O zařízeních VPN a o parametrech protokolu IPsec/IKE pro připojení typu Site-to-Site ke službě VPN Gateway

Pro konfiguraci připojení VPN typu Site-to-Site (S2S) mezi různými místy pomocí brány VPN Gateway je potřeba zařízení VPN. Připojení typu Site-to-Site lze použít k vytvoření hybridního řešení, nebo kdykoli chcete zabezpečit připojení mezi místními a virtuálními sítěmi. Tento článek obsahuje seznam ověřených zařízení VPN a seznam parametrů protokolu IPsec/IKE pro brány VPN.

Důležité

Pokud mezi místními zařízeními VPN a bránami VPN dochází k problémům s připojením, vyhledejte informace v části Známé problémy s kompatibilitou zařízení.

Při procházení tabulek si všimněte:

  • Došlo ke změně terminologie pro služby Azure VPN Gateway. Změnily se pouze názvy. Nedošlo k žádné změně funkce.
    • Statické směrování = PolicyBased
    • Dynamické směrování = RouteBased
  • Specifikace pro vysokovýkonné brány VPN a brány VPN typu RouteBased jsou stejné, není-li uvedeno jinak. Například ověřená zařízení VPN, která jsou kompatibilní s bránami VPN typu RouteBased, budou kompatibilní také s vysokovýkonnou bránou VPN.

Ověřená zařízení VPN a průvodci konfigurací zařízení

Ve spolupráci s dodavateli zařízení jsme ověřili sadu standardních zařízení VPN. Všechna zařízení v řadách zařízení v následujícím seznamu by měla fungovat s bránami VPN. V tématu Informace o nastavení služby VPN Gateway zjistíte, jaký typ sítě VPN (PolicyBased nebo RouteBased) použít pro řešení VPN Gateway, které chcete konfigurovat.

Pokud potřebujete pomoct s konfigurací zařízení VPN, použijte odkazy, které odpovídají příslušné rodině zařízení. Při poskytování odkazů na pokyny se snažíme maximálně vyhovět. Pro podporu zařízení VPN kontaktujte výrobce zařízení.

Dodavatel Řada zařízení Minimální verze operačního systému Pokyny ke konfiguraci PolicyBased Pokyny ke konfiguraci RouteBased
A10 Networks, Inc. Thunder CFW ACOS 4.1.1 Není kompatibilní Průvodce konfigurací
Ahnlab TrusGuard TG 2.7.6
TG 3.5.x
Netestováno Průvodce konfigurací
Allied Telesis Směrovače VPN řady AR AR-Series 5.4.7 nebo novější Průvodce konfigurací Průvodce konfigurací
Arista Směrovač CloudEOS vEOS 4.24.0FX Netestováno Průvodce konfigurací
Barracuda Networks, Inc. Barracuda CloudGen Firewall PolicyBased: 5.4.3
RouteBased: 6.2.0
Průvodce konfigurací Průvodce konfigurací
Check Point Security Gateway R80.10 Průvodce konfigurací Průvodce konfigurací
Cisco ASA 8.3
8.4+ (IKEv2*)
Podporováno Průvodce konfigurací*
Cisco ASR PolicyBased: iOS 15.1
RouteBased: iOS 15.2
Podporováno Podporováno
Cisco CSR RouteBased: IOS-XE 16.10 Netestováno Konfigurační skript
Cisco ISR PolicyBased: iOS 15.0
RouteBased*: iOS 15.1
Podporováno Podporováno
Cisco Meraki (MX) MX v15.12 Není kompatibilní Průvodce konfigurací
Cisco vEdge (OS Viptela) 18.4.0 (aktivní/pasivní režim)

19.2 (aktivní/aktivní režim)
Není kompatibilní Ruční konfigurace (aktivní/pasivní)

