Konfigurieren von benutzerdefinierten IPsec-/IKE-Verbindungsrichtlinien für S2S-VPN und VNet-to-VNet: Azure-Portal
In diesem Artikel werden die Schritte zum Konfigurieren der IPsec-/IKE-Richtlinie für Site-to-Site-VPN- oder VNET-zu-VNET-Verbindungen in VPN Gateway über das Azure-Portal beschrieben. Die folgenden Abschnitte erläutern das Erstellen und Konfigurieren einer IPsec-/IKE-Richtlinie und zum Anwenden auf eine neue oder vorhandene Verbindung.
Workflow
Die Anweisungen in diesem Artikel helfen Ihnen beim Einrichten und Konfigurieren von IPsec/IKE-Richtlinien, wie in der folgenden Abbildung dargestellt:
- Erstellen eines virtuellen Netzwerks und eines VPN-Gateways
- Erstellen eines Gateways des lokalen Netzwerks für eine standortübergreifende Verbindung oder eines anderen virtuellen Netzwerks und Gateways für eine VNET-zu-VNET-Verbindung
- Erstellen Sie eine Verbindung (IPsec oder VNET-to-VNET).
- Konfigurieren/aktualisieren/entfernen Sie die IPsec-/IKE-Richtlinie für die Verbindungsressourcen.
Richtlinienparameter
Der IPsec- und IKE-Protokollstandard unterstützt ein breites Spektrum von Kryptografiealgorithmen in verschiedenen Kombinationen. Informationen dazu, wie Sie damit erreichen können, dass die standortübergreifende und VNET-zu-VNET-Konnektivität Ihre Konformitäts- oder Sicherheitsanforderungen erfüllt, finden Sie unter Kryptografische Anforderungen und Azure-VPN-Gateways. Beachten Sie die folgenden Aspekte:
- Die IPsec-/IKE-Richtlinie kann nur für folgende Gateway-SKUs verwendet werden:
- VpnGw1–5 und VpnGw1AZ–5AZ
- Standard und HighPerformance
- Pro Verbindung kann jeweils nur eine Richtlinienkombination angegeben werden.
- Sie müssen alle Algorithmen und Parameter für IKE (Hauptmodus) und IPsec (Schnellmodus) angeben. Eine teilweise Angabe von Richtlinien ist unzulässig.
- Vergewissern Sie sich in den Spezifikationen Ihres VPN-Geräteanbieters, dass die Richtlinie von Ihren lokalen VPN-Geräten unterstützt wird. S2S- bzw. VNet-zu-VNet-Verbindungen können nicht hergestellt werden, wenn die Richtlinien inkompatibel sind.
Kryptografiealgorithmen und Schlüsselstärken
Die folgende Tabelle gibt Aufschluss über die unterstützten konfigurierten Kryptografiealgorithmen und Schlüsselstärken.
IPsec/IKEv2 | Optionen |
---|---|
IKEv2-Verschlüsselung | GCMAES256, GCMAES128, AES256, AES192, AES128 |
IKEv2-Integrität | SHA384, SHA256, SHA1, MD5 |
DH-Gruppe | DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, keine |
IPsec-Verschlüsselung | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, keine |
IPsec-Integrität | GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5 |
PFS-Gruppe | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, keine |
Lebensdauer der Schnellmodus-SA | (Optional; Standardwerte, falls nicht angegeben) Sekunden (ganze Zahl; mindestens 300, Standardwert: 27.000) Kilobyte (ganze Zahl; mindestens 1.024, Standardwert: 10.2400.000) |
Datenverkehrsselektor | UsePolicyBasedTrafficSelectors ($True oder $False , aber optional; Standardwert $False , wenn nicht angegeben) |
DPD-Timeout | Sekunden (ganze Zahl; mindestens 9, maximal 3.600, Standardwert: 45) |
Ihre lokale VPN-Gerätekonfiguration muss folgenden Algorithmus- und Parameterangaben für die Azure-IPsec- oder IKE-Richtlinie entsprechen oder selbige enthalten:
- IKE-Verschlüsselungsalgorithmus (Hauptmodus, Phase 1)
- IKE-Integritätsalgorithmus (Hauptmodus, Phase 1)
- DH-Gruppe (Hauptmodus, Phase 1)
- IPSec-Verschlüsselungsalgorithmus (Schnellmodus, Phase 2)
- IPSec-Integritätsalgorithmus (Schnellmodus, Phase 2)
- PFS-Gruppe (Schnellmodus, Phase 2)
- Datenverkehrsauswahl (bei Verwendung von
UsePolicyBasedTrafficSelectors
) - SA-Lebensdauer (lokale Spezifikationen, die nicht übereinstimmen müssen)
Wenn Sie GCMAES als IPsec-Verschlüsselungsalgorithmus verwenden, müssen Sie denselben GCMAES-Algorithmus und dieselbe Schlüssellänge für die IPsec-Integrität auswählen. Verwenden Sie beispielsweise GCMAES128 für beide.
