Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
Un périphérique VPN est requis pour configurer une connexion VPN site à site (S2S) entre locaux à l’aide d’une passerelle VPN. Vous pouvez utiliser des connexions site à site pour créer une solution hybride, ou chaque fois que vous souhaitez disposer de connexions sécurisées entre vos réseaux locaux et vos réseaux virtuels. Cet article fournit une liste des périphériques VPN validés, ainsi qu’une liste des paramètres IPsec/IKE pour les passerelles VPN.
Éléments à noter lorsque vous affichez les tables :
- Des modifications de terminologie ont été apportées aux passerelles VPN Azure. Seuls les noms ont changé. Il n’y a aucune modification de la fonctionnalité.
- Routage statique = basé sur des stratégies
- Routage dynamique = basé sur un itinéraire
- Sauf indication contraire, les spécifications des passerelles VPN HighPerformance sont identiques à celles des passerelles VPN RouteBased. Par exemple, les périphériques VPN validés qui sont compatibles avec les passerelles VPN RouteBased sont également compatibles avec la passerelle VPN HighPerformance.
Périphériques VPN validés et guides de configuration des périphériques
Nous avons validé un ensemble de périphériques VPN standard en partenariat avec des fournisseurs d’appareils. Tous les appareils appartenant aux familles de la liste suivante doivent fonctionner avec les passerelles VPN. Ce sont les algorithmes recommandés pour la configuration de votre appareil.
| Algorithmes recommandés | Chiffrements | Intégrité | Groupe DH |
|---|---|---|---|
| IKE | AES256 | SHA256 | DH2 |
| IPsec | AES256GCM | AES256GCM | Aucun |
Pour configurer plus facilement votre périphérique VPN, reportez-vous aux liens qui correspondent à la famille de périphériques appropriée. Les liens vers les instructions de configuration sont fournis dans la mesure du possible et les valeurs par défaut répertoriées dans le guide de configuration ne doivent pas nécessairement contenir les meilleurs algorithmes cryptographiques. Pour une prise en charge des appareils VPN, contactez le fabricant de votre appareil.
| Fournisseur | Famille de périphériques | Version de système d’exploitation minimale | Instructions de configuration basées sur des politiques | Instructions de configuration RouteBased |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | Non compatible | Guide de configuration |
| AhnLab | TrusGuard | TG 2.7.6 TG 3.5.x |
Non testé | Guide de configuration |
| Allied Telesis | Routeurs VPN série AR | Série AR 5.4.7+ | Guide de configuration | Guide de configuration |
| Arista | Routeur CloudEOS | vEOS 4.24.0FX | Non testé | Guide de configuration |
| Barracuda Networks, Inc. | Barracuda CloudGen Firewall | PolicyBased: 5.4.3 RouteBased : 6.2.0 |
Guide de configuration | Guide de configuration |
| Point de Contrôle | Passerelle de sécurité | R80.10 | Guide de configuration | Guide de configuration |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
Pris en charge | Guide de configuration* |
| Cisco | ASR | PolicyBased: IOS 15.1 RouteBased : IOS 15.2 |
Pris en charge | Pris en charge |
| Cisco | Responsabilité Sociale des Entreprises (RSE) | RouteBased: IOS-XE 16.10 | Non testé | Script de configuration |
| Cisco | ISR | PolicyBased: IOS 15.0 RouteBased* : IOS 15.1 |
Pris en charge | Pris en charge |
| Cisco | Meraki (MX) | MX v15.12 | Non-compatible | Guide de configuration |
| Cisco | vEdge (Viptela OS) | 18.4.0 (mode actif/passif) | Non compatible | Configuration manuelle (active/passive) |
| Citrix | NetScaler MPX, SDX, VPX | Version 10.1 (et versions ultérieures) | Guide de configuration | Non-compatible |
| F5 | Série BIG-IP | 12.0 | Guide de configuration | Guide de configuration |
