Compartir a través de


Acerca de los dispositivos VPN y los parámetros de IPsec/IKE para conexiones de VPN Gateway de sitio a sitio

Para configurar una conexión VPN entre locales de sitio a sitio (S2S) mediante una puerta de enlace de VPN se requiere un dispositivo VPN. Las conexiones de sitio a sitio pueden usarse para crear una solución híbrida o siempre que desee conexiones seguras entre su red local y la red virtual. Este artículo incluye la lista de dispositivos VPN validados y una lista de parámetros IPsec/IKE para las puertas de enlace de VPN.

Elementos que hay que tener en cuenta para consultar las tablas:

  • Se han producido cambios de terminología para las puertas de enlace de VPN de Azure. Solo cambiaron los nombres. No hay cambio de funcionalidad.
    • Enrutamiento estático = PolicyBased
    • Enrutamiento dinámico = Basado en rutas
  • Las especificaciones de VPN Gateway HighPerformance y VPN Gateway RouteBased son las mismas, a menos que se indique lo contrario. Por ejemplo, los dispositivos VPN validados que son compatibles con las puertas de enlace de VPN RouteBased también son compatibles con las puertas de enlace de VPN HighPerformance.

Dispositivos VPN validados y guías de configuración de dispositivos

En colaboración con proveedores de dispositivos, hemos validado un conjunto de dispositivos VPN estándar. Todos los dispositivos de las familias de dispositivos en la lista siguiente deben trabajar con puertas de enlace de VPN. Estos son los algoritmos recomendados para la configuración del dispositivo.

Algoritmos recomendados Cifrado Integridad Grupo DH
IKE AES256 SHA256 DH2
IPsec AES256GCM AES256GCM Ninguno

Con el fin de configurar el dispositivo VPN, consulte los vínculos correspondientes a la familia de dispositivos apropiada. Los vínculos a las instrucciones de configuración se proporcionan de forma óptima y los valores predeterminados enumerados en la guía de configuración no necesitan contener los mejores algoritmos criptográficos. Para obtener soporte para los dispositivos VPN, póngase en contacto con el fabricante.

Proveedor Familia de dispositivos Versión mínima de sistema operativo Instrucciones de configuración basada en políticas Instrucciones de configuración RouteBased
A10 Networks, Inc. Thunder CFW ACOS 4.1.1 No es compatible Guía de configuración
AhnLab TrusGuard TG 2.7.6
TG 3.5.x
No probado Guía de configuración
Telesis aliados Enrutadores VPN de la serie AR Serie AR 5.4.7+ Guía de configuración Guía de configuración
Arista Enrutador CloudEOS vEOS 4.24.0FX No probado Guía de configuración
Barracuda Networks, Inc. Barracuda CloudGen Firewall PolicyBased: 5.4.3
RouteBased: 6.2.0
Guía de configuración Guía de configuración
Punto de comprobación Puerta de enlace de seguridad R80.10 Guía de configuración Guía de configuración
Cisco AASÁX 8.3
8.4+ (IKEv2*)
Compatible Guía de configuración*
Cisco ASR PolicyBased: IOS 15.1
RouteBased: iOS 15.2
Compatible Compatible
Cisco RSE RouteBased: IOS-XE 16.10 No probado Script de configuración
Cisco Impuesto Sobre la Renta PolicyBased: IOS 15.0
RouteBased*: IOS 15.1
Compatible Compatible
Cisco Meraki (MX) MX v15.12 No es compatible Guía de configuración
Cisco vEdge (SO Viptela) 18.4.0 (modo Activo/Pasivo) No es compatible Configuración manual (activa/pasiva)
Citrix NetScaler MPX, SDX, VPX 10.1 y versiones posteriores Guía de configuración No es compatible
F5 Serie BIG-IP 12.0 Guía de configuración Guía de configuración
Fortinet FortiGate FortiOS 5.6 No probado Guía de configuración
Fsas Technologies Serie Si-R G V04: V04.12
V20: V20.14
Guía de configuración Guía de configuración
Hillstone Networks Firewalls de próxima generación (NGFW) 5.5R7 No probado Guía de configuración
HPE Aruba Puerta de enlace EdgeConnect SDWAN Versión 9.2 de ECOS
Orchestrator OS v9.2
Guía de configuración Guía de configuración
Iniciativa de Internet Japón (IIJ) Serie SEIL SEIL/X 4.60
SEIL/B1 4.60
SEIL/x86 3.20
Guía de configuración No es compatible
Enebro SRX BasadoEnPolíticas: JunOS 10.2
Routebased: JunOS 11.4
Compatible Script de configuración
Enebro Serie J PolicyBased: JunOS 10.4r9
RouteBased: JunOS 11.4
Compatible Script de configuración
Enebro ISG ScreenOS 6.3 Compatible Script de configuración
Enebro SSG ScreenOS 6.2 Compatible Script de configuración
Enebro México JunOS 12.x Compatible Script de configuración
Microsoft Servicio de acceso remoto y enrutamiento Windows Server 2012 No es compatible Compatible
Abrir grupo de disponibilidad de sistemas Puerta de enlace de seguridad de Mission Control N/D Compatible No es compatible
Palo Alto Networks Todos los dispositivos que ejecutan PAN-OS PAN-OS
PolicyBased: 6.1.5 o posterior
RouteBased: 7.1.4
Compatible Guía de configuración
Sentrium (desarrollador) VyOS VyOS 1.2.2 No probado Guía de configuración
ShareTech UTM de próxima generación (serie NU) 9.0.1.3 No es compatible Guía de configuración
SonicWall Serie TZ, serie NSA
Serie SuperMassive
Serie E-Class NSA
SonicOS 5.8.x
SonicOS 5.9.x
SonicOS 6.x
No es compatible Guía de configuración
Sophos Firewall de última generación XG XG v17 No probado Guía de configuración