In der Tabelle mit Algorithmen und Schlüsseln:
- IKE entspricht Hauptmodus oder Phase 1.
- IPsec entspricht Hauptmodus oder Phase 2
- Die DH-Gruppe gibt die im Hauptmodus oder in Phase 1 verwendete Diffie-Hellman-Gruppe an.
- Die PFS-Gruppe gibt die im Schnellmodus oder in Phase 2 verwendete Diffie-Hellman-Gruppe an.
Die SA-Gültigkeitsdauer des IKE-Hauptmodus ist für die Azure-VPN-Gateways auf 28.800 Sekunden festgelegt.
UsePolicyBasedTrafficSelectors
ist ein optionaler Parameter für die Verbindung. Wenn SieUsePolicyBasedTrafficSelectors
für eine Verbindung auf$True
festgelegt haben, wird das VPN-Gateway so konfiguriert, dass eine Verbindung mit einer lokalen richtlinienbasierten VPN-Firewall hergestellt wird.Wenn Sie
UsePolicyBasedTrafficSelectors
aktivieren, müssen Sie sicherstellen, dass für Ihr VPN-Gerät die entsprechenden Datenverkehrsselektoren mit allen Präfixkombinationen zwischen Ihrem lokalen Netzwerk (lokalen Netzwerkgateway) und den Präfixen des virtuellen Azure-Netzwerks definiert sind (anstelle von Any-to-Any). Das VPN-Gateway akzeptiert die vom Remote-VPN-Gateway vorgeschlagene Datenverkehrsauswahl unabhängig von der Konfiguration des VPN-Gateways.Wenn die Präfixe Ihres lokalen Netzwerks also beispielsweise 10.1.0.0/16 und 10.2.0.0/16 lauten und für Ihr virtuelles Netzwerk die Präfixe 192.168.0.0/16 und 172.16.0.0/16 verwendet werden, müssen folgende Datenverkehrsselektoren angegeben werden:
- 10.1.0.0/16 <====> 192.168.0.0/16
- 10.1.0.0/16 <====> 172.16.0.0/16
- 10.2.0.0/16 <====> 192.168.0.0/16
- 10.2.0.0/16 <====> 172.16.0.0/16
Weitere Informationen zu richtlinienbasierten Datenverkehrsselektoren finden Sie unter Herstellen einer Verbindung zwischen VPN-Gateways und mehreren lokalen richtlinienbasierten VPN-Geräten.
Wenn Sie das Timeout auf einen kürzeren Zeitraum festlegen, wird die Neuverschlüsselung von IKE aggressiver durchgeführt. In manchen Fällen kann die Verbindung dann scheinbar unterbrochen werden. Diese Situation ist möglicherweise nicht wünschenswert, wenn Ihre lokalen Standorte weiter von der Azure-Region entfernt sind, in der sich das VPN-Gateway befindet, oder wenn der Zustand der physischen Verbindung zu Paketverlusten führen könnte. Im Allgemeinen wird empfohlen, für das Timeout einen Wert zwischen 30 und 45 Sekunden festzulegen.
Hinweis
IKEv2-Integrität wird sowohl für Integrität als auch für PRF (Pseudo-Random Function) verwendet. Wenn der angegebene IKEv2-Verschlüsselungsalgorithmus GCM* ist, wird der in der IKEv2-Integrität übergebene Wert nur für PRF verwendet, und implizit legen wir die IKEv2-Integrität auf GCM* fest. In allen anderen Fällen wird der in der IKEv2-Integrität übergebene Wert sowohl für die IKEv2-Integrität als auch für PRF verwendet.
