Konfigurieren einer IPsec/IKE-Richtlinie für Standort-zu-Standort-VPN-Verbindungen
Dieser Artikel enthält die Schritte zum Konfigurieren einer IPsec/IKE-Richtlinie für S2S-VPN-Verbindungen (Site-to-Site) in Azure Stack Hub.
IPsec- und IKE-Richtlinienparameter für VPN-Gateways
Der IPsec- und IKE-Protokollstandard unterstützt ein breites Spektrum von Kryptografiealgorithmen in verschiedenen Kombinationen. Informationen zu den in Azure Stack Hub für die Erfüllung Ihrer Anforderungen an Compliance oder Sicherheit unterstützten Parametern finden Sie unter IPsec/IKE-Parameter.
Dieser Artikel enthält eine Anleitung zum Erstellen und Konfigurieren einer IPsec/IKE-Richtlinie und zu ihrem Anwenden auf eine neue oder vorhandene Verbindung.
Überlegungen
Beachten Sie die folgenden wichtigen Informationen, wenn Sie diese Richtlinien verwenden:
Die IPsec/IKE-Richtlinie kann nur für die Gateway-SKUs Standard und HighPerformance (routenbasiert) verwendet werden.
Pro Verbindung kann jeweils nur eine Richtlinienkombination angegeben werden.
Sie müssen alle Algorithmen und Parameter für IKE (Hauptmodus) und IPsec (Schnellmodus) angeben. Partielle Richtlinien sind nicht zulässig.
Vergewissern Sie sich in den Spezifikationen Ihres VPN-Geräteanbieters, dass die Richtlinie von Ihren lokalen VPN-Geräten unterstützt wird. Site-to-Site-Verbindungen können nicht hergestellt werden, wenn die Richtlinien inkompatibel sind.
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:
Ein Azure-Abonnement. Wenn Sie noch kein Azure-Abonnement besitzen, können Sie Ihre MSDN-Abonnentenvorteile aktivieren oder sich für ein kostenloses Konto registrieren.
Die Azure Resource Manager-PowerShell-Cmdlets. Weitere Informationen zum Installieren der PowerShell-Cmdlets finden Sie unter Installieren von PowerShell für Azure Stack Hub.
Teil 1: Erstellen und Festlegen der IPsec/IKE-Richtlinie
In diesem Abschnitt werden die Schritte zum Erstellen und Aktualisieren der IPsec/IKE-Richtlinie für eine Site-to-Site-VPN-Verbindung beschrieben:
Erstellen eines virtuellen Netzwerks und eines VPN-Gateways
Erstellen eines Gateways für das lokale Netzwerk für standortübergreifende Verbindungen
Erstellen einer IPsec/IKE-Richtlinie mit ausgewählten Algorithmen und Parametern
Erstellen einer IPsec-Verbindung mit der IPsec/IKE-Richtlinie
Hinzufügen/Aktualisieren/Entfernen einer IPsec/IKE-Richtlinie für eine vorhandene Verbindung
Die Anweisungen in diesem Artikel helfen Ihnen beim Einrichten und Konfigurieren von IPsec/IKE-Richtlinien, wie in der folgenden Abbildung dargestellt:
Teil 2: Unterstützte Kryptografiealgorithmen und Schlüsselstärken
Die folgende Tabelle gibt Aufschluss über die unterstützten Kryptografiealgorithmen und Schlüsselstärken, die in Azure Stack Hub konfiguriert werden können:
| IPsec/IKEv2 | Tastatur |
|---|---|
| IKEv2-Verschlüsselung | AES256, AES192, AES128, DES3, DES |
| IKEv2-Integrität | SHA384, SHA256, SHA1, MD5 |
| DH-Gruppe | ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256*, DHGroup24* |
| IPsec-Verschlüsselung | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, keine |
| IPsec-Integrität | GCMAES256, GCMAES192, GCMAES128, SHA256 |
| PFS-Gruppe | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, Keine |
| QM-SA-Gültigkeitsdauer | (Optional: Wenn kein Wert angegeben wird, werden die Standardwerte verwendet.) Sekunden (ganze Zahl; min. 300/Standard: 27.000 Sekunden) KB (ganze Zahl; min. 1.024/Standard: 102.400.000 KB) |
| Datenverkehrsselektor | Richtlinienbasierte Datenverkehrsselektoren werden in Azure Stack Hub nicht unterstützt. |
Hinweis
Ein zu niedriger Wert für die QM-SA-Gültigkeitsdauer führt zu unnötigen erneuten Schlüsselgenerierungen, was sich negativ auf die Leistung auswirken kann.
* Diese Parameter sind erst in Builds ab 2002 verfügbar.
Ihre lokale VPN-Gerätekonfiguration muss folgenden Algorithmus- und Parameterangaben für die Azure-IPsec-/IKE-Richtlinie entsprechen oder selbige enthalten:
- IKE-Verschlüsselungsalgorithmus (Hauptmodus/Phase 1)
- IKE-Integritätsalgorithmus (Hauptmodus/Phase 1)
- DH-Gruppe (Hauptmodus/Phase 1)
- IPsec-Verschlüsselungsalgorithmus (Schnellmodus/Phase 2)
- IPsec-Integritätsalgorithmus (Schnellmodus/Phase 2)
- PFS-Gruppe (Schnellmodus/Phase 2)
- Bei der SA-Gültigkeitsdauer handelt es sich lediglich um eine lokale Angabe. Diese muss nicht übereinstimmen.
Wenn GCMAES als IPsec-Verschlüsselungsalgorithmus verwendet wird, müssen Sie für die IPsec-Integrität denselben GCMAES-Algorithmus und dieselbe Schlüssellänge auswählen (beispielsweise „GCMAES128“ für beides).
Für die obige Tabelle gilt Folgendes:
- IKEv2 entspricht Hauptmodus oder Phase 1
- IPsec entspricht Hauptmodus oder Phase 2
- Die DH-Gruppe gibt die im Hauptmodus oder in Phase 1 verwendete Diffie-Hellmen-Gruppe an
- Die PFS-Gruppe gibt die im Schnellmodus oder in Phase 2 verwendete Diffie-Hellmen-Gruppe an
Die SA-Gültigkeitsdauer von IKEv2 (Hauptmodus) ist für die Azure Stack Hub-VPN-Gateways auf 28.800 Sekunden festgelegt.
Die folgende Tabelle enthält die entsprechenden Diffie-Hellman-Gruppen, die von der benutzerdefinierten Richtlinie unterstützt werden:
| Diffie-Hellman-Gruppe | DHGroup | PFSGroup | Schlüssellänge |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | 768-Bit-MODP |
| 2 | DHGroup2 | PFS2 | 1024-Bit-MODP |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048-Bit-MODP |
| 19 | ECP256* | ECP256 | 256-Bit-ECP |
| 20 | ECP384 | ECP384 | 384-Bit-ECP |
| 24 | DHGroup24* | PFS24 | 2048-Bit-MODP |
* Diese Parameter sind nur in den Builds 2002 und höher verfügbar.
Weitere Informationen finden Sie unter RFC3526 und RFC5114.
Teil 3: Erstellen einer neuen Site-to-Site-VPN-Verbindung mit einer IPsec/IKE-Richtlinie
In diesem Abschnitt werden die Schritte zum Erstellen einer Site-to-Site-VPN-Verbindung mit einer IPsec/IKE-Richtlinie beschrieben. Mit den folgenden Schritten wird die Verbindung erstellt, wie in der folgenden Abbildung dargestellt:
Eine ausführlichere Anleitung zum Erstellen einer Site-to-Site-VPN-Verbindung finden Sie unter Erstellen einer Site-to-Site-VPN-Verbindung.
Schritt 1: Erstellen des virtuellen Netzwerks, VPN-Gateways und Gateways des lokalen Netzwerks
1. Deklarieren von Variablen
Bei dieser Übung beginnen Sie mit dem Deklarieren der folgenden Variablen. Achten Sie darauf, die Platzhalter durch Ihre eigenen Werte zu ersetzen, wenn Sie die Konfiguration für die Produktion durchführen:
$Sub1 = "<YourSubscriptionName>"
$RG1 = "TestPolicyRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GW1IPName1 = "VNet1GWIP1"
$GW1IPconf1 = "gw1ipconf1"
$Connection16 = "VNet1toSite6"
$LNGName6 = "Site6"
$LNGPrefix61 = "10.61.0.0/16"
$LNGPrefix62 = "10.62.0.0/16"
$LNGIP6 = "131.107.72.22"
2. Herstellen einer Verbindung mit Ihrem Abonnement und Erstellen einer neuen Ressourcengruppe
Stellen Sie sicher, dass Sie in den PowerShell-Modus wechseln, um die Ressourcen-Manager-Cmdlets zu verwenden. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit Azure Stack Hub über PowerShell als Benutzer.
Öffnen Sie die PowerShell-Konsole, und stellen Sie eine Verbindung mit Ihrem Konto her. Beispiel:
Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1
3. Erstellen des virtuellen Netzwerks, VPN-Gateways und Gateways des lokalen Netzwerks
Im folgenden Beispiel wird das virtuelle Netzwerk TestVNet1 zusammen mit drei Subnetzen und dem VPN-Gateway erstellt. Beim Ersetzen der Werte ist es wichtig, dass Sie Ihrem Gatewaysubnetz den Namen GatewaySubnet geben. Wenn Sie einen anderen Namen verwenden, tritt beim Erstellen des Gateways ein Fehler auf.
