینترفیس خارجی | نام Zoneای که اینترفیس Public فایروال به آن تخصیص داده شده. | Untrust-L3 | Untrust |
| Zone اینترفیس داخلی | نام Zoneای که شبکه محلی به آن متصل است. | Trust-L3 | Trust |
| نام اینترفیس خارجی | نام فیزیکی اینترفیس (مانند ethernet1/1). | ethernet1/1 | ethernet1/2 |
| Virtual Router پیشفرض | نام Virtual Routerای که مسیرها در آن تعریف میشود. | default | default |
| تنظیمات IKE/IPSec | توافق شده بین دو طرف • IKE Version: IKEv1 یا IKEv2 (ترجیحاً IKEv2) • Authentication Method: Pre-shared Key یا Certificate • Pre-shared Key: (در صورت استفاده) یک رشته پیچیده و طولانی • Encryption / DH Group / Authentication (برای IKE و IPsec) |
IKEv2, PSK, AES-256-GCM, DH-Group20, no-auth | مشابه سایت مقابل |
| شناسه احراز هویت (IKE ID) | شناسهای که هر سایت در مذاکره IKE معرفی میکند. معمولاً همان IP Public یا یک FQDN است. | 203.0.113.10 آدرس | 198.51.100.20 آدرس |
نکات تکمیلی جمعآوری اطلاعات:
تعیین Local Subnets: فهرست تمامی زیرشبکههایی که باید از طرف مقابل قابل دسترسی باشند را مشخص کنید (مثلاً علاوه بر شبکه کاربران، ممکن است شبکه سرورها یا شبکه مدیریت نیز جدا باشد).
انتخاب روش احراز هویت: اگر از Pre-shared Key (PSK) استفاده میکنید، یک کلید بسیار قوی تولید و به صورت امن برای طرف مقابل ارسال کنید. روش ایمنتر و مقیاسپذیرتر برای محیطهای بزرگ، استفاده از گواهیهای دیجیتال (Certificates) است.
تأیید Policyهای موجود: بررسی کنید که Policyهای امنیتی موجود روی فایروالها، اجازه ابتدایی خروج ترافیک IKE از Zone داخلی به خارجی و بالعکس را بدهند، یا موقتاً برای تست، Policyای با Action “Allow” ایجاد کنید.
مستندسازی: پر کردن جدول بالا و نگهداری آن به عنوان مستندات شبکه، نه تنها برای پیادهسازی اولیه، بلکه برای عیبیابی و مدیریت آینده VPN حیاتی است.
با تکمیل این پیشنیازها و جمعآوری اطلاعات، بستر فنی لازم برای آغاز پیکربندی گامبهگام VPN فراهم میشود.
۳. مراحل پیکربندی VPN در فایروال Palo Alto
این بخش به صورت گامبهگام و عملی، مراحل ایجاد VPN Site-to-Site را در وباینترفیس (GUI) فایروال Palo Alto آموزش میدهد. برای وضوح بیشتر، فرض میکنیم در حال پیکربندی Site A (شعبه مرکزی) با مشخصات زیر هستیم:
Local Subnet: 192.168.1.0/24
Public IP: 203.0.113.10
Remote Site (Site B) Public IP: 198.51.100.20
Remote Site Subnet: 10.10.10.0/24
۳.۱. تنظیمات اولیه در Site A
گام ۱: ایجاد Zone مخصوص Tunnel
ابتدا یک Zone از نوع Tunnel ایجاد میکنیم تا اینترفیس مجازی VPN به آن تخصیص یابد.
به مسیر Network > Zones بروید.
روی Add کلیک کنید.
در پنجره باز شده:
Name: یک نام توصیفی وارد کنید (مثلاً VPN-Zone یا S2S-Tunnel).
Type: از dropdown، گزینه Tunnel را انتخاب کنید. (این نوع Zone مخصوص اینترفیسهای مجازی مانند Tunnel است.)
(Optional) تنظیمات پیشرفته: میتوانید در تب Other Settings، User-ID و خدمات دیگر را غیرفعال کنید.
روی OK کلیک کنید.
گام ۲: ایجاد اینترفیس Tunnel منطقی
حالا یک اینترفیس مجازی از نوع Tunnel ایجاد میکنیم که نقطه انتهایی تونل IPsec روی آن قرار خواهد گرفت.
به مسیر Network > Interfaces > Tunnel بروید.
روی Add کلیک کنید.
در پنجره باز شده:
Interface Name: نامی برای اینترفیس وارد کنید. نامگذاری استاندارد مانند tunnel.1، tunnel.10 یا to-Branch-Office پیشنهاد میشود.
Virtual Router: Virtual Router پیشفرض (default) یا مورد نظر خود را انتخاب کنید.
