Informationen zu VPN-Geräten und IPsec-/IKE-Parametern für VPN-Gatewayverbindungen zwischen Standorten.

Sie benötigen ein VPN-Gerät, um eine standortübergreifende S2S-VPN-Verbindung (Site-to-Site) per VPN Gateway zu konfigurieren. Standort-zu-Standort-Verbindungen können zum Erstellen einer Hybridlösung verwendet werden. Sie können sie auch zum Herstellen von sicheren Verbindungen zwischen Ihren lokalen Netzwerken und den virtuellen Netzwerken verwenden. Dieser Artikel enthält eine Liste mit überprüften VPN-Geräten und eine Liste mit IPsec-/IKE-Parametern für VPN-Gateways.

Wichtig

Bei Verbindungsproblemen zwischen Ihren lokalen VPN-Geräten und VPN-Gateways helfen Ihnen die Informationen unter Bekannte Probleme mit der Gerätekompatibilität weiter.

Was Sie beim Anzeigen der Tabellen beachten sollten:

  • Die Terminologie für Azure-VPN-Gateways wurde geändert. Die Änderung betrifft nur die Namen. Dies ist nicht mit einer Änderung der Funktionalität verbunden.
    • Statisches Routing = Richtlinienbasiert (PolicyBased)
    • Dynamisches Routing = Routenbasiert (RouteBased)
  • Die Spezifikationen für Hochleistungs-VPN-Gateways und routenbasierte VPN-Gateways bleiben unverändert, sofern nicht anders angegeben. Beispielsweise sind die überprüften VPN-Geräte, die mit den routenbasierten VPN-Gateways kompatibel sind, auch mit dem Hochleistungs-VPN-Gateway kompatibel.

Überprüfte VPN-Geräte und Konfigurationshandbücher für Geräte

Wir haben in Zusammenarbeit mit Geräteherstellern eine Reihe von VPN-Standardgeräten getestet. Alle Geräte der in der folgenden Liste aufgeführten Gerätefamilien sollten mit VPN-Gateways kompatibel sein. Informationen zur Verwendung des VPN-Typs (richtlinienbasiert oder routenbasiert) für die VPN-Gatewaylösung, die Sie konfigurieren möchten, finden Sie unter Informationen zu VPN Gateway-Einstellungen.

Hilfreiche Informationen zur Konfiguration des VPN-Geräts finden Sie unter den Links für die entsprechende Gerätefamilie. Die Links zu den Konfigurationsanleitungen werden nach bestem Wissen bereitgestellt. Support für VPN-Geräte erhalten Sie vom jeweiligen Gerätehersteller.

Hersteller Gerätefamilie Betriebssystemversion (Min.) PolicyBased-Konfiguration – Anleitung RouteBased-Konfiguration – Anleitung
A10 Networks, Inc. Thunder CFW ACOS 4.1.1 Nicht kompatibel Konfigurationshandbuch
AhnLab TrusGuard TG 2.7.6
TG 3.5.x
Nicht getestet Konfigurationshandbuch
Allied Telesis VPN-Router der AR-Serie AR-Serie 5.4.7+ Konfigurationshandbuch Konfigurationshandbuch
Arista CloudEOS-Router vEOS 4.24.0FX Nicht getestet Konfigurationshandbuch
Barracuda Networks, Inc. Barracuda CloudGen Firewall PolicyBased: 5.4.3
RouteBased: 6.2.0
Konfigurationshandbuch Konfigurationshandbuch
Check Point Sicherheitsgateway R80.10 Konfigurationshandbuch Konfigurationshandbuch
Cisco ASA 8.3
8.4+ (IKEv2* )
Unterstützt Konfigurationshandbuch *
Cisco ASR PolicyBased: IOS 15.1
RouteBased: IOS 15.2
Unterstützt Unterstützt
Cisco CSR RouteBased: IOS-XE 16.10 Nicht getestet Konfigurationsskript
Cisco ISR PolicyBased: IOS 15.0
RouteBased*: IOS 15.1
Unterstützt Unterstützt
Cisco Meraki (MX) MX v15.12 Nicht kompatibel Konfigurationshandbuch
Cisco vEdge (Viptela-Betriebssystem) 18.4.0 (Aktiv/Passiv-Modus)

19.2 (Aktiv/Aktiv-Modus)
Nicht kompatibel Manuelle Konfiguration (aktiv/passiv)