Guía de configuración: varios SA
Synology MR2200ac
RT2600ac
RT1900ac
SRM1.1.5/VpnPlusServer-1.2.0 No probado Guía de configuración
Ubiquiti EdgeRouter EdgeOS v1.10 No probado BGP a través de IKEv2/IPsec

VTI a través de IKEv2/IPsec
Ultra 3E-636L3 5.2.0.T3 Build-13 No probado Guía de configuración
WatchGuard Todo Fireware XTM
PolicyBased: v11.11.x
RouteBased: v11.12.x
Guía de configuración Guía de configuración
Zyxel Serie ZyWALL USG
Serie ZyWALL ATP
Serie ZyWALL VPN
ZLD v4.32+ No probado VTI a través de IKEv2/IPsec

BGP a través de IKEv2/IPsec

Nota:

(*) Las versiones de Cisco ASA 8.4 y posteriores incorporan compatibilidad con IKEv2, puede conectarse a la puerta de enlace de VPN de Azure mediante la directiva personalizada de IPsec/IKE con la opción "UsePolicyBasedTrafficSelectors". Puede consultar este artículo de procedimientos.

(\*\*) Los enrutadores de la serie ISR 7200 solo admiten VPN basadas en directivas.

Descarga de los scripts de configuración de dispositivos VPN desde Azure

Para determinados dispositivos, puede descargar los scripts de configuración directamente desde Azure. Para más información e instrucciones de descarga, consulte Descarga de scripts de configuración de dispositivos VPN.

Dispositivos VPN no validados

Si el dispositivo no aparece en la tabla de dispositivos VPN validados, es posible que todavía funcione con una conexión de sitio a sitio. Póngase en contacto con el fabricante del dispositivo para obtener instrucciones de soporte técnico y configuración.

Editar los ejemplos de configuración de dispositivos

Después de descargar el ejemplo de configuración del dispositivo VPN proporcionado, deberá reemplazar algunos de los valores para reflejar la configuración de su entorno.

Para editar una muestra:

  1. Abra el ejemplo con el Bloc de notas.
  2. Busque y reemplace todas las cadenas de <texto> por los valores que pertenezcan al entorno. Asegúrese de incluir < y >. Cuando se especifica un nombre, el nombre que seleccione debe ser único. Si un comando no funciona, consulte la documentación del fabricante del dispositivo.
Texto de ejemplo Cambiar a
<RP_OnPremisesNetwork> Nombre elegido para este objeto. Ejemplo: miRedLocal
<RP_AzureNetwork> Nombre elegido para este objeto. Ejemplo: miRedAzure
<RP_AccessList> Nombre elegido para este objeto. Ejemplo: myAzureAccessList
<RP_IPSecTransformSet> Nombre elegido para este objeto. Ejemplo: myIPSecTransformSet
<RP_IPSecCryptoMap> Nombre elegido para este objeto. Ejemplo: myIPSecCryptoMap
<SP_AzureNetworkIpRange> Especifique el rango. Ejemplo: 192.168.0.0
<SP_AzureNetworkSubnetMask> Especifique la máscara de subred. Ejemplo: 255.255.0.0
<SP_OnPremisesNetworkIpRange> Especifique el rango local. Ejemplo: 10.2.1.0
<SP_OnPremisesNetworkSubnetMask> Especifique la máscara de subred local. Ejemplo: 255.255.255.0
<SP_AzureGatewayIpAddress> Esta información es específica de la red virtual y se encuentra en el Portal de administración como Dirección IP de puerta de enlace.
<SP_PresharedKey> Esta información es específica de la red virtual y se encuentra en el Portal de administración, en Administrar clave.

Parámetros de IPsec/IKE predeterminados

Las tablas siguientes contienen las combinaciones de algoritmos y parámetros que usan las puertas de enlace de VPN de Azure en la configuración predeterminada (Directivas predeterminadas). En el caso de las puertas de enlace de VPN basadas en rutas creadas mediante el modelo de implementación de Azure Resource Management, puede especificar una directiva personalizada en cada conexión individual. Consulte Configuración de la directiva IPsec/IKE para obtener instrucciones detalladas.

En las tablas siguientes:

  • SA = Asociación de seguridad
  • La fase 1 de IKE también se denomina "Modo principal"
  • La fase 2 de IKE también se denomina "Modo rápido"

Parámetros de la fase 1 de IKE (Modo principal)

Propiedad PolicyBased RouteBased
Versión de IKE IKEv1 IKEv1 e IKEv2
Grupo Diffie-Hellman Grupo 2 (1024 bits) Grupo 2 (1024 bits)
Método de autenticación Clave previamente compartida Clave previamente compartida
Algoritmos de cifrado y hash 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
1. AES256, SHA1
2. AES256, SHA256
3. AES128, SHA1
4. AES128, SHA256
5. 3DES, SHA1
6. 3DES, SHA256
Duración de SA 28.800 segundos 28.800 segundos
Número de SA de modo rápido 100 100

Parámetros de la fase 2 de IKE (modo rápido)

Propiedad PolicyBased RouteBased
Versión de IKE IKEv1 IKEv1 e IKEv2
Algoritmos de cifrado y hash 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
Ofertas de SA de QM del tipo RouteBased
Duración de SA (tiempo) 3\.600 segundos 27 000 segundos
Duración de SA (bytes) 102.400.000 KB 102.400.000 KB
Confidencialidad directa perfecta (PFS) No Ofertas de SA de QM del tipo RouteBased
Detección de pares muertos (DPD) No soportado Compatible

Fijación de MSS TCP de Azure VPN Gateway

La fijación de MSS se realiza bidireccionalmente en Azure VPN Gateway. En la tabla siguiente se muestra el tamaño del paquete en diferentes escenarios.

Flujo de paquetes IPv4 IPv6
A través de Internet 1360 bytes 1340 bytes
A través de la puerta de enlace de Express Route 1250 bytes 1250 bytes

Ofertas de asociación de seguridad de IPsec (SA de modo rápido de IKE) de VPN del tipo RouteBased

En la tabla siguiente se enumeran las ofertas de SA de IPsec (modo rápido de IKE). Las ofertas se enumeran en el orden de preferencia en el que se presentan o se aceptan.

Puerta de enlace de Azure como iniciador

- Cifrado Autenticación Grupo PFS
1 GCM AES256 GCM (AES256) Ninguno
2 AES256 SHA1 Ninguno
3 3DES SHA1 Ninguno
4 AES256 SHA256 Ninguno
5 AES128 SHA1 Ninguno
6 3DES SHA256 Ninguno

Puerta de enlace de Azure como respondedor

- Cifrado Autenticación Grupo PFS
1 GCM AES256 GCM (AES256) Ninguno
2 AES256 SHA1 Ninguno
3 3DES SHA1 Ninguno
4 AES256 SHA256 Ninguno
5 AES128 SHA1 Ninguno
6 3DES SHA256 Ninguno
7 DES (Data Encryption Standard - Estándar de Cifrado de Datos) SHA1 Ninguno
8 AES256 SHA1 1
9 AES256 SHA1 2
10 AES256 SHA1 14
11 AES128 SHA1 1
12 AES128 SHA1 2
13 AES128 SHA1 14
14 3DES SHA1 1
15 3DES SHA1 2
16 3DES SHA256 2
17 AES256 SHA256 1
18 AES256 SHA256 2
19 AES256 SHA256 14
20 AES256 SHA1 veinticuatro
Veintiuno AES256 SHA256 veinticuatro
22 AES128 SHA256 Ninguno
23 AES128 SHA256 1
veinticuatro AES128 SHA256 2
25 AES128 SHA256 14
26 3DES SHA1 14
  • Puede especificar el cifrado IPsec ESP NULL con puertas de enlace de VPN RouteBased y HighPerformance. El cifrado basado en nulo no proporciona protección a los datos en tránsito, y solo se debe usar cuando se requiere el máximo rendimiento y la mínima latencia. Los clientes pueden elegir usarlo en escenarios de comunicación entre redes virtuales o cuando se aplique el cifrado en otra parte de la solución.
  • Para la conectividad entre locales mediante Internet, use la configuración predeterminada de la puerta de enlace VPN de Azure con los algoritmos de cifrado y hash de las tablas anteriores para garantizar la seguridad de su comunicación crítica.