Security Zone: Zoneای که در مرحله قبل ایجاد کردید (مثلاً VPN-Zone) را انتخاب کنید.
مشخصات IP (اختیاری اما توصیه شده): در تب Config، میتوانید یک آدرس IP از یک زیرشبکه مجازی/لوپبک (مثلاً 169.254.10.1/30) به این اینترفیس اختصاص دهید. این کار برای دیباگ و برخی سناریوهای مسیریابی پیشرفته مفید است.
روی OK کلیک کنید.
گام ۳: ایجاد پروفایل رمزنگاری IKE (IKE Crypto Profile)
این پروفایل، پارامترهای امنیتی مورد استفاده در فاز ۱ مذاکره IKE را تعیین میکند.
به مسیر Network > Network Profiles > IKE Crypto بروید.
روی Add کلیک کنید.
یک نام توصیفی وارد کنید (مثلاً IKE-PROF-AES256).
پارامترهای رمزنگاری پیشنهادی و ایمن را تنظیم کنید:
Encryption: aes-256-gcm
Authentication (برای IKEv1): اگر از IKEv1 استفاده میکنید، sha384 را انتخاب کنید. *(در IKEv2 با aes-gcm، این فیلد معمولاً “none” گذاشته میشود.)*
Authentication Method: pre-shared-key
DH Group: گروه دیفی-هلمن قوی مانند group20 (حداقل group14) را انتخاب کنید.
Key Lifetime: مقدار پیشفرض (28800 ثانیه یا ۸ ساعت) معمولاً مناسب است.
روی OK کلیک کنید.
گام ۴: ایجاد IKE Gateway
IKE Gateway هویت فایروال محلی و اطلاعات اتصال به فایروال راهدور (Remote) را تعریف میکند.
به مسیر Network > IKE Gateways بروید.
روی Add کلیک کنید.
در تب General:
Name: نامی برای Gateway وارد کنید (مثلاً GW-to-SiteB).
Version: IKEv2 (پیشنهاد شده) یا IKEv1 را مطابق توافق با سایت مقابل انتخاب کنید.
Interface: اینترفیس خارجی فایروال (مثلاً ethernet1/1) که به اینترنت متصل است را انتخاب کنید.
در تب Local Identification:
Type: معمولاً IP Address کافی است.
IP Address: آدرس IP عمومی خود فایروال (203.0.113.10) را وارد کنید.
در تب Peer Identification:
Type: IP Address
IP Address: آدرس IP عمومی سایت مقابل (198.51.100.20) را وارد کنید.
Peer IP Address: همین آدرس (198.51.100.20) را مجدداً وارد کنید.
در تب Authentication:
Authentication Method: Pre-Shared Key
در فیلد Pre-Shared Key، کلید از پیش توافق شده طولانی و پیچیده را وارد کنید. برای نمایش، Display Key را تیک بزنید.
در تب Advanced Options:
IKE Crypto Profile: پروفایل ایجاد شده در مرحله قبل (IKE-PROF-AES256) را انتخاب کنید.
Enable Passive Mode: تنها در صورتی تیک بزنید که این سایت همیشه منتظر اتصال از طرف سایت مقابل باشد و خودش آغازگر (Initiator) نباشد.
NAT Traversal: اگر هر یک از فایروالها پشت NAT هستند، این گزینه را Enable کنید.
روی OK کلیک کنید.
گام ۵: ایجاد پروفایل رمزنگاری IPsec (IPsec Crypto Profile)
این پروفایل، پارامترهای امنیتی مورد استفاده در فاز ۲ مذاکره IPsec (تونل داده) را تعیین میکند.
به مسیر Network > Network Profiles > IPSec Crypto بروید.
روی Add کلیک کنید.
یک نام توصیفی وارد کنید (مثلاً IPSEC-PROF-AES256).
پارامترهای رمزنگاری را تنظیم کنید:
Encryption: aes-256-gcm
Authentication (برای حالت غیر GCM): اگر از AES-CBC استفاده میکنید، sha384 را انتخاب کنید. برای aes-gcm معمولاً “none” میماند.
Protocol: ESP
DH Group: برای فعال کردن PFS (Perfect Forward Secrecy)، گروهی مانند group20 را انتخاب کنید. انتخاب no-pfs توصیه نمیشود.
Lifetime: مقدار پیشفرض (3600 ثانیه یا ۱ ساعت) مناسب است.
روی OK کلیک کنید.
گام ۶: ایجاد تونل IPsec
در این مرحله، تمام اجزاء را به هم متصل کرده و تونل اصلی را تعریف میکنیم.
به مسیر Network > IPSec Tunnels بروید.
روی Add کلیک کنید.