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" `
-VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 `
-Subnet $subnet1 -PublicIpAddress $gw1pip1
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku VpnGw1
New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 `
-Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix `
$LNGPrefix61,$LNGPrefix62
Schritt 2: Erstellen einer Site-to-Site-VPN-Verbindung mit einer IPsec/IKE-Richtlinie
1. Erstellen Sie eine IPsec/IKE-Richtlinie.
Das Beispielskript erstellt eine IPsec/IKE-Richtlinie mit den folgenden Algorithmen und Parametern:
- IKEv2: AES128, SHA1, DHGroup14
- IPsec: AES256, SHA256, keine, SA-Gültigkeitsdauer 14.400 Sekunden und 102.400.000 KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup none -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
Wenn Sie GCMAES für IPsec verwenden, müssen für die IPsec-Verschlüsselung und -Integrität derselbe GCMAES-Algorithmus und dieselbe Schlüssellänge verwendet werden.
2. Erstellen der Site-to-Site-VPN-Verbindung mit der IPsec/IKE-Richtlinie
Erstellen Sie eine Site-to-Site-VPN-Verbindung, und wenden Sie die zuvor erstellte IPsec/IKE-Richtlinie an:
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'Azs123'
Wichtig
Nachdem für eine Verbindung eine IPsec/IKE-Richtlinie angegeben wurde, sendet bzw. akzeptiert das Azure-VPN-Gateway den IPsec/IKE-Vorschlag mit angegebenen Kryptografiealgorithmen und Schlüsselstärken nur für die jeweilige Verbindung. Achten Sie darauf, dass Ihr lokales VPN-Gerät für die Verbindung die exakte Richtlinienkombination nutzt bzw. akzeptiert, da der Site-to-Site-VPN-Tunnel andernfalls nicht hergestellt werden kann.
Teil 4: Aktualisieren der IPsec/IKE-Richtlinie für eine Verbindung
Im vorherigen Abschnitt wurde gezeigt, wie Sie eine IPsec/IKE-Richtlinie für eine vorhandene Site-to-Site-Verbindung verwalten. In diesem Abschnitt werden die folgenden Vorgänge für eine Verbindung beschrieben:
- Anzeigen der IPsec/IKE-Richtlinie einer Verbindung
- Hinzufügen oder Aktualisieren der IPsec/IKE-Richtlinie für eine Verbindung
- Entfernen der IPsec/IKE-Richtlinie aus einer Verbindung
Hinweis
Die IPsec-/IKE-Richtlinie wird nur für routenbasierte VPN-Gateways vom Typ Standard und HighPerformance unterstützt. Sie funktioniert nicht bei Gateways mit der SKU Basic.
1. Anzeigen der IPsec/IKE-Richtlinie einer Verbindung
Im folgenden Beispiel wird veranschaulicht, wie Sie die für eine Verbindung konfigurierte IPsec/IKE-Richtlinie abrufen. Die Skripts bauen auf den obigen Übungen auf.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Mit dem letzten Befehl wird die aktuelle IPsec/IKE-Richtlinie, die für die Verbindung konfiguriert wurde (sofern vorhanden), aufgelistet. Das folgende Beispiel zeigt eine Beispielausgabe für die Verbindung:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
Wurde keine IPsec/IKE-Richtlinie konfiguriert, generiert der Befehl $connection6.policy eine leere Rückgabe. Dies bedeutet nicht, dass IPsec/IKE nicht für die Verbindung konfiguriert wurde, sondern dass keine benutzerdefinierte IPsec/IKE-Richtlinie vorhanden ist. Für die eigentliche Verbindung wird die Standardrichtlinie verwendet, die zwischen Ihrem lokalen VPN-Gerät und dem Azure-VPN-Gateway ausgehandelt wurde.
2. Hinzufügen oder Aktualisieren einer IPsec/IKE-Richtlinie für eine Verbindung
Die Schritte zum Hinzufügen einer neuen Richtlinie oder Aktualisieren einer vorhandenen Richtlinie für eine Verbindung sind identisch: Erstellen Sie eine neue Richtlinie, und wenden Sie sie anschließend auf die Verbindung an:
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$newpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
$connection6.SharedKey = "AzS123"
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6
Sie können die Verbindung erneut abrufen, um zu überprüfen, ob die Richtlinie aktualisiert wird:
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Die Ausgabe der letzten Zeile sollte wie im folgenden Beispiel aussehen:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
3. Entfernen einer IPsec/IKE-Richtlinie aus einer Verbindung
Nachdem Sie die benutzerdefinierte Richtlinie für eine Verbindung entfernt haben, verwendet das Azure-VPN-Gateway wieder die IPsec/IKE-Standardvorschläge und beginnt eine neue Aushandlung mit Ihrem lokalen VPN-Gerät.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.SharedKey = "AzS123"
$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6
Mit dem gleichen Skript können Sie prüfen, ob die Richtlinie für die Verbindung entfernt wurde.