| Fortinet | FortiGate | FortiOS 5.6 | Non testé | Guide de configuration |
| Fsas Technologies | Série G Si-R | V04 : V04.12 V20 : V20.14 |
Guide de configuration | Guide de configuration |
| Hillstone Networks | Next-Generation Firewall (NGFW) | 5.5R7 | Non testé | Guide de configuration |
| HPE Aruba | Passerelle EdgeConnect SDWAN | ECOS Version v9.2 Système d’exploitation Orchestrator v9.2 |
Guide de configuration | Guide de configuration |
| Internet Initiative Japan (IIJ) | Série SEIL | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Guide de configuration | Non compatible |
| Juniper | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
Soutenu | Script de configuration |
| Juniper | Série J | PolicyBased: JunOS 10.4r9 RouteBased : JunOS 11.4 |
Pris en charge | Script de configuration |
| Juniper | ISG | ScreenOS 6.3 | Pris en charge | Script de configuration |
| Juniper | SSG | ScreenOS 6.2 | Pris en charge | Script de configuration |
| Juniper | MX | JunOS 12.x | Pris en charge | Script de configuration |
| Microsoft | Service de routage et d’accès à distance | Windows Server 2012 | Non-compatible | Pris en charge |
| Open Systems AG | Passerelle de sécurité de Mission Control | N/A | Pris en charge | Non-compatible |
| Palo Alto Networks | Tous les périphériques exécutant PAN-OS | PAN-OS PolicyBased : 6.1.5 ou version ultérieure RouteBased : 7.1.4 |
Pris en charge | Guide de configuration |
| Sentrium (développeur) | VyOS | VyOS 1.2.2 | Non testé | Guide de configuration |
| ShareTech | UTM nouvelle génération (série NU) | 9.0.1.3 | Non-compatible | Guide de configuration |
| SonicWall | Série TZ, série NSA Série SuperMassive Série NSA E-Class |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Non compatible | Guide de configuration |
| Sophos | Pare-feu XG Next Gen | XG v17 | Non testé | Guide de configuration Guide de configuration - SAs multiples |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Non testé | Guide de configuration |
| Ubiquiti | EdgeRouter | Version 1.10 d’EdgeOS | Non testé | Protocole BGP sur IKEv2/IPsec Protocole VTI sur IKEv2/IPsec |
| Ultra | 3E-636L3 | 5.2.0.T3 Build-13 | Non testé | Guide de configuration |
| WatchGuard | Tous | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
Guide de configuration | Guide de configuration |
| Zyxel | Série ZyWALL USG Série ZyWALL ATP Série ZyWALL VPN |
ZLD v4.32 + | Non testé | Protocole VTI sur IKEv2/IPsec Protocole BGP sur IKEv2/IPsec |
Remarque
(*) Les versions Cisco ASA 8.4+ ajoutent la prise en charge IKEv2. Elles peuvent se connecter à la passerelle VPN Azure à l’aide de la stratégie IPsec/IKE personnalisée avec l’option « UsePolicyBasedTrafficSelectors ». Reportez-vous à cet article sur les procédures.
(\*\*) Les routeurs de la série ISR 7200 prennent uniquement en charge les VPN basés sur des stratégies.
Télécharger des script de configuration de périphérique VPN à partir d’Azure
Pour certains appareils, vous pouvez télécharger les scripts de configuration directement à partir d’Azure. Pour plus d’informations et des instructions de téléchargement, consultez la page Télécharger des script de configuration de périphérique VPN.
Périphériques VPN non validés
Si vous ne voyez pas votre appareil répertorié dans le tableau Appareils VPN validés, votre appareil peut toujours fonctionner avec une connexion site à site. Contactez le fabricant de votre appareil pour obtenir une prise en charge et des instructions de configuration.
Modification des exemples de configuration de périphérique
Après avoir téléchargé l’exemple de configuration de périphérique VPN fourni, vous devrez remplacer certaines des valeurs spécifiées pour qu’elles reflètent les paramètres de votre environnement.
Pour modifier un exemple :
- Ouvrez l’exemple à l’aide du Bloc-notes.