Cloudeinstiegskonfiguration (aktiv/aktiv)
Citrix NetScaler MPX, SDX, VPX ab 10.1 Konfigurationshandbuch Nicht kompatibel
F5 BIG-IP-Serie 12.0 Konfigurationshandbuch Konfigurationshandbuch
Fortinet FortiGate FortiOS 5.6 Nicht getestet Konfigurationshandbuch
Fujitsu Si-R G Serie V04: V04.12
V20: V20.14
Konfigurationshandbuch Konfigurationshandbuch
Hillstone Networks Next-Gen Firewalls (NGFW) 5.5R7 Nicht getestet Konfigurationshandbuch
Internet Initiative Japan (IIJ) SEIL-Serie SEIL/X 4.60
SEIL/B1 4.60
SEIL/x86 3.20
Konfigurationshandbuch Nicht kompatibel
Juniper SRX PolicyBased: JunOS 10.2
Routebased: JunOS 11.4
Unterstützt Konfigurationsskript
Juniper J-Serie PolicyBased: JunOS 10.4r9
RouteBased: JunOS 11.4
Unterstützt Konfigurationsskript
Juniper ISG ScreenOS 6.3 Unterstützt Konfigurationsskript
Juniper SSG ScreenOS 6.2 Unterstützt Konfigurationsskript
Juniper MX JunOS 12.x Unterstützt Konfigurationsskript
Microsoft Routing- und RAS-Dienst Windows Server 2012 Nicht kompatibel Unterstützt
Open Systems AG Mission Control Security Gateway Konfigurationshandbuch Nicht kompatibel
Palo Alto Networks Alle Geräte mit PAN-OS 5.0 PAN-OS
PolicyBased: 6.1.5 oder höher
RouteBased: 7.1.4
Unterstützt Konfigurationshandbuch
Sentrium (Entwickler) VyOS VyOS 1.2.2 Nicht getestet Konfigurationshandbuch
ShareTech UTM der nächsten Generation (NU-Serie) 9.0.1.3 Nicht kompatibel Konfigurationshandbuch
SonicWall TZ-Serie, NSA-Serie
SuperMassive-Serie
E-Class-NSA-Serie
SonicOS 5.8.x
SonicOS 5.9.x
SonicOS 6.x
Nicht kompatibel Konfigurationshandbuch
Sophos XG-Firewall der nächsten Generation XG v17 Nicht getestet Konfigurationshandbuch

Configuration guide - Multiple SAs (Konfigurationshandbuch: Mehrere SAs)
Synology MR2200ac
RT2600ac
RT1900ac
SRM1.1.5/VpnPlusServer-1.2.0 Nicht getestet Konfigurationshandbuch
Ubiquiti EdgeRouter EdgeOS v1.10 Nicht getestet BGP über IKEv2/IPsec

VTI über IKEv2/IPsec
Ultra 3E-636L3 5.2.0.T3 Build 13 Nicht getestet Konfigurationsleitfaden
WatchGuard All Fireware XTM
PolicyBased: v11.11.x
RouteBased: v11.12.x
Konfigurationshandbuch Konfigurationshandbuch
Zyxel ZyWALL USG-Serie
ZyWALL ATP-Serie
ZyWALL VPN-Serie
ZLD v4.32+ Nicht getestet VTI über IKEv2/IPsec

BGP über IKEv2/IPsec

Hinweis

( * ) Die Cisco ASA-Version 8.4 und höhere Versionen fügen IKEv2-Unterstützung hinzu und können mithilfe der benutzerdefinierten IPsec-/IKE-Richtlinie mit der Option „UsePolicyBasedTrafficSelectors“ eine Verbindung mit Azure VPN Gateway herstellen. Informationen finden Sie in diesem Artikel mit Anleitungen.

( ** ) Router der Serie ISR 7200 unterstützen nur richtlinienbasierte VPNs.

Herunterladen von Konfigurationsskripts für ein VPN-Gerät von Azure

Für bestimmte Geräte können direkt von Azure Konfigurationsskripts heruntergeladen werden. Weitere Informationen und Downloadanweisungen finden Sie unter Herunterladen von VPN-Gerätekonfigurationsskripts für S2S-VPN-Verbindungen.

Geräte mit verfügbaren Konfigurationsskripts

Hersteller Gerätefamilie Firmwareversion
Cisco ISR IOS 15.1 (Vorschau)
Cisco ASA ASA ( * ) RouteBased (IKEv2 – ohne BGP) für ASA unter 9.8
Cisco ASA ASA RouteBased (IKEv2 – ohne BGP) für ASA 9.8 und höher
Juniper SRX_GA 12.x
Juniper SSG_GA ScreenOS 6.2.x
Juniper JSeries_GA JunOS 12.x
Juniper SRX JunOS 12.x RouteBased BGP
Ubiquiti EdgeRouter EdgeOS v1.10x RouteBased VTI
Ubiquiti EdgeRouter EdgeOS v1.10x RouteBased BGP

Hinweis

(*) Erforderlich: NarrowAzureTrafficSelectors (Option „UsePolicyBasedTrafficSelectors“ aktivieren) und CustomAzurePolicies (IKE/IPsec)

Nicht überprüfte VPN-Geräte

Falls Ihr Gerät nicht in der Tabelle mit den überprüften VPN-Geräten enthalten ist, kann es unter Umständen für eine Site-to-Site-Verbindung verwendet werden. Zusätzliche Unterstützung und Konfigurationsanweisungen erhalten Sie vom Gerätehersteller.