Konfigurace Onrampu v cloudu (aktivní/aktivní)
Citrix NetScaler MPX, SDX, VPX 10.1 a vyšší Průvodce konfigurací Není kompatibilní
F5 Řada BIG-IP 12.0 Průvodce konfigurací Průvodce konfigurací
Fortinet FortiGate FortiOS 5.6 Netestováno Průvodce konfigurací
Fujitsu Řada Si-R G V04: V04.12
V20: V20.14
Průvodce konfigurací Průvodce konfigurací
Hillstone Networks Brány firewall nové generace (NGFW) 5.5R7 Netestováno Průvodce konfigurací
Internet Initiative Japan (IIJ) Řada SEIL SEIL/X 4.60
SEIL/B1 4.60
SEIL/x86 3.20
Průvodce konfigurací Není kompatibilní
Juniper SRX PolicyBased: JunOS 10.2
Routebased: JunOS 11.4
Podporováno Konfigurační skript
Juniper Řada J PolicyBased: JunOS 10.4r9
RouteBased: JunOS 11.4
Podporováno Konfigurační skript
Juniper ISG ScreenOS 6.3 Podporováno Konfigurační skript
Juniper SSG ScreenOS 6.2 Podporováno Konfigurační skript
Juniper MX JunOS 12.x Podporováno Konfigurační skript
Microsoft Služba Směrování a vzdálený přístup Windows Server 2012 Není kompatibilní Podporováno
Open Systems AG Mission Control Security Gateway Průvodce konfigurací Není kompatibilní
Palo Alto Networks Všechna zařízení se systémem PAN-OS PAN-OS
PolicyBased: 6.1.5 nebo novější
RouteBased: 7.1.4
Podporováno Průvodce konfigurací
Sentrium (vývojář) VyOS VyOS 1.2.2 Netestováno Průvodce konfigurací
ShareTech UTM příští generace (řada NU) 9.0.1.3 Není kompatibilní Průvodce konfigurací
SonicWall Řada TZ, řada NSA
Řada SuperMassive
Řada E-Class NSA
SonicOS 5.8.x
SonicOS 5.9.x
SonicOS 6.x
Není kompatibilní Průvodce konfigurací
Sophos XG Next Gen Firewall XG v17 Netestováno Průvodce konfigurací

Průvodce konfigurací – více přidružení zabezpečení
Synology MR2200ac
RT2600ac
RT1900ac
SRM1.1.5/VpnPlusServer-1.2.0 Netestováno Průvodce konfigurací
Ubiquiti EdgeRouter EdgeOS v1.10 Netestováno Protokol BGP přes protokol IKEv2/IPsec

VTI přes IKEv2/IPsec
Ultra 3E-636L3 5.2.0.T3 Build-13 Netestováno Průvodce konfigurací
WatchGuard Vše Fireware XTM
PolicyBased: v11.11.x
RouteBased: v11.12.x
Průvodce konfigurací Průvodce konfigurací
Zyxel Řada ZyWALL USG
Řada ZyWALL ATP
Řada ZyWALL VPN
ZLD verze 4.32 nebo novější Netestováno VTI přes IKEv2/IPsec

Protokol BGP přes protokol IKEv2/IPsec

Poznámka

(*) Cisco ASA verze 8.4+ přidávají podporu IKEv2 a umožňují připojení ke službě Azure VPN Gateway pomocí vlastních zásad IPsec/IKE s možností UsePolicyBasedTrafficSelectors. Další informace najdete v tomto článku s postupem.

(\*\*) Směrovače řady ISR 7200 podporují jenom sítě VPN typu PolicyBased.

Stažení konfiguračních skriptů zařízení VPN z Azure

Pro určitá zařízení si můžete konfigurační skripty stáhnout přímo z Azure. Další informace a pokyny ke stažení najdete v tématu Stažení konfiguračních skriptů zařízení VPN.

