Konfigurace zásad IPsec/IKE pro připojení site-to-site VPN
Tento článek popisuje postup konfigurace zásad IPsec/IKE pro připojení site-to-site (S2S) VPN ve službě Azure Stack Hub.
Parametry zásad IPsec a IKE pro brány VPN
Standard protokolu IPsec a IKE podporuje širokou škálu kryptografických algoritmů v různých kombinacích. Pokud chcete zjistit, které parametry jsou podporované ve službě Azure Stack Hub, abyste mohli vyhovět požadavkům na dodržování předpisů nebo zabezpečení, přečtěte si téma Parametry protokolu IPsec/IKE.
Tento článek obsahuje pokyny, jak vytvořit a nakonfigurovat zásady IPsec/IKE a použít je u nového nebo existujícího připojení.
Požadavky
Při používání těchto zásad mějte na paměti následující důležité informace:
Zásady IPsec/IKE fungují pouze u skladových položek brány Standard a HighPerformance (založené na trasách).
Pro jedno připojení můžete zadat pouze jednu kombinaci zásad.
Musíte zadat všechny algoritmy a parametry pro IKE (hlavní režim) i IPsec (rychlý režim). Zadání částečných zásad není povoleno.
Pokud se chcete ujistit, že vaše místní zařízení VPN podporují zásady, obraťte se na specifikace dodavatele zařízení VPN. Připojení typu site-to-site nelze navázat, pokud jsou zásady nekompatibilní.
Požadavky
Než začnete, ujistěte se, že splňujete následující požadavky:
Předplatné Azure. Pokud ještě nemáte předplatné Azure, můžete si aktivovat výhody pro předplatitele MSDN nebo si zaregistrovat bezplatný účet.
Rutiny Azure Resource Manager PowerShellu. Další informace o instalaci rutin PowerShellu najdete v tématu Instalace PowerShellu pro Azure Stack Hub.
Část 1 – Vytvoření a nastavení zásad IPsec/IKE
Tato část popisuje kroky potřebné k vytvoření a aktualizaci zásad IPsec/IKE pro připojení site-to-site VPN:
Vytvořte virtuální síť a bránu VPN.
Vytvořte bránu místní sítě pro připojení mezi různými místy.
Vytvořte zásadu IPsec/IKE s vybranými algoritmy a parametry.
Vytvořte připojení IPSec pomocí zásad IPsec/IKE.
Přidání, aktualizace nebo odebrání zásad IPsec/IKE pro existující připojení
Pokyny v tomto článku vám pomůžou nastavit a nakonfigurovat zásady IPsec/IKE, jak je znázorněno na následujícím obrázku:
Část 2 – Podporované kryptografické algoritmy a síly klíčů
Následující tabulka uvádí podporované kryptografické algoritmy a síly klíčů konfigurovatelné službou Azure Stack Hub:
| IPsec/IKEv2 | Možnosti |
|---|---|
| Šifrování protokolem IKEv2 | AES256, AES192, AES128, DES3, DES |
| Integrita protokolu IKEv2 | SHA384, SHA256, SHA1, MD5 |
| Skupina DH | ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256*, DHGroup24* |
| Šifrování protokolem IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Žádné |
| Integrita protokolu IPsec | GCMAES256, GCMAES192, GCMAES128, SHA256 |
| Skupina PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, Žádný |
| Doba života přidružení zabezpečení v rychlém režimu | (Volitelné: Pokud nejsou zadané, použijí se výchozí hodnoty.) Sekundy (integer; min. 300 / výchozí hodnota 27 000 sekund) Kilobajty (integer; min. 1024 / výchozí hodnota 102 400 000 kilobajtů) |
| Selektor provozu | Selektory provozu založené na zásadách se ve službě Azure Stack Hub nepodporují. |
Poznámka
Nastavení příliš nízké životnosti přidružení zabezpečení QM vyžaduje zbytečné opětovné vytváření klíčů, což může snížit výkon.
* Tyto parametry jsou k dispozici pouze v buildech 2002 a novějších.