Bearbeiten der Gerätekonfigurationsvorlagen

Nachdem Sie die bereitgestellte Konfigurationsvorlage für das VPN-Gerät heruntergeladen haben, müssen Sie einige der Werte entsprechend den Einstellungen Ihrer Umgebung ersetzen.

So bearbeiten Sie eine Vorlage:

  1. Öffnen Sie die Vorlage im Editor.
  2. Suchen Sie alle <text>-Zeichenfolgen, und ersetzen Sie sie durch die Werte, die für Ihre Umgebung gelten. Achten Sie darauf, auch die spitzen Klammern < und > anzugeben. Wenn ein Name angegeben ist, sollte der ausgewählte Name eindeutig sein. Sehen Sie zuerst in der Dokumentation des Geräteherstellers nach, falls ein Befehl nicht funktioniert.
Vorlagentext Ändern in
<RP_OnPremisesNetwork> Der von Ihnen gewählte Name für dieses Objekt. Beispiel: meinLokalesNetzwerk
<RP_AzureNetwork> Der von Ihnen gewählte Name für dieses Objekt. Beispiel: meinAzureNetzwerk
<RP_AccessList> Der von Ihnen gewählte Name für dieses Objekt. Beispiel: meineAzureZugriffsliste
<RP_IPSecTransformSet> Der von Ihnen gewählte Name für dieses Objekt. Beispiel: meinIPSecTransformSet
<RP_IPSecCryptoMap> Der von Ihnen gewählte Name für dieses Objekt. Beispiel: meineIPSecKryptoMap
<SP_AzureNetworkIpRange> Geben Sie den Bereich an. Beispiel: 192.168.0.0
<SP_AzureNetworkSubnetMask> Geben Sie die Subnetzmaske an. Beispiel: 255.255.0.0
<SP_OnPremisesNetworkIpRange> Geben Sie den lokalen Bereich an. Beispiel: 10.2.1.0
<SP_OnPremisesNetworkSubnetMask> Geben Sie die lokale Subnetzmaske an. Beispiel: 255.255.255.0
<SP_AzureGatewayIpAddress> Diese Informationen gelten nur für Ihr virtuelles Netzwerk und befinden sich im Verwaltungsportal unter Gateway-IP-Adresse.
<SP_PresharedKey> Diese Informationen gelten nur für Ihr virtuelles Netzwerk und befinden sich im Verwaltungsportal unter "Schlüssel verwalten".

IPsec-/IKE-Standardparameter

Die folgenden Tabellen enthalten die Kombinationen aus Algorithmen und Parametern, die von Azure-VPN-Gateways in der Standardkonfiguration verwendet werden (Standardrichtlinien). Für routenbasierte VPN-Gateways, die mit dem Azure Resource Manager-Bereitstellungsmodell erstellt wurden, können Sie für jede einzelne Verbindung eine benutzerdefinierte Richtlinie angeben. Ausführliche Anweisungen finden Sie unter Konfigurieren der IPsec/IKE-Richtlinie.

Darüber hinaus müssen Sie TCP MSS mit 1350 verknüpfen. Wenn Ihre VPN-Geräte MSS-Clamping nicht unterstützen, können Sie stattdessen auch den MTU-Wert der Tunnelschnittstelle auf 1400 Bytes festlegen.

Für die folgenden Tabellen gilt:

  • SA = Sicherheitszuordnung
  • IKE-Phase 1 wird auch als „Hauptmodus“ bezeichnet.
  • IKE-Phase 2 wird auch als „Schnellmodus“ bezeichnet.

Parameter der IKE-Phase 1 (Hauptmodus)

Eigenschaft PolicyBased RouteBased
IKE-Version IKEv1 IKEv1 und IKEv2
Diffie-Hellman-Gruppe Gruppe 2 (1024 Bit) Gruppe 2 (1024 Bit)
Authentifizierungsmethode Vorab ausgetauschter Schlüssel Vorab ausgetauschter Schlüssel
Verschlüsselung & Hashalgorithmen 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
1. AES256, SHA1
2. AES256, SHA256
3. AES128, SHA1
4. AES128, SHA256
5. 3DES, SHA1
6. 3DES, SHA256
SA-Gültigkeitsdauer 28.800 Sekunden 28.800 Sekunden