Neověřená zařízení VPN

Nevidíte-li své zařízení v tabulce Ověřená zařízení VPN, stále je možné, že bude fungovat s připojením typu Site-to-Site. Kvůli další podpoře a pokynům ke konfiguraci se obraťte na výrobce zařízení.

Ukázky úpravy konfigurace zařízení

Po stažení ukázky konfigurace zařízení VPN budete muset nahradit některé hodnoty tak, aby odpovídaly nastavení vašeho prostředí.

Chcete-li upravit ukázku:

  1. Otevřete ukázku pomocí Poznámkového bloku.
  2. Vyhledejte a nahraďte všechny <textové> řetězce hodnotami, které se týkají vašeho prostředí. Nezapomeňte zahrnout < a >. Zadané názvy by měly být jedinečné. Pokud příkaz nefunguje, podívejte se do dokumentace výrobce zařízení.
Text v ukázce Změnit na
<RP_OnPremisesNetwork> Zvolený název pro tento objekt. Příklad: myOnPremisesNetwork
<RP_AzureNetwork> Zvolený název pro tento objekt. Příklad: myAzureNetwork
<RP_AccessList> Zvolený název pro tento objekt. Příklad: myAzureAccessList
<RP_IPSecTransformSet> Zvolený název pro tento objekt. Příklad: myIPSecTransformSet
<RP_IPSecCryptoMap> Zvolený název pro tento objekt. Příklad: myIPSecCryptoMap
<SP_AzureNetworkIpRange> Zadejte rozsah. Příklad: 192.168.0.0
<SP_AzureNetworkSubnetMask> Zadejte masku podsítě. Příklad: 255.255.0.0
<SP_OnPremisesNetworkIpRange> Zadejte místní rozsah. Příklad: 10.2.1.0
<SP_OnPremisesNetworkSubnetMask> Zadejte masku místní podsítě. Příklad: 255.255.255.0
<SP_AzureGatewayIpAddress> Tato informace je specifická pro vaši virtuální síť a najdete ji v Portálu pro správu jako IP adresa brány.
<SP_PresharedKey> Tato informace je specifická pro vaši virtuální síť a najdete ji v Portálu pro správu jako Správa klíče.

Výchozí parametry protokolu IPsec/IKE

Následující tabulky obsahují kombinace algoritmů a parametrů, které brány Azure VPN používají ve výchozí konfiguraci (výchozí zásady). Pro brány sítě VPN založené na trasách a vytvořené pomocí modelu nasazení správy prostředků Azure můžete zadat vlastní zásadu pro každé jednotlivé připojení. Podrobné pokyny najdete v tématu Konfigurace zásad IPsec/IKE .

Navíc musíte uchytit TCP MSS na 1350. Nebo pokud vaše zařízení VPN nepodporují uchycení MSS, můžete místo toho nastavit MTU na rozhraní tunelu na 1400 bajtů.

V následujících tabulkách:

  • SA je přidružení zabezpečení.
  • IKE fáze 1 se také nazývá „hlavní režim“.
  • IKE fáze 2 se také nazývá „rychlý režim“.

Parametry protokolu IKE fáze 1 (hlavní režim)

Vlastnost PolicyBased RouteBased
Verze IKE IKEv1 IKEv1 a IKEv2
Skupina Diffie-Hellman Skupina 2 (1 024 bitů) Skupina 2 (1 024 bitů)
Metoda ověřování Předsdílený klíč Předsdílený klíč
Algoritmy hashování šifrování & 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
1. AES256, SHA1
2. AES256, SHA256
3. AES128, SHA1
4. AES128, SHA256
5. 3DES, SHA1
6. 3DES, SHA256
Životnost SA 28 800 sekund 28 800 sekund

Parametry protokolu IKE fáze 2 (rychlý režim)

Vlastnost PolicyBased RouteBased
Verze IKE IKEv1 IKEv1 a IKEv2
Algoritmy hashování šifrování & 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
Nabídky RouteBased QM SA
Životnost SA (čas) 3 600 sekund 27 000 sekund
Životnost SA (bajty) 102 400 000 kB 102 400 000 kB
Metoda Perfect Forward Secrecy (PFS) Ne Nabídky RouteBased QM SA
Detekce mrtvých partnerských zařízení (DPD) Nepodporováno Podporováno

Nabídky RouteBased VPN IPsec Security Association (rychlý režim IKE SA)

Následující tabulka uvádí nabídky IPsec SA (rychlý režim IKE). Nabídky jsou uvedeny v pořadí podle preference jejich předávání nebo přijímání.