در پنجره باز شده:
General Tab:
Tunnel Name: نامی برای تونل (مثلاً Tunnel-to-SiteB).
Tunnel Interface: اینترفیس Tunneli که در گام ۲ ایجاد کردید (tunnel.1) را انتخاب کنید.
Type: Auto Key
IKE Gateway: Gateway ایجاد شده در گام ۴ (GW-to-SiteB) را انتخاب کنید.
IPSec Crypto Profile: پروفایل ایجاد شده در گام ۵ (IPSEC-PROF-AES256) را انتخاب کنید.
Proxy IDs Tab (حیاتی):
Palo Alto از Proxy ID برای تطبیق ترافیک و ایجاد Security Association (SA) استفاده میکند. این تنظیمات در دو طرف باید دقیقاً یکسان یا مکمل یکدیگر باشند.
روی Add کلیک کنید.
Local: شبکه محلی خود (192.168.1.0/24) را به صورت 192.168.1.0/24 وارد کنید.
Remote: شبکه راهدور (10.10.10.0/24) را به صورت 10.10.10.0/24 وارد کنید.
Protocol: ANY
روی OK کلیک کنید.
۳.۲. ایجاد Policy و Route در Site A
گام ۷: ایجاد Security Policy برای اجازه عبور ترافیک
حالا باید به ترافیک بین دو شبکه، اجازه عبور از فایروال داده شود.
به مسیر Policies > Security بروید.
روی Add کلیک کنید تا یک Policy جدید در بالای لیست ایجاد شود.
Policy را تنظیم کنید:
General Tab:
Name: نامی مانند Allow-SiteA-to-SiteB بدهید.
Source Tab:
Source Zone: هر دو Zone Trust-L3 (شبکه داخلی) و VPN-Zone (تونل) را اضافه کنید. (افزودن VPN-Zone به Source، امکان پاسخ به درخواستهای ورودی از تونل را فراهم میکند.)
Source Address: آدرس 192.168.1.0/24/ را به صورت یک Address Object اضافه و انتخاب کنید.
Destination Tab:
Destination Zone: همانند Source، هر دو Zone Trust-L3 و VPN-Zone را اضافه کنید.
Destination Address: آدرس شبکه راهدور (10.10.10.0/24) را به صورت یک Address Object اضافه و انتخاب کنید.
Application Tab: میتوانید any بگذارید یا برای امنیت بیشتر، Applicationهای خاص مورد نیاز (مانند ms-ds-smb, ssl) را انتخاب کنید.
Service/URL Category Tab: در Service، application-default یا any را انتخاب کنید.
Action Tab: Action را روی Allow تنظیم کنید.
(اختیاری) Profile Settings Tab: اگر مجوزهای تهدید (Threat Prevention) دارید، پروفایلهای امنیتی مناسب (Anti-Virus, Vulnerability Protection, etc.) را برای اسکن ترافیک رمزگشاییشده داخل VPN به این Policy متصل کنید. این قابلیت کلیدی Palo Alto است.
روی OK کلیک کنید.
Commit تغییرات را فراموش نکنید.
گام ۸: ایجاد Static Route برای شبکه راهدور
به فایروال باید گفته شود که برای رسیدن به شبکه راهدور (10.10.10.0/24) از کدام مسیر (اینترفیس Tunnel) استفاده کند.
به مسیر Network > Virtual Routers > default > Static Routes بروید. (اگر از VR دیگری استفاده میکنید، آن را انتخاب کنید.)
روی Add کلیک کنید.
در پنجره باز شده:
Name: نامی مانند Route-to-SiteB-Network.
Destination: شبکه راهدور را وارد کنید (10.10.10.0/24).
Interface: اینترفیس Tunneli که ایجاد کردید (tunnel.1) را انتخاب کنید.
Next Hop: گزینه None را انتخاب کنید (زیرا در تونل نقطهبهنقطه، hop بعدی به صورت خودکار تعیین میشود).
Admin Distance: مقدار پیشفرض (10) مناسب است.
روی OK کلیک کنید.
Commit نهایی را انجام دهید. پس از Commit، تونل باید به صورت خودکار آغاز به کار کند.
۳.۳. تکرار مراحل برای Site B
پیکربندی در Site B کاملاً متقارن و مشابه Site A است، با این تفاوت که اطلاعات “محلی” و “راهدور” جایگزین میشوند.
خلاصه مراحل و جایگزینی اطلاعات در Site B:
Zone و اینترفیس Tunnel: دقیقاً مانند قبل یک VPN-Zone و یک اینترفیس Tunnel (مثلاً tunnel.1) ایجاد کنید.
پروفایلهای IKE/IPsec: اگر پارامترهای رمزنگاری یکسان است، میتوانید همان پروفایلها (IKE-PROF-AES256, IPSEC-PROF-AES256) را ایجاد کنید.
IKE Gateway در Site B:
Local Identification: آدرس IP عمومی خود Site B (198.51.100.20).
Peer Identification & IP: آدرس IP عمومی Site A (203.0.113.10).
Pre-Shared Key: دقیقاً همان کلید استفاده شده در Site A.
IPsec Tunnel در Site B:
Proxy IDs: در اینجا Local، شبکه محلی Site B (10.10.10.0/24) و Remote، شبکه محلی Site A (192.168.1.0/24) خواهد بود.
Security Policy در Site B: Policyای ایجاد کنید که ترافیک از 10.10.10.0/24به سمت 192.168.1.0/24 را Allow کند.
Static Route در Site B: مسیری به مقصد 192.168.1.0/24 با خروجی از اینترفیس Tunnel ایجاد کنید.
پس از Commit در Site B، تونل VPN باید به طور کامل برقرار (Phase 1 & Phase 2 Up) شود. وضعیت تونل را در Network > IPSec Tunnels میتوانید مشاهده کنید.
تنظیمات اولیه در Site A
ایجاد Zone مخصوص VPN
Network > Zones > Add
Name: VPN-Zone
Type: Tunnel
ایجاد اینترفیس Tunnel
Network > Interfaces > Tunnel > Add- نام: tunnel.1- Zone: VPN-Zone
ایجاد IKE Gateway
Network > Network Profiles > IKE Crypto- ایجاد پروفایل IKE با رمزنگاری AES-256-GCM Network > IKE Gateways > Add- General: نام Gateway- Advanced: Pre-shared Key تعریف شود- Address: IP Public سایت مقابل
ایجاد IPSec Crypto Profile
Network > Network Profiles > IPSec Crypto- Encryption: AES-256-GCM- Authentication: SHA384
ایجاد IPSec Tunnel
Network > IPSec Tunnels > Add- Tunnel Interface: tunnel.1- Type: Auto Key- IKE Gateway: انتخاب Gateway ایجاد شده- IPSec Crypto Profile: انتخاب پروفایل ایجاد شده
ایجاد Policy و Route
Policy امنیتی
Policies > Security > Add- Source Zone: Trust + VPN-Zone- Destination Zone: Trust + VPN-Zone- Action: Allow- Service: any
Route استاتیک
Network > Virtual Routers > [Router-Name] > Static Routes- Destination: شبکه سایت مقابل- Interface: tunnel.1- Next Hop: None
تست و عیبیابی اتصال VPN
پس از پیکربندی، مرحله تست و اطمینان از عملکرد صحیح VPN حیاتی است. این بخش شامل روشهای بررسی سلامت و راهحلهای رایج مشکلات میباشد.
روشهای بررسی سلامت VPN
الف) بررسی از طریق رابط گرافیکی (Web GUI)
بررسی وضعیت کلی تونل:
به مسیر Network > IPSec Tunnels بروید.
در ستون Status باید وضعیت Up را مشاهده کنید.
روی نام تونل کلیک کنید تا جزئیات بیشتری شامل وضعیت IKE (Phase 1) و IPsec (Phase 2) را ببینید.
مانیتورینگ ترافیک Real-Time:
به Monitor > IPSec بروید.
در تب IPSec Tunnels، میتوانید آمار لحظهای ترافیک (Bytes In/Out)، وضعیت تونل و اطلاعات SA (Security Association) را مشاهده کنید.
تب Global Counters برای مشاهده آمار کلی پروتکل IKE و IPsec مفید است.
ب) تشخیص و عیبیابی از طریق CLI (پیشرفته و دقیق)
دسترسی به CLI (از طریق SSH یا کنسول) قدرتمندترین روش برای عیبیابی است.
bash
# 1. آغاز فعالانه مذاکره IKE (در صورت عدم اتصال خودکار)
> test vpn ike-sa gateway <gateway-name>
# مثال: test vpn ike-sa gateway GW-to-SiteB
# این دستور فایروال را وادار به آغاز فاز ۱ مذاکره با peer میکند.
# 2. مشاهده وضعیت تونلهای IKE (فاز ۱)
> show vpn ike-sa
# خروجی مطلوب: وضعیت “MM-Active” برای IKEv1 یا “ESTABLISHED” برای IKEv2 را نشان میدهد.
# ستونهای مهم: Gateway (نام), Peer, State, Remote Address, Role (initiator/responder)
# 3. مشاهده وضعیت تونلهای IPsec (فاز ۲)
> show vpn ipsec-sa
# خروجی مطلوب: باید یک یا چند SA با وضعیت “A” (Active) مشاهده کنید.
# ستونهای مهم: Tunnel (نام), Peer, Id, Local, Remote, Protocol, ESPi (بایتهای دریافتی), ESPo (بایتهای ارسالی)
# 4. مشاهده جزئیات دقیق یک تونل خاص
> show vpn ike-sa gateway <gateway-name> detail
> show vpn ipsec-sa tunnel <tunnel-name> detail
# این دستورات اطلاعات کاملی مانند الگوریتمهای استفاده شده، کلیدهای مذاکره شده، زمان باقیمانده از عمر SA و Proxy IDها را نشان میدهند.