Konfigurace vašeho místního zařízení VPN musí odpovídat zásadám brány Azure VPN Gateway nebo musí obsahovat následující algoritmy a parametry, které zadáte v zásadách IPsec/IKE Azure:
- Šifrovací algoritmus IKE (hlavní režim/fáze 1).
- Algoritmus integrity IKE (hlavní režim/fáze 1).
- Skupina DH (hlavní režim/fáze 1).
- Šifrovací algoritmus IPsec (rychlý režim/ fáze 2).
- Algoritmus integrity protokolu IPsec (rychlý režim nebo fáze 2).
- Skupina PFS (rychlý režim/ fáze 2).
- Životnosti přidružení služby jsou pouze místní specifikace a nemusí se shodovat.
Pokud je GCMAES použit jako šifrovací algoritmus IPsec, musíte vybrat stejný algoritmus GCMAES a délku klíče pro integritu IPsec; například pomocí GCMAES128 pro obojí.
V tabulce:
- IKEv2 odpovídá hlavnímu režimu nebo fázi 1.
- Protokol IPsec odpovídá rychlému režimu nebo fázi 2.
- Skupina DH určuje skupinu Diffie-Hellmen použitou v hlavním režimu nebo ve fázi 1.
- Skupina PFS určuje skupinu Diffie-Hellmen použitou v rychlém režimu nebo fázi 2.
Životnost přidružení předplatného IKEv2 v hlavním režimu je na branách VPN služby Azure Stack Hub pevně nastavená na 28 800 sekund.
Následující tabulka uvádí odpovídající skupiny Diffie-Hellman podporované vlastními zásadami:
| Skupina Diffie-Hellman | DHGroup | PFSGroup | Délka klíče |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | 768bitová skupina MODP |
| 2 | DHGroup2 | PFS2 | 1024bitová skupina MODP |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048bitová skupina MODP |
| 19 | ECP256* | ECP256 | 256bitová skupina ECP |
| 20 | ECP384 | ECP384 | 384bitová skupina ECP |
| 24 | DHGroup24* | PFS24 | 2048bitová skupina MODP |
* Tyto parametry jsou k dispozici pouze v buildech 2002 a novějších.
Další informace najdete na stránkách RFC3526 a RFC5114.
Část 3 – Vytvoření nového připojení site-to-site VPN pomocí zásad IPsec/IKE
Tato část vás provede postupem vytvoření připojení site-to-site VPN pomocí zásad IPsec/IKE. Následující kroky vytvoří připojení, jak je znázorněno na následujícím obrázku:
Podrobnější pokyny k vytvoření připojení site-to-site VPN najdete v tématu Vytvoření připojení site-to-site VPN.
Krok 1 – Vytvoření virtuální sítě, brány VPN a brány místní sítě
1. Deklarace proměnných
V tomto cvičení začněte deklarací následujících proměnných. Při konfiguraci pro produkční prostředí nezapomeňte zástupné symboly nahradit vlastními hodnotami:
$Sub1 = "<YourSubscriptionName>"
$RG1 = "TestPolicyRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GW1IPName1 = "VNet1GWIP1"
$GW1IPconf1 = "gw1ipconf1"
$Connection16 = "VNet1toSite6"
$LNGName6 = "Site6"
$LNGPrefix61 = "10.61.0.0/16"
$LNGPrefix62 = "10.62.0.0/16"
$LNGIP6 = "131.107.72.22"
2. Připojte se k předplatnému a vytvořte novou skupinu prostředků.
Ujistěte se, že jste přešli do režimu prostředí PowerShell, aby bylo možné používat rutiny Resource Manageru. Další informace najdete v tématu Připojení ke službě Azure Stack Hub pomocí PowerShellu jako uživatel.
Otevřete konzolu PowerShellu a připojte se ke svému účtu. Například:
Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1
3. Vytvoření virtuální sítě, brány VPN a brány místní sítě
Následující příklad vytvoří virtuální síť TestVNet1 spolu se třemi podsítěmi a bránou VPN. Při nahrazování hodnot je důležité, abyste podsíť brány pojmenovávejte konkrétně GatewaySubnet. Pokud použijete jiný název, vytvoření brány se nezdaří.