Parameter der IKE-Phase 2 (Schnellmodus)

Eigenschaft PolicyBased RouteBased
IKE-Version IKEv1 IKEv1 und IKEv2
Verschlüsselung & Hashalgorithmen 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
SA-Angebote für RouteBased QM
SA-Gültigkeitsdauer (Zeit) 3\.600 Sekunden 27.000 Sekunden
SA-Gültigkeitsdauer (Bytes) 102.400.000 KB 102.400.000 KB
Perfect Forward Secrecy (PFS) Nein SA-Angebote für RouteBased QM
Dead Peer Detection (DPD) Nicht unterstützt Unterstützt

RouteBased-VPN-Angebote der IPsec Security Association (IKE-Schnellmodus-SA)

Die folgende Tabelle enthält IPsec-SA-Angebote (IKE-Schnellmodus). Angebote werden in der Reihenfolge ihrer Priorität aufgeführt, in der das Angebot dargeboten oder akzeptiert wurde.

Azure-Gateway als Initiator

- Verschlüsselung Authentifizierung PFS-Gruppe
1 GCM AES256 GCM (AES256) Keine
2 AES256 SHA1 Keine
3 3DES SHA1 Keine
4 AES256 SHA256 Keine
5 AES128 SHA1 Keine
6 3DES SHA256 Keine

Azure-Gateway als Antwortender

- Verschlüsselung Authentifizierung PFS-Gruppe
1 GCM AES256 GCM (AES256) Keine
2 AES256 SHA1 Keine
3 3DES SHA1 Keine
4 AES256 SHA256 Keine
5 AES128 SHA1 Keine
6 3DES SHA256 Keine
7 DES SHA1 Keine
8 AES256 SHA1 1
9 AES256 SHA1 2
10 AES256 SHA1 14
11 AES128 SHA1 1
12 AES128 SHA1 2
13 AES128 SHA1 14
14 3DES SHA1 1
15 3DES SHA1 2
16 3DES SHA256 2
17 AES256 SHA256 1
18 AES256 SHA256 2
19 AES256 SHA256 14
20 AES256 SHA1 24
21 AES256 SHA256 24
22 AES128 SHA256 Keine
23 AES128 SHA256 1
24 AES128 SHA256 2
25 AES128 SHA256 14
26 3DES SHA1 14
  • Sie können IPsec-ESP-NULL-Verschlüsselung mit routenbasierten VPN-Gateways und Hochleistungs-VPN-Gateways angeben. Verschlüsselung auf Basis von NULL bietet keinen Schutz der Daten während der Übertragung und sollte nur verwendet werden, wenn maximaler Durchsatz und minimale Latenz erforderlich sind. Clients können diese in Szenarien mit VNet-zu-VNet-Kommunikation oder bei Anwendung der Verschlüsselung an anderer Stelle in der Lösung verwenden.
  • Verwenden Sie für standortübergreifende Konnektivität über das Internet die Standardeinstellungen für Azure-VPN-Gateways mit Verschlüsselung und Hashalgorithmen, die in der Tabelle oben aufgelistet werden, um die Sicherheit Ihrer kritischen Kommunikation zu gewährleisten.

Bekannte Probleme mit der Gerätekompatibilität

Wichtig

Hier finden Sie bekannte Kompatibilitätsprobleme zwischen Drittanbieter-VPN-Geräten und Azure-VPN-Gateways. Das Azure-Team arbeitet zusammen mit den Anbietern aktiv an der Lösung der hier angegebenen Probleme. Nachdem die Probleme behoben wurden, wird diese Seite mit den neuesten Informationen aktualisiert. Es ist also ratsam, diese Seite regelmäßig aufzurufen.

16. Februar 2017

Palo Alto Networks-Geräte mit älteren Versionen als 7.1.4 für routenbasiertes Azure-VPN: Führen Sie die folgenden Schritte aus, wenn Sie VPN-Geräte von Palo Alto Networks mit einer älteren PAN-OS-Version als 7.1.4 verwenden und Konnektivitätsprobleme mit routenbasierten Azure-VPN-Gateways auftreten:

  1. Überprüfen Sie die Firmwareversion Ihres Palo Alto Networks-Geräts. Führen Sie ein Upgrade auf Version 7.1.4 durch, falls Ihre PAN-OS-Version älter als 7.1.4 ist.
  2. Ändern Sie auf dem Palo Alto Networks-Gerät die Phase 2 SA-Lebensdauer (bzw. Quick Mode SA) in 28.800 Sekunden (8 Stunden), wenn Sie die Verbindung mit dem Azure-VPN-Gateway herstellen.
  3. Erstellen Sie über das Azure-Portal eine Supportanfrage, falls weiterhin Probleme mit der Konnektivität auftreten.