# 5. بررسی مسیریابی (Routing)
> show routing route
# اطمینان حاصل کنید مسیر استاتیکی که برای شبکه راهدور تعریف کردهاید (مثلاً 10.10.10.0/24) با خروجی tunnel.x در جدول مسیریابی وجود دارد.
# 6. بررسی Policy Hit Count
> show running security-policy rule name <policy-name>
# یا
> show session filter source <IP-local> destination <IP-remote>
# بررسی کنید که Policyای که ایجاد کردهاید، “Hit Count” داشته باشد (یعنی ترافیک از آن رد شده است). اگر Hit Count صفر است، مشکل از Policy یا مسیریابی است.
# 7. مشاهده لاگهای عیبیابی IKE/IPsec (در صورت شکست مذاکره)
> debug ike global on
> test vpn ike-sa gateway <gateway-name>
> less mp-log ikemgr.log
# پس از مشاهده لاگها، حتماً دستور زیر را اجرا کنید:
> debug ike global off
ج) تست عملیاتی ترافیک
Ping از منبع به مقصد: از یک دستگاه در شبکه Site A (مثلاً 192.168.1.100) به یک دستگاه در شبکه Site B (مثلاً 10.10.10.100) پینگ بزنید.
Traceroute: دستور traceroute (در ویندوز tracert) از مبدا به مقصد اجرا کنید. باید ببینید که مسیر از طریق آدرس اینترفیس Tunnel (اگر تنظیم شده) یا مستقیم به مقصد میرود و از روترهای عمومی اینترنت عبور نمیکند.
تست سرویس: یک سرویس واقعی مانند دسترسی به فایل سرور یا یک برنامه کاربردی را بین دو سایت تست کنید.
رایجترین خطاها، علل و راهحلهای گام به گام
مشکل ۱: خطا در فاز اول مذاکره IKE (تونل اصلاً Up نمیشود)
علائم: در show vpn ike-sa وضعیت DOWN، DEAD یا در حال CONNECTING ماندن است. در GUI وضعیت قرمز است.
| علت احتمالی | راهحل و روش تشخیص |
| عدم دسترسی شبکهای (Network Reachability) | • از CLI فایروال به آدرس Public سایت مقابل پینگ بزنید: ping source <IP-local-eth> host <IP-Peer-Public> • پورتهای UDP 500 و 4500 روی فایروال یا دستگاه بالادست (Upstream) باز هستند؟ • آیا Route پیشفرض (Default Route) در فایروال وجود دارد؟ (show routing route) |
| Pre-shared Key ناسازگار | • شایعترین علت. کلید را در هر دو طرف به دقت بررسی کنید. حروف بزرگ/کوچک، فاصله و کاراکترهای خاص مهم هستند. • برای اطمینان، یک PSK جدید ساده ایجاد کرده و در هر دو طرف جایگزین کنید. |
| آدرسهای Identification نادرست | • در IKE Gateway هر سایت، Local و Peer Identification آدرس IP یا FQDN) باید دقیقاً مطابق با آنچه طرف مقابل انتظار دارد باشد. • اگر از IP استفاده میکنید، آدرسهای Public وارد شده صحیح هستند؟ |
| عدم تطابق پارامترهای IKE | • IKE Version v1 یا v2 در دو طرف یکسان است؟ • IKE Crypto Profile در دو طرف از الگوریتمهای یکسان (Encryption, Authentication, DH Group) پشتیبانی میکند؟ • از debug ike برای مشاهده دقیق مرحله شکست مذاکره استفاده کنید. |
| مسئله زمان (NTP) | • زمان سیستم (show clock) در دو طرف بیش از چند ثانیه اختلاف ندارد؟ هر دو با سرور NTP همگام (show ntp) هستند؟ |
مشکل ۲: فاز اول (IKE) Up است، اما فاز دوم (IPsec) برقرار نمیشود
علائم: در show vpn ike-sa وضعیت Up (مثلاً ESTABLISHED) است، اما در show vpn ipsec-sa هیچ SA فعالی وجود ندارد.