- Recherchez et remplacez toutes les chaînes au format <texte> par les valeurs qui correspondent à votre environnement. Veillez à inclure < et >. Lorsque vous sélectionnez un nom, assurez-vous qu’il est unique. Si une commande ne fonctionne pas, consultez la documentation du fabricant du périphérique.
| Texte de l’exemple | Valeur de substitution |
|---|---|
| <RP_OnPremisesNetwork> | Nom que vous choisissez pour cet objet. Exemple : MonRéseauLocal |
| <RP_AzureNetwork> | Nom que vous choisissez pour cet objet. Exemple : MonRéseauAzure |
| <RP_AccessList> | Nom que vous choisissez pour cet objet. Exemple : MaListeAccèsAzure |
| <RP_IPSecTransformSet> | Nom que vous choisissez pour cet objet. Exemple : myIPSecTransformSet |
| <RP_IPSecCryptoMap> | Nom que vous choisissez pour cet objet. Exemple : MaCarteChiffrementIPSec |
| <SP_AzureNetworkIpRange> | Spécifiez une plage. Exemple : 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Spécifiez un masque de sous-réseau. Exemple : 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Spécifiez une plage locale. Exemple : 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | Spécifiez un masque de sous-réseau local. Exemple : 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Ces informations sont propres à votre réseau virtuel et figurent dans le portail de gestion sous l’intitulé Adresse IP de la passerelle. |
| <SP_PresharedKey> | Ces informations sont propres à votre réseau virtuel et figurent dans le Portail de gestion sous l’intitulé Gérer la clé. |
Paramètres IPsec/IKE par défaut
Les tableaux suivants répertorient les combinaisons d’algorithmes et de paramètres utilisées par les passerelles VPN Azure dans la configuration par défaut (stratégies par défaut). Pour les passerelles VPN basées sur le routage créées à l’aide du modèle de déploiement Resource Manager, vous pouvez spécifier une stratégie personnalisée sur chaque connexion. Reportez-vous à Configurer une stratégie IPsec/IKE pour obtenir des instructions détaillées.
Dans les tableaux suivants :
- AS = association de sécurité
- IKE Phase 1 est également appelé « Mode principal »
- IKE Phase 2 est également appelé « Mode rapide »
Paramètres IKE Phase 1 (Mode principal)
| Propriété | PolicyBased | RouteBased |
|---|---|---|
| Version IKE | IKEv1 | IKEv1 et IKEv2 |
| Groupe Diffie-Hellman | Groupe 2 (1 024 bits) | Groupe 2 (1 024 bits) |
| Méthode d'authentification | Clé prépartagée | Clé prépartagée |
| Chiffrement et algorithmes de hachage | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| Durée de vie de l’AS | 28 800 secondes | 28 800 secondes |
| Nombre de SA en mode rapide | 100 | 100 |
Paramètres IKE Phase 2 (Mode rapide)
| Propriété | PolicyBased | RouteBased |
|---|---|---|
| Version IKE | IKEv1 | IKEv1 et IKEv2 |
| Chiffrement et algorithmes de hachage | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
Offres d’AS RouteBased en mode rapide |
| Durée de vie de l’AS (durée) | 3 600 secondes | 27 000 secondes |
| Durée de vie de l’AS (octets) | 102 400 000 Ko | 102 400 000 Ko |
| PFS (Perfect Forward Secrecy) | Non | Offres d’AS RouteBased en mode rapide |
| Détection d’homologue mort | Non pris en charge | Pris en charge |
Limitation TCP MSS de la passerelle VPN Azure
La limitation MSS est bidirectionnelle sur la passerelle VPN Azure. Le tableau suivant répertorie la taille des paquets dans les différents scénarios.
| Flux de paquets | IPv4 | IPv6 |
|---|---|---|
| Via Internet | 1 340 octets | 1 360 octets |
| Via la passerelle Express Route | 1 250 octets | 1 250 octets |
Offres d’association de sécurité VPN IPsec RouteBased (AS IKE en mode rapide)
Le tableau suivant répertorie les offres d’association de sécurité IPsec (IKE en mode rapide). Les offres sