Informace o zařízeních VPN a parametrech protokolu IPsec/IKE pro připojení typu Site-to-Site ke službě VPN Gateway
Pro konfiguraci připojení VPN typu Site-to-Site (S2S) mezi různými místy pomocí brány VPN Gateway je potřeba zařízení VPN. Připojení typu Site-to-Site lze použít k vytvoření hybridního řešení, nebo kdykoli chcete zabezpečit připojení mezi místními a virtuálními sítěmi. Tento článek obsahuje seznam ověřených zařízení VPN a seznam parametrů protokolu IPsec/IKE pro brány VPN.
Důležité
Pokud mezi místními zařízeními VPN a bránami VPN dochází k problémům s připojením, vyhledejte informace v části Známé problémy s kompatibilitou zařízení.
Při procházení tabulek si všimněte:
- Došlo ke změně terminologie pro služby Azure VPN Gateway. Změnily se pouze názvy. Nedojde ke změně funkčnosti.
- Statické směrování = PolicyBased
- Dynamické směrování = RouteBased
- Specifikace pro vysokovýkonné brány VPN a brány VPN typu RouteBased jsou stejné, není-li uvedeno jinak. Například ověřená zařízení VPN, která jsou kompatibilní s bránami VPN typu RouteBased, budou kompatibilní také s vysokovýkonnou bránou VPN.
Ověřená zařízení VPN a průvodci konfigurací zařízení
Ve spolupráci s dodavateli zařízení jsme ověřili sadu standardních zařízení VPN. Všechna zařízení v řadách zařízení v následujícím seznamu by měla fungovat s bránami VPN. Toto jsou doporučené algoritmy pro konfiguraci zařízení.
| Doporučené algoritmy | Šifrování | Integrita | Skupina DH |
|---|---|---|---|
| IKE | AES256 | SHA256 | DH2 |
| IPSec | AES256GCM | AES256GCM | Nic |
Pokud chcete pomoct s konfigurací zařízení VPN, projděte si odkazy, které odpovídají příslušné rodině zařízení. Odkazy na pokyny ke konfiguraci jsou poskytovány na základě maximálního úsilí a výchozí hodnoty uvedené v průvodci konfigurací nemusí obsahovat nejlepší kryptografické algoritmy. Pro podporu zařízení VPN kontaktujte výrobce zařízení.
| Dodavatel | Řada zařízení | Minimální verze operačního systému | Pokyny ke konfiguraci PolicyBased | Pokyny ke konfiguraci RouteBased |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | Není kompatibilní | Průvodce konfigurací |
| Ahnlab | TrusGuard | TG 2.7.6 TG 3.5.x |
Neotestováno | Průvodce konfigurací |
| Allied Telesis | Směrovače VPN řady AR | AR-Series 5.4.7+ | Průvodce konfigurací | Průvodce konfigurací |
| Arista | Směrovač CloudEOS | vEOS 4.24.0FX | Neotestováno | Průvodce konfigurací |
| Barracuda Networks, Inc. | Barracuda CloudGen Firewall | PolicyBased: 5.4.3 RouteBased: 6.2.0 |
Průvodce konfigurací | Průvodce konfigurací |
| Check Point | Security Gateway | R80.10 | Průvodce konfigurací | Průvodce konfigurací |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
Podporováno | Průvodce konfigurací* |
| Cisco | ASR | PolicyBased: iOS 15.1 RouteBased: iOS 15.2 |
Podporováno | Podporováno |
| Cisco | CSR | RouteBased: IOS-XE 16.10 | Neotestováno | Konfigurační skript |
| Cisco | ISR | PolicyBased: iOS 15.0 RouteBased*: iOS 15.1 |
Podporováno | Podporováno |
| Cisco | Meraki (MX) | MX v15.12 | Není kompatibilní | Průvodce konfigurací |
| Cisco | vEdge (viptela OS) | 18.4.0 (aktivní/pasivní režim) | Není kompatibilní | Ruční konfigurace (aktivní/pasivní) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 a novější | Průvodce konfigurací | Není kompatibilní |
| F5 | Řada BIG-IP | 12.0 | Průvodce konfigurací | Průvodce konfigurací |
| Fortinet | FortiGate | FortiOS 5.6 | Neotestováno | Průvodce konfigurací |
| Fujitsu | Řada Si-R G | V04: V04.12 V20: V20.14 |
Průvodce konfigurací | Průvodce konfigurací |
| Hillstone Networks | Brány firewall další generace (NGFW) | 5.5R7 | Neotestováno | Průvodce konfigurací |
| HPE Aruba | Brána SDWAN Připojení Edge | ECOS Release v9.2 Orchestrator OS v9.2 |
Průvodce konfigurací | Průvodce konfigurací |
| Internet Initiative Japan (IIJ) | Řada SEIL | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Průvodce konfigurací | Není kompatibilní |
| Juniper | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
Podporováno | Konfigurační skript |
| Juniper | Řada J | PolicyBased: JunOS 10.4r9 RouteBased: JunOS 11.4 |
Podporováno | Konfigurační skript |
| Juniper | ISG | ScreenOS 6.3 | Podporováno | Konfigurační skript |
| Juniper | SSG | ScreenOS 6.2 | Podporováno | Konfigurační skript |
| Juniper | MX | JunOS 12.x | Podporováno | Konfigurační skript |
| Microsoft | Služba Směrování a vzdálený přístup | Windows Server 2012 | Není kompatibilní | Podporováno |
| Open Systems AG | Mission Control Security Gateway | – | Podporováno | Není kompatibilní |
| Palo Alto Networks | Všechna zařízení se systémem PAN-OS | PAN-OS PolicyBased: 6.1.5 nebo novější RouteBased: 7.1.4 |
Podporováno | Průvodce konfigurací |
| Sentrium (vývojář) | VyOS | VyOS 1.2.2 | Neotestováno | Průvodce konfigurací |
| ShareTech | UTM příští generace (řada NU) | 9.0.1.3 | Není kompatibilní | Průvodce konfigurací |
| SonicWall | Řada TZ, řada NSA Řada SuperMassive Řada E-Class NSA |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Není kompatibilní | Průvodce konfigurací |
| Sophos | XG Next Gen Firewall | XG v17 | Neotestováno | Průvodce konfigurací Průvodce konfigurací – několik SA |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Neotestováno | Průvodce konfigurací |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 | Neotestováno | Protokol BGP přes protokol IKEv2/IPsec VTI přes protokol IKEv2/IPsec |
| Ultra | 3E-636L3 | 5.2.0.T3 build-13 | Neotestováno | Průvodce konfigurací |
| WatchGuard | Všechny | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
Průvodce konfigurací | Průvodce konfigurací |
| Zyxel | Řada ZyWALL USG Řada ZyWALL ATP Řada ZyWALL VPN |
ZLD v4.32 nebo novější | Neotestováno | VTI přes protokol IKEv2/IPsec Protokol BGP přes protokol IKEv2/IPsec |
Poznámka:
(*) Cisco ASA verze 8.4+ přidávají podporu IKEv2 a umožňují připojení ke službě Azure VPN Gateway pomocí vlastních zásad IPsec/IKE s možností UsePolicyBasedTrafficSelectors. Další informace najdete v tomto článku s postupem.
(**) Směrovače řady ISR 7200 podporují jenom sítě VPN typu PolicyBased.
Stažení konfiguračních skriptů zařízení VPN z Azure
U některých zařízení si můžete konfigurační skripty stáhnout přímo z Azure. Další informace a pokyny ke stažení najdete v tématu Stažení konfiguračních skriptů zařízení VPN.
Nevalidovaná zařízení VPN
Pokud se vaše zařízení nezobrazuje v tabulce Ověřená zařízení VPN, může vaše zařízení dál fungovat s připojením typu Site-to-Site. Pokud potřebujete pokyny pro podporu a konfiguraci, obraťte se na výrobce zařízení.
Ukázky úpravy konfigurace zařízení
Po stažení ukázky konfigurace zařízení VPN budete muset nahradit některé hodnoty tak, aby odpovídaly nastavení vašeho prostředí.
Postup úpravy ukázky:
- Otevřete ukázku pomocí Poznámkového bloku.
- Vyhledejte a nahraďte všechny <textové> řetězce hodnotami, které se týkají vašeho prostředí. Nezapomeňte zahrnout < a >. Zadané názvy by měly být jedinečné. Pokud příkaz nefunguje, projděte si dokumentaci výrobce zařízení.
| Text v ukázce | Změňte na |
|---|---|
| <RP_OnPremisesNetwork> | Zvolený název pro tento objekt. Příklad: myOnPremisesNetwork |
| <RP_AzureNetwork> | Zvolený název pro tento objekt. Příklad: myAzureNetwork |
| <RP_AccessList> | Zvolený název pro tento objekt. Příklad: myAzureAccessList |
| <RP_IPSecTransformSet> | Zvolený název pro tento objekt. Příklad: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | Zvolený název pro tento objekt. Příklad: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | Zadejte rozsah. Příklad: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Zadejte masku podsítě. Příklad: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Zadejte místní rozsah. Příklad: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | Zadejte masku místní podsítě. Příklad: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Tato informace je specifická pro vaši virtuální síť a najdete ji v Portálu pro správu jako IP adresa brány. |
| <SP_PresharedKey> | Tato informace je specifická pro vaši virtuální síť a najdete ji v Portálu pro správu jako Správa klíče. |
Výchozí parametry protokolu IPsec/IKE
Následující tabulky obsahují kombinace algoritmů a parametrů, které brány Azure VPN gateway používají ve výchozí konfiguraci (výchozí zásady). Pro brány sítě VPN založené na trasách a vytvořené pomocí modelu nasazení správy prostředků Azure můžete zadat vlastní zásadu pro každé jednotlivé připojení. Podrobné pokyny najdete v tématu Konfigurace zásad IPsec/IKE.