| علت احتمالی | راهحل و روش تشخیص |
| عدم تطابق Proxy IDs | • شایعترین علت برای این مشکل. در تنظیمات IPSec Tunnel، Proxy IDهای تعریف شده در دو طرف باید مکمل یکدیگر باشند Local در یک طرف = Remote در طرف مقابل. • فرمت وارد کردن صحیح است؟ (مثلاً 192.168.1.0/24 نه 192.168.1.0 255.255.255.0). • در CLI با دستور show vpn ike-sa gateway <name> detail میتوانید Proxy ID پیشنهادی توسط peer را مشاهده کنید. |
| عدم تطابق پارامترهای IPsec | • IPsec Crypto Profile در دو طرف از الگوریتمهای یکسان (Encryption, Authentication, PFS DH Group) استفاده میکند؟ |
| مسدود بودن پروتکل ESP (پروتکل ۵۰) یا NAT-T (UDP 4500) | • اگر فایروال پشت NAT است، باید در IKE Gateway گزینه NAT Traversal فعال باشد. • قوانین فایروال بالادست باید اجازه عبور IP Protocol 50 (ESP) و/یا UDP 4500 را بدهند. |
مشکل ۳: تونل Up است اما ترافیک مبادله نمیشود
علائم: وضعیت تونل در GUI سبز است، اما پینگ یا دسترسی به سرویسها برقرار نیست.
| علت احتمالی | راهحل و روش تشخیص |
| Security Policy نادرست یا Missing | • Policyای که ترافیک مبدا/مقصد را Allow میکند، ساختهاید؟ • Zoneهای Source و Destination در Policy به درستی انتخاب شدهاند؟ (باید شامل Zoneهای Trust و VPN-Zone باشند. • آدرسهای Source و Destination در Policy به درستی تعریف شدهاند؟ • آیا Policy Commit شده است؟ Hit Count آن افزایش مییابد؟ |
| مسیریابی (Route) نادرست | • Static Route برای شبکه راهدور، به اینترفیس Tunnel اشاره میکند؟ (show routing route) • آیا مسیر بهتری با Distance کمتربرای شبکه مقصد در جدول مسیریابی وجود ندارد که ترافیک را به مسیر دیگری هدایت کند؟ |
| Inspection Profileهای مسدودکننده | • آیا Profileهای امنیتی (Threat, URL Filtering) که به Policy وصل شدهاند، به اشتباه ترافیک مجاز را بلوک نمیکنند؟ میتوانید موقتاً آنها را از Policy قطع کرده و تست کنید. • لاگهای تهدید (Monitor > Threats) را برای مشاهده بلوکهای احتمالی بررسی کنید. |
| عدم بازگشت مسیر (Asymmetric Routing) | • مسیر برگشت ترافیک در سایت مقابل نیز به درستی تنظیم شده است؟ (Static Route در Site B به شبکه Site A اشاره کند. • از show session all برای مشاهده جلسات فعال و جهت عیبیابی عدم تطابق استفاده کنید. |
مشکل ۴: اتصال متناوب (تونل به طور مکرر Down/Up میشود)
| علت احتمالی | راهحل و روش تشخیص |
| تنظیمات DPD (Dead Peer Detection) | • DPD در IKE Gateway چک شود. حالت On Idle یا Always توصیه میشود. • اگر یک طرف DPD را روی Always و طرف دیگر روی Disable گذاشته باشد، ممکن است باعث قطعیهای متناوب شود. بهتر است در هر دو طرف یکسان باشد. |
| Key Lifetimeهای کوتاه یا ناسازگار | • Lifetimeهای تعریف شده در IKE Crypto Profile و IPsec Crypto Profile در دو طرف خیلی کوتاه نیستند؟ (مثلاً کمتر از ۳۰۰ ثانیه). • بهتر است در دو طرف یکسان باشند. |
| عدم تطابق در حالت Aggressive فقط IKEv1 | • اگر از IKEv1 با حالت Aggressive استفاده میکنید، حتماً در هر دو طرف فعال باشد. حالت Main پایدارتر است. |
| مشکلات ناپایداری شبکه | • از دست دادن بسته یا تأخیر زیاد در لینک اینترنت میتواند باعث Timeout شدن DPD و قطع تونل شود. • ping طولانیمدت به آدرس Public طرف مقابل برای بررسی پایداری لینک انجام دهید. |
۵. ملاحظات امنیتی پیشرفته و عملیات
پس از راهاندازی اولیه VPN، نوبت به سختسازی (Hardening)، بهینهسازی امنیتی و ایجاد فرآیندهای نظارتی مستمر میرسد. این مرحله برای تبدیل یک اتصال عملیاتی به یک کانال امن و مطمئن در بلندمدت حیاتی است.
بهینهسازی امنیتی و سختسازی
هدف این بخش، افزایش سطح امنیت فراتر از تنظیمات پیشفرض و کاهش سطح حمله است.