Diffie-Hellman-Gruppen
In der folgende Tabelle sind die entsprechenden Diffie-Hellman-Gruppen aufgeführt, die von der benutzerdefinierten Richtlinie unterstützt werden:
Diffie-Hellman-Gruppe | DHGroup | PFSGroup | Schlüssellänge |
---|---|---|---|
1 | DHGroup1 | PFS1 | 768-Bit-MODP |
2 | DHGroup2 | PFS2 | 1024-Bit-MODP |
14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048-Bit-MODP |
19 | ECP256 | ECP256 | 256-Bit-ECP |
20 | ECP384 | ECP384 | 384-Bit-ECP |
24 | DHGroup24 | PFS24 | 2048-Bit-MODP |
Weitere Informationen finden Sie unter RFC3526 und RFC5114.
Erstellen von S2S VPN-Verbindungen mithilfe einer benutzerdefinierten Richtlinie
In diesem Abschnitt werden die Schritte zum Erstellen einer Site-to-Site-VPN-Verbindung mit einer IPsec-/IKE-Richtlinie beschrieben. Mit den folgenden Schritten wird die Verbindung erstellt, wie in der folgenden Abbildung dargestellt. Die lokale Site in diesem Diagramm stellt Site6 dar.
Schritt 1: Erstellen des virtuellen Netzwerks, VPN-Gateways und lokalen Netzwerkgateways für TestVNet1
Erstellen Sie die folgenden Ressourcen. Die einzelnen Schritte finden Sie unter Erstellen einer Site-to-Site-VPN-Verbindung.
Erstellen Sie das virtuelle Netzwerk TestVNet1 mit den folgenden Werten.
- Ressourcengruppe: TestRG1
- Name: TestVNet1
- Region: (USA) USA, Osten
- IPv4-Adressraum: 10.1.0.0/16
- Name von Subnetz 1: FrontEnd
- Adressbereich von Subnetz 1: 10.1.0.0/24
- Name von Subnetz 2: BackEnd
- Adressbereich von Subnetz 2: 10.1.1.0/24
Erstellen Sie das Gateway VNet1GW für das virtuelle Netzwerk mit den folgenden Werten.
- Name: VNet1GW
- Region: East US
- Gatewaytyp: VPN
- VPN-Typ: Routenbasiert
- SKU: VpnGw2
- Generation: Generation 2
- Virtuelles Netzwerk: VNet1
- Adressbereich für Gatewaysubnetz: 10.1.255.0/27
- Typ der öffentlichen IP-Adresse: Basic oder Standard
- Öffentliche IP-Adresse: Neu erstellen
- Öffentliche IP-Adresse: VNet1GWpip
- Aktiv/Aktiv-Modus aktivieren: Deaktiviert
- BGP konfigurieren: Deaktiviert
Schritt 2: Konfigurieren des lokalen Netzwerkgateways und der Verbindungsressourcen
Erstellen Sie das lokale Netzwerkgateway Site6 mit den folgenden Werten.
- Name: Site6
- Ressourcengruppe: TestRG1
- Standort: East US
- IP-Adresse des lokalen Gateways: 5.4.3.2 (nur Beispielwert – verwenden Sie die IP-Adresse Ihres lokalen Geräts)
- Adressräume 10.61.0.0/16, 10.62.0.0/16 (nur Beispielwert)
Fügen Sie über das Gateway des virtuellen Netzwerks eine Verbindung mit dem lokalen Netzwerkgateway unter Verwendung der folgenden Werte hinzu.
- Verbindungsname: VNet1toSite6
- Verbindungstyp: IPsec
- Lokales Netzwerkgateway: Site6
- Freigegebener Schlüssel: abc123 (Beispielwert – muss mit dem verwendeten lokalen Geräteschlüssel übereinstimmen)
- IKE-Protokoll: IKEv2
Schritt 3: Konfigurieren der IPsec/IKE-Richtlinie für die S2S-VPN-Verbindung
Konfigurieren Sie eine benutzerdefinierte IPsec-/IKE-Richtlinie mit den folgenden Algorithmen und Parametern:
- IKE-Phase 1: AES256, SHA384, DHGroup24
- IKE Phase 2 (IPsec): AES256, SHA256, PFS None
- IPsec SA-Lebensdauer in KB: 102400000
- IPsec SA-Lebensdauer in Sekunden: 30000
- DPD-Timeout: 45 Sekunden
Navigieren Sie zu der Verbindungsressource, die Sie erstellt haben, VNet1toSite6. Öffnen Sie die Seite Konfiguration. Wählen Sie die benutzerdefinierte IPsec/IKE-Richtlinie aus, um alle Konfigurationsoptionen anzuzeigen. Der nachstehende Screenshot zeigt die Konfiguration entsprechend der Liste:
Wenn Sie GCMAES für IPsec verwenden, müssen für die IPsec-Verschlüsselung und -Integrität derselbe GCMAES-Algorithmus und dieselbe Schlüssellänge verwendet werden. Der folgende Screenshot gibt z. B. sowohl für IPsec-Verschlüsselung als auch für IPsec-Integrität „GCMAES128“ an:
Wenn Sie dem Azure-VPN-Gateway das Herstellen richtlinienbasierter Verbindungen mit lokalen VPN-Geräten ermöglichen möchten, können Sie für die Option Richtlinienbasierte Datenverkehrsselektoren verwendenAktivieren auswählen.
Nachdem Sie alle Optionen ausgewählt haben, wählen Sie Speichern aus, um die Änderungen an der Verbindungsressource zu übernehmen. Die Richtlinie wird in ungefähr einer Minute erzwungen.
Wichtig
Nachdem für eine Verbindung eine IPsec/IKE-Richtlinie angegeben wurde, sendet bzw. akzeptiert das Azure-VPN-Gateway den IPsec/IKE-Vorschlag mit angegebenen Kryptografiealgorithmen und Schlüsselstärken nur für die jeweilige Verbindung. Stellen Sie sicher, dass Ihr lokales VPN-Gerät für die Verbindung die exakte Richtlinienkombination nutzt bzw. akzeptiert, da der S2S-VPN-Tunnel andernfalls nicht hergestellt wird.
Die Optionen Richtlinienbasierter Datenverkehrsselektor und DPD-Timeout können mit der Richtlinie Standard angegeben werden, ohne die benutzerdefinierte IPsec/IKE-Richtlinie.
Erstellen einer VNET-zu-VNET-Verbindung mit einer benutzerdefinierten Richtlinie
Die Schritte zum Erstellen einer VNET-zu-VNET-Verbindung mit einer IPsec-/IKE-Richtlinie ähneln denen für eine S2S-VPN-Verbindung. Sie müssen die vorherigen Abschnitte unter Erstellen einer S2S-VPN-Verbindung abschließen, um TestVNet1 und das VPN-Gateway zu erstellen und zu konfigurieren.
Schritt 1: Erstellen des virtuellen Netzwerks, VPN-Gateways und lokalen Netzwerkgateways für TestVNet2
Erstellen Sie TestVNet2 mithilfe der Schritte im Artikel Erstellen einer VNet-zu-VNet-Verbindung, und erstellen Sie eine VNet-zu-VNet-Verbindung mit TestVNet1.
Beispielwerte:
Virtuelles Netzwerk TestVNet2
- Ressourcengruppe: TestRG2
- Name: TestVNet2
- Region: (USA) USA, Westen
- IPv4-Adressraum: 10.2.0.0/16
- Name von Subnetz 1: FrontEnd
- Adressbereich von Subnetz 1: 10.2.0.0/24
- Name von Subnetz 2: BackEnd
- Adressbereich von Subnetz 2: 10.2.1.0/24
VPN-Gateway: VNet2GW
- Name: VNet2GW
- Region: USA, Westen
- Gatewaytyp: VPN
- VPN-Typ: Routenbasiert
- SKU: VpnGw2
- Generation: Generation 2
- Virtuelles Netzwerk: TestVNet2
- Adressbereich des Gatewaysubnetzes: 10.2.255.0/27
- Typ der öffentlichen IP-Adresse: Basic oder Standard
- Öffentliche IP-Adresse: Neu erstellen
- Name der öffentlichen IP-Adresse: VNet2GWpip
- Aktiv/Aktiv-Modus aktivieren: Disabled
- BGP konfigurieren: Deaktiviert
Schritt 2: Konfigurieren der VNet-zu-VNet-Verbindung
Fügen Sie über das VNet1GW-Gateway eine VNet-zu-VNet-Verbindung zu VNet2GW mit dem Namen VNet1toVNet2 hinzu.
