Konfigurieren einer benutzerdefinierten IPsec-Richtlinie für Virtual WAN über das Portal
Sie können eine benutzerdefinierte IPsec-Richtlinie für eine Virtual WAN-VPN-Verbindung über das Azure-Portal konfigurieren. Benutzerdefinierte Richtlinien sind hilfreich, wenn beide Seiten (lokale und Azure-VPN-Gateways) die gleichen Einstellungen für IKE Phase 1 und IKE Phase 2 verwenden sollen.
Arbeiten mit benutzerdefinierten Richtlinien
Beachten Sie bei der Arbeit mit benutzerdefinierten IPsec-Richtlinien die folgenden Anforderungen:
- IKE: Für IKE können Sie einen beliebigen Parameter aus der IKE-Verschlüsselung, einen beliebigen Parameter aus der IKE-Integrität sowie einen beliebigen Parameter aus der DH-Gruppe auswählen.
- IPsec: Für IPsec können Sie einen beliebigen Parameter aus der IPsec-Verschlüsselung, einen beliebigen Parameter aus der IPsec-Integrität sowie PFS auswählen. Falls einer der Parameter für die IPsec-Verschlüsselung oder die IPsec-Integrität GCM ist, müssen die Parameter für beide Einstellungen GCM sein.
Die benutzerdefinierte Standardrichtlinie umfasst SHA-1, DHGroup2 und 3DES aus Gründen der Abwärtskompatibilität. Dies sind schwächere Algorithmen, die beim Erstellen einer benutzerdefinierten Richtlinie nicht unterstützt werden. Es wird empfohlen, nur die folgenden Algorithmen zu verwenden:
Verfügbare Einstellungen und Parameter
| Einstellung | Parameter |
|---|---|
| IKE-Verschlüsselung | GCMAES256, GCMAES128, AES256, AES128 |
| IKE-Integrität | SHA384, SHA256 |
| DH-Gruppe | ECP384, ECP256, DHGroup24, DHGroup14 |
| IPsec-Verschlüsselung | GCMAES256, GCMAES128, AES256, AES128, Keine |
| IPsec-Integrität | GCMAES256, GCMAES128, SHA256 |
| PFS-Gruppe | ECP384, ECP256, PFS24, PFS14, Keine |
| SA-Gültigkeitsdauer | Integer, min. 300/Standard: 3600 Sekunden |
Konfigurieren einer Richtlinie
Suchen Sie den virtuellen Hub. Navigieren Sie im Azure-Portal zu Ihrer Virtual WAN-Ressource, und suchen Sie den virtuellen Hub, mit dem Ihr VPN-Standort verbunden ist.
Wählen Sie den VPN-Standort aus. Klicken Sie auf der Seite „Übersicht“ des Hubs auf VPN (Site-to-Site) , und wählen Sie den VPN-Standort aus, für den Sie eine benutzerdefinierte IPSec-Richtlinie einrichten möchten.
Bearbeiten Sie die VPN-Verbindung. Wählen Sie im Kontextmenü zuerst ... und dann VPN-Verbindung bearbeiten aus.
Konfigurieren Sie die Einstellungen. Ändern Sie auf der Seite VPN-Verbindung bearbeiten die IPSec-Einstellung von der Standardeinstellung in „Benutzerdefiniert“, und passen Sie die IPSec-Richtlinie an. Klicken Sie auf Save (Speichern), um Ihre Einstellungen zu speichern.
Nächste Schritte
Weitere Informationen zu Virtual WAN finden Sie auf der Seite mit der Übersicht über Virtual WAN.