الف) احراز هویت و مدیریت کلید
| اقدام امنیتی | توضیح و پیادهسازی |
| جایگزینی PSK با گواهیهای دیجیتال | مشکل: کلیدهای پیشاشتراکی (PSK) به صورت دستی مدیریت میشوند، قابلیت ردیابی فردی را ندارند و در برابر حملات Brute-Force آسیبپذیرترند. راهحل: استفاده از احراز هویت مبتنی بر گواهی دیجیتال (X.509 Certificates). چگونه: ۱. ایجاد/وارد کردن یک Certificate Authority (CA) در Palo Alto (Device > Certificate Management). ۲. ایجاد و امضای گواهی برای هر فایروال. ۳. در IKE Gateway، به جای Pre-Shared Key، گزینه Certificate را انتخاب و گواهی مربوطه را تنظیم کنید. این روش مقیاسپذیری و امنیت را به شدت افزایش میدهد. |
| استفاده از کلیدهای پیشاشتراکی بسیار قوی (در صورت اصرار بر PSK) | • از ژنراتورهای کلید تصادفی استفاده کنید. • طول کلید باید حداقل ۳۲ کاراکتر متشکل از حروف بزرگ، کوچک، اعداد و کاراکترهای ویژه باشد. • هرگز از کلمات فرهنگ لغت یا ترکیبات ساده استفاده نکنید. |
| تغییر دورهای کلیدها (Key Rotation) | یک خطمشی (Policy) برای تعویض PSKها یا تجدید گواهیها در بازههای زمانی مشخص (مثلاً هر ۹۰ روز) تعریف و اجرا کنید. Panorama میتواند برای خودکارسازی این فرآیند در مقیاس بزرگ کمک کند. |
ب) تقویت پروتکل و الگوریتمها
| اقدام امنیتی | توضیح و پیادهسازی |
| اجباری کردن استفاده از IKEv2 | IKEv2 نسبت به IKEv1 از امنیت، پایداری و کارایی بالاتری برخوردار است و در برابر حملاتی مانند Flooding مقاومتر است. در صورت امکان، پیکربندی را به IKEv2-only ارتقا دهید. |
| فعالسازی اجباری Perfect Forward Secrecy (PFS) | مشکل: بدون PFS، اگر مهاجم کلید خصوصی اصلی (IKE SA) را به دست آورد، میتواند تمام تونلهای IPsec گذشته را نیز رمزگشایی کند. راهحل: در IPsec Crypto Profile، حتماً یک DH Group قوی (مانند group19, group20 یا group21) را انتخاب کنید. این اطمینان را میدهد که کلید هر تونل IPsec فاز ۲ به طور مستقل مشتق شده و افشای یک کلید، امنیت جلسات دیگر را نقض نمیکند. |
| انتخاب الگوریتمهای رمزنگاری قوی | • IKE: استفاده از AES-256-GCM همراه با SHA384 یا بهتر. • IPsec: استفاده از AES-256-GCM. حالت GCM هم رمزنگاری و هم احراز اصالت را انجام میدهد و کارایی بهتری دارد. • پرهیز از الگوریتمهای ضعیف: از MD5، SHA1، DES، 3DES و حتی AES-CBC (در صورت امکان) اجتناب کنید. |
ج) محدودسازی دسترسی و ترافیک (Principle of Least Privilege)
| اقدام امنیتی | توضیح و پیادهسازی |
| محدود کردن سرویسهای عبوری (Application-Aware Policy) | به جای استفاده از Service: Any در Security Policy، فقط سرویسها و Applicationهای مورد نیاز کسبوکار را مجاز کنید. چگونه: در تب Applications در Policy، به جای any، Applicationهای خاص مانند ms-ds-smb (برای فایلسرور)، ssl، ping و غیره را انتخاب کنید. این کار از سوءاستفاده از تونل برای ترافیک غیرمجاز جلوگیری میکند. |
| محدود کردن آدرسهای مبدا و مقصد | به جای تعریف کل سابنت (192.168.1.0/24)، فقط آدرسهای IP یا Rangeهای خاصی که واقعاً نیاز به ارتباط دارند را در Source و Destination Addressهای Policy وارد کنید (مثلاً فقط آدرس سرورها). |
| تفکیک ترافیک با استفاده از Policy-Based Forwarding (PBF) | برای ترافیکهای حساس (مانند مدیریت دستگاهها)، میتوان با استفاده از PBF، مسیرهای امنتری خارج از تونل VPN اصلی تعریف کرد یا ترافیک را به اینترفیسهای خاصی هدایت کرد. |
| غیرفعال کردن خدمات غیرضروری روی اینترفیس Tunnel | در تنظیمات اینترفیس Tunnel (Network > Interfaces > Tunnel)، در تب Advanced، سرویسهایی مانند Ping، HTTP، HTTPS و SSH را در صورت عدم نیاز غیرفعال (Uncheck) کنید تا سطح حمله کاهش یابد. |
مانیتورینگ، گزارشگیری و عملیات مستمر
امنیت یک فرآیند است، نه یک محصول. نظارت فعال کلید کشف سریع حوادث و حفظ در دسترس بودن (Availability) است.