Kromě toho musíte upínací TCP MSS při 1350. Nebo pokud vaše zařízení VPN nepodporují upnutí MSS, můžete alternativně nastavit MTU na rozhraní tunelu na 1400 bajtů.
V následujících tabulkách:
- SA je přidružení zabezpečení.
- IKE fáze 1 se také nazývá „hlavní režim“.
- IKE fáze 2 se také nazývá „rychlý režim“.
Parametry protokolu IKE fáze 1 (hlavní režim)
| Vlastnost | PolicyBased | RouteBased |
|---|---|---|
| Verze IKE | IKEv1 | IKEv1 a IKEv2 |
| Skupina Diffie-Hellman | Skupina 2 (1 024 bitů) | Skupina 2 (1 024 bitů) |
| Metoda ověřování | Předsdílený klíč | Předsdílený klíč |
| Algoritmy šifrování a hash | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| Životnost SA | 28 800 sekund | 28 800 sekund |
| Počet SA rychlého režimu | 100 | 100 |
Parametry protokolu IKE fáze 2 (rychlý režim)
| Vlastnost | PolicyBased | RouteBased |
|---|---|---|
| Verze IKE | IKEv1 | IKEv1 a IKEv2 |
| Algoritmy šifrování a hash | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
Nabídky RouteBased QM SA |
| Životnost SA (čas) | 3 600 sekund | 27 000 sekund |
| Životnost SA (bajty) | 102 400 000 kB | 102 400 000 kB |
| Metoda Perfect Forward Secrecy (PFS) | No | Nabídky RouteBased QM SA |
| Detekce mrtvých partnerských zařízení (DPD) | Nepodporováno | Podporováno |
Nabídky RouteBased VPN IPsec Security Association (rychlý režim IKE SA)
Následující tabulka uvádí nabídky IPsec SA (rychlý režim IKE). Nabídky jsou uvedeny v pořadí podle preference jejich předávání nebo přijímání.
Služba Azure Gateway jako iniciátor
| - | Šifrování | Authentication | Skupina PFS |
|---|---|---|---|
| 0 | GCM AES256 | GCM (AES256) | Nic |
| 2 | AES256 | SHA1 | Nic |
| 3 | 3DES | SHA1 | Nic |
| 4 | AES256 | SHA256 | Nic |
| 5 | AES128 | SHA1 | Nic |
| 6 | 3DES | SHA256 | Nic |
Služba Azure Gateway jako respondér
| - | Šifrování | Authentication | Skupina PFS |
|---|---|---|---|
| 0 | GCM AES256 | GCM (AES256) | Nic |
| 2 | AES256 | SHA1 | Nic |
| 3 | 3DES | SHA1 | Nic |
| 4 | AES256 | SHA256 | Nic |
| 5 | AES128 | SHA1 | Nic |
| 6 | 3DES | SHA256 | Nic |
| 7 | DES | SHA1 | Nic |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 0 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 0 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 0 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | Nic |
| 23 | AES128 | SHA256 | 0 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- U vysokovýkonných bran VPN a bran VPN typu RouteBased můžete zadat šifrování protokolem IPsec s prázdným ESP. Šifrování založené na hodnotě Null neposkytuje ochranu přenášených dat a mělo by se používat jenom v případě, že je vyžadována maximální propustnost a minimální latence. Klienti se můžou rozhodnout tuto možnost použít ve scénářích komunikace typu VNet-to-VNet nebo při použití šifrování jinde v řešení.
- Pro připojení mezi místy přes internet použijte výchozí nastavení brány Azure VPN s algoritmy šifrování a hash, které jsou uvedené v předchozích tabulkách, abyste zajistili zabezpečení kritické komunikace.
Známé problémy s kompatibilitou zařízení
Důležité
Jsou známy problémy s kompatibilitou mezi zařízeními VPN třetích stran a bránami VPN Azure. Tým Azure aktivně spolupracuje s dodavateli na řešení problémů, které jsou zde uvedeny. Po vyřešení problémů bude tato stránka aktualizována, aby obsahovala nejnovější informace. Pravidelně se sem vracejte.
16. února 2017
Zařízení Palo Alto Networks s verzí starší než 7.1.4 pro síť VPN založenou na směrování Azure: Pokud používáte zařízení VPN z Palo Alto Networks s verzí PAN-OS starší než 7.1.4 a dochází k problémům s připojením k branám VPN založeným na směrování Azure, proveďte následující kroky:
- Zkontrolujte verzi firmwaru zařízení Palo Alto Networks. Pokud je verze PAN-OS starší než 7.1.4, proveďte upgrade na verzi 7.1.4.
- Na zařízení Palo Alto Networks změňte při připojování k bráně VPN Azure životnost přidružení zabezpečení (SA) Fáze 2 (nebo přidružení zabezpečení rychlého režimu) na 28 800 sekund (8 hodin).
- Pokud stále dochází k problémům s připojením, otevřete žádost o podporu na webu Azure Portal.