Fügen Sie als Nächstes über VNet2GW eine VNet-zu-VNet-Verbindung zu VNet1GW mit dem Namen VNet2toVNet1 hinzu.
Nachdem Sie die Verbindungen hinzugefügt haben, werden die VNet-zu-VNet-Verbindungen angezeigt, wie im folgenden Screenshot der VNet2GW-Ressource gezeigt:
Schritt 3: Konfigurieren einer benutzerdefinierten IPsec/IKE-Richtlinie in VNet1toVNet2
Navigieren Sie in der VNet1toVNet2-Verbindungsressource zur Seite Konfiguration.
Wählen Sie Benutzerdefiniert für die IPsec-/IKE-Richtlinie aus, um die benutzerdefinierten Richtlinienoptionen anzuzeigen. Wählen Sie die Kryptografiealgorithmen mit den entsprechenden Schlüssellängen aus. Diese Richtlinie muss nicht mit der vorherigen Richtlinie übereinstimmen, die Sie für die VNet1toSite6-Verbindung erstellt haben.
Beispielwerte:
- IKE-Phase 1: AES128, SHA1, DHGroup14
- IKE-Phase 2 (IPsec): GCMAES128, GCMAES128, PFS2048
- IPsec SA-Lebensdauer in KB: 102400000
- IPsec SA-Lebensdauer in Sekunden: 14400
- DPD-Timeout: 45 Sekunden
Wählen Sie oben auf der Seite Speichern aus, um die Richtlinienänderungen auf die Verbindungsressource anzuwenden.
Schritt 4: Konfigurieren einer benutzerdefinierten IPsec/IKE-Richtlinie in VNet2toVNet1
Wenden Sie dieselbe Richtlinie auf die VNet2toVNet1-Verbindung (VNet2toVNet1) an. Andernfalls kann keine Verbindung für den IPsec-/IKE-VPN-Tunnel hergestellt werden, da die Richtlinie nicht übereinstimmt.
Wichtig
Nachdem für eine Verbindung eine IPsec/IKE-Richtlinie angegeben wurde, sendet bzw. akzeptiert das Azure-VPN-Gateway den IPsec/IKE-Vorschlag mit angegebenen Kryptografiealgorithmen und Schlüsselstärken nur für die jeweilige Verbindung. Stellen Sie sicher, dass die IPsec-Richtlinien für beide Verbindungen identisch sind, da die VNet-zu-VNet-Verbindung ansonsten nicht hergestellt wird.
Nachdem Sie diese Schritte ausgeführt haben, wird die Verbindung innerhalb weniger Minuten hergestellt, und Sie verfügen über die folgende Netzwerktopologie.
So entfernen Sie eine benutzerdefinierte Richtlinie aus einer Verbindung
- Zum Entfernen einer benutzerdefinierten Richtlinie aus einer Verbindung wechseln Sie zur Verbindungsressource.
- Ändern Sie auf der Seite Konfiguration die IP/IKE-Richtlinie von Benutzerdefiniert in Standard. Dadurch werden alle zuvor für die Verbindung angegebenen benutzerdefinierten Richtlinien entfernt und die IPsec-/IKE-Standardeinstellungen für diese Verbindung wieder hergestellt.
- Wählen Sie Speichern aus, um die benutzerdefinierte Richtlinie zu entfernen und die IPsec-/IKE-Standardeinstellungen für die Verbindung wiederherzustellen.
Häufig gestellte Fragen zur IPsec/IKE-Richtlinie
Um häufig gestellte Fragen anzuzeigen, wechseln Sie zum Abschnitt „IPsec/IKE-Richtlinie“ der häufig gestellten Fragen zu VPN Gateway.
Nächste Schritte
Weitere Informationen zu richtlinienbasierten Datenverkehrsselektoren finden Sie unter Herstellen einer Verbindung zwischen Azure-VPN-Gateways und mehreren lokalen richtlinienbasierten VPN-Geräten mit PowerShell.