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" `
-VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 `
-Subnet $subnet1 -PublicIpAddress $gw1pip1
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku VpnGw1
New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 `
-Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix `
$LNGPrefix61,$LNGPrefix62
Krok 2 – Vytvoření připojení site-to-site VPN pomocí zásad IPsec/IKE
1. Vytvoření zásady IPsec/IKE
Tento ukázkový skript vytvoří zásadu IPsec/IKE s následujícími algoritmy a parametry:
- IKEv2: AES128, SHA1, DHGroup14
- IPsec: AES256, SHA256, none, životnost SA 14400 sekund a 102400000KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup none -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
Pokud používáte GCMAES pro IPsec, musíte použít stejný algoritmus GCMAES a délku klíče pro šifrování i integritu protokolu IPsec.
2. Vytvoření připojení site-to-site VPN pomocí zásad IPsec/IKE
Vytvořte připojení VPN typu site-to-site a použijte zásady IPsec/IKE, které jste vytvořili dříve:
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'Azs123'
Důležité
Po zadání zásady IPsec/IKE pro připojení brána Vpn Gateway Azure odešle nebo přijme pouze návrh protokolu IPsec/IKE se zadanými kryptografickými algoritmy a silnými klíči pro toto konkrétní připojení. Ujistěte se, že vaše místní zařízení VPN pro připojení používá nebo přijímá přesnou kombinaci zásad, jinak nelze vytvořit tunel VPN typu site-to-site.
Část 4 – Aktualizace zásad IPsec/IKE pro připojení
V předchozí části se dozvíte, jak spravovat zásady IPsec/IKE pro existující připojení typu site-to-site. Tato část vás provede následujícími operacemi připojení:
- Zobrazí zásady IPsec/IKE pro připojení.
- Přidejte nebo aktualizujte zásady IPsec/IKE pro připojení.
- Odeberte z připojení zásadu IPsec/IKE.
Poznámka
Zásady IPsec/IKE se podporují pouze v branách VPN založených na trasách standardu a highperformance . Na skladové pořidce brány Basic to nefunguje.
1. Zobrazení zásad IPsec/IKE připojení
Následující příklad ukazuje, jak získat zásady IPsec/IKE nakonfigurované pro připojení. Skripty také pokračují z předchozích cvičení.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Poslední příkaz zobrazí seznam aktuálních zásad protokolu IPsec/IKE nakonfigurovaných pro připojení, pokud existují. Následující příklad je ukázkový výstup pro připojení:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
Pokud nejsou nakonfigurované žádné zásady protokolu IPsec/IKE, příkaz $connection6.policy získá prázdnou návratovou hodnotu. Neznamená to, že pro připojení není nakonfigurovaný protokol IPsec/IKE. Znamená to, že neexistují žádné vlastní zásady IPsec/IKE. Skutečné připojení používá výchozí zásady vyjednané mezi místním zařízením VPN a bránou Azure VPN Gateway.
2. Přidání nebo aktualizace zásad IPsec/IKE pro připojení
Postup přidání nové zásady nebo aktualizace existujících zásad pro připojení je stejný: vytvořte novou zásadu a pak ji použijte pro připojení:
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$newpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
$connection6.SharedKey = "AzS123"
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6
Můžete znovu získat připojení a zkontrolovat, jestli je zásada aktualizovaná:
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Měl by se zobrazit výstup z posledního řádku, jak je znázorněno v následujícím příkladu:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
3. Odebrání zásady IPsec/IKE z připojení
Po odebrání vlastních zásad z připojení se brána Azure VPN Gateway vrátí k výchozímu návrhu protokolu IPsec/IKE a znovu vyjedná s místním zařízením VPN.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.SharedKey = "AzS123"
$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6
Pomocí stejného skriptu můžete zkontrolovat, jestli se zásada z připojení neodebrala.