الف) نظارت متمرکز با Panorama
Panorama مدیریت و نظارت یکپارچه بر همه فایروالها را ممکن میسازد.
داشبوردهای مرکزی: ایجاد داشبوردهای سفارشی برای مشاهده وضعیت کلی تمامی تونلهای VPN در تمام شعب از یک صفحه.
گزارشگیری یکپارچه: تولید گزارشهای دورهای (روزانه/هفتگی) از حجم ترافیک VPN، رویدادهای امنیتی در تونل، و وضعیت Uptime.
مدیریت پیکربندی متمرکز: اعمال تغییرات امنیتی (مثل بهروزرسانی یک Policy یا Crypto Profile) بر روی همه تونلها به صورت همزمان و کنترل شده از طریق Template و Device Group.
ب) تنظیم هشدار و اعلان (Alerting) پیشگیرانه
| نوع هشدار | روش تنظیم و هدف |
| قطع شدن تونل VPN (Tunnel Down) | چگونه: در Device > Alert، یک قاعده (Rule) جدید ایجاد کنید. • Filter: (subtype eq ipsec) و (severity eq critical) • Trigger: روی IPsec tunnel state change تنظیم شود. • Action: ارسال ایمیل، SNMP Trap یا اتصال به وبهوک (Webhook) برای سیستم ITSM مانند ServiceNow. |
| شکست در مذاکره IKE (IKE Failure) | چگونه: ایجاد Alert با فیلتر (subtype eq ike). این هشدارها میتوانند نشاندهنده تلاش برای حمله یا خطای پیکربندی باشند. |
| اضافه بار ترافیک غیرعادی (Anomaly) | چگونه: مانیتورینگ حجم ترافیک (Monitor > IPSec). در صورت مشاهده افزایش غیرمنتظره (مثلاً برای نشت داده)، میتوان از Log Forwarding برای ارسال لاگها به یک SIEM (مانند Splunk، ArcSight) برای تحلیل رفتاری استفاده کرد. |
ج) ممیزی و بازبینی دورهای
ایجاد یک چرخه بازبینی منظم برای اطمینان از انطباق امنیتی و عملکرد بهینه.
بازبینی هفتگی: بررسی Alertها و لاگهای تهدید (Threat Logs) مرتبط با ترافیک VPN. آیا تلاشی برای عبور بدافزار یا اکسپلویت از تونل شناسایی و مسدود شده است؟
بازبینی ماهانه: بررسی پیکربندی (Crypto Profiles, Policies) برای اطمینان از انطباق با خطمشیهای امنیتی داخلی و بهترین روشهای روز. بررسی گزارشهای حجم ترافیک برای شناسایی روندها و برنامهریزی ظرفیت.
بازبینی فصلی/سالانه: انجام آزمون نفوذ (Penetration Test) که سناریوی حمله از طریق یکی از شعب متصل به مرکز را شبیهسازی میکند. تست DR (Disaster Recovery) با قطع عمدی یک تونل اصلی و بررسی بازیابی خودکار یا دستی آن.
ممیزی کامل: مستندسازی تمام تغییرات، بررسی حق دسترسی مدیران (Admin Roles) و اطمینان از اینکه تمامی کلیدها یا گواهیها در چرخه تعویض قرار دارند.
د) بازیابی خرابی (Failover) و در دسترسبودن بالا (High Availability)
پیکربندی VPN با مسیر ثانویه: ایجاد یک تونل VPN دیگر از طریق یک اتصال اینترنت ثانویه (Secondary Link) و استفاده از ویژگی Path Monitoring در Palo Alto برای سوئیچ خودکار در صورت قطعی مسیر اصلی.
هماهنگی با سرویسهای ابری: در صورت اتصال به ابر (مثلاً Azure، AWS)، از قابلیتهای Active-Active یا Active-Passive Gatewayهای VPN سرویسدهنده ابری استفاده کرده و تونلهای اضافی برای افزونگی پیکربندی کنید.
جمعبندی: با پیادهسازی این ملاحظات پیشرفته، VPN Site-to-Site شما از یک کانل ارتباطی ساده، به یک جزیره امنیتی کنترلشده، نظارتشده و مقاوم تبدیل میشود که نه تنها اتصال، بلکه حفاظت فعال و انطباق با استانداردها را نیز تضمین میکند.