Služba Azure Gateway jako iniciátor

- Šifrování Authentication Skupina PFS
1 GCM AES256 GCM (AES256) Žádné
2 AES256 SHA1 Žádné
3 3DES SHA1 Žádné
4 AES256 SHA256 Žádné
5 AES128 SHA1 Žádné
6 3DES SHA256 Žádné

Služba Azure Gateway jako respondér

- Šifrování Authentication Skupina PFS
1 GCM AES256 GCM (AES256) Žádné
2 AES256 SHA1 Žádné
3 3DES SHA1 Žádné
4 AES256 SHA256 Žádné
5 AES128 SHA1 Žádné
6 3DES SHA256 Žádné
7 DES SHA1 Žádné
8 AES256 SHA1 1
9 AES256 SHA1 2
10 AES256 SHA1 14
11 AES128 SHA1 1
12 AES128 SHA1 2
13 AES128 SHA1 14
14 3DES SHA1 1
15 3DES SHA1 2
16 3DES SHA256 2
17 AES256 SHA256 1
18 AES256 SHA256 2
19 AES256 SHA256 14
20 AES256 SHA1 24
21 AES256 SHA256 24
22 AES128 SHA256 Žádné
23 AES128 SHA256 1
24 AES128 SHA256 2
25 AES128 SHA256 14
26 3DES SHA1 14
  • U vysokovýkonných bran VPN a bran VPN typu RouteBased můžete zadat šifrování protokolem IPsec s prázdným ESP. Šifrování založené na hodnotě null neposkytuje ochranu přenášených dat a mělo by se používat pouze v případě, že je vyžadována maximální propustnost a minimální latence. Klienti toho mohou využít ve scénářích komunikace typu VNet-to-VNet nebo pokud k šifrování dochází jinde v rámci řešení.
  • Pro připojení mezi různými místy prostřednictvím Internetu použijte výchozí nastavení služby Azure VPN Gateway s šifrováním a algoritmy hash uvedenými v tabulkách výše, abyste zajistili bezpečnost důležité komunikace.

Známé problémy s kompatibilitou zařízení

Důležité

Jsou známy problémy s kompatibilitou mezi zařízeními VPN třetích stran a bránami VPN Azure. Tým Azure aktivně spolupracuje s dodavateli na řešení problémů, které jsou zde uvedeny. Po vyřešení problémů bude tato stránka aktualizována, aby obsahovala nejnovější informace. Pravidelně se sem vracejte.

16. února 2017

Zařízení Palo Alto Networks s verzí starší než 7.1.4 pro síť VPN Azure založenou na směrování: Pokud používáte zařízení VPN z Palo Alto Networks s verzí PAN-OS starší než 7.1.4 a dochází k problémům s připojením k branám VPN Azure založeným na směrování, proveďte následující kroky:

  1. Zkontrolujte verzi firmwaru zařízení Palo Alto Networks. Pokud je verze PAN-OS starší než 7.1.4, proveďte upgrade na verzi 7.1.4.
  2. Na zařízení Palo Alto Networks změňte při připojování k bráně VPN Azure životnost přidružení zabezpečení (SA) Fáze 2 (nebo přidružení zabezpečení rychlého režimu) na 28 800 sekund (8 hodin).
  3. Pokud problémy s připojením přetrvávají, otevřete žádost o podporu z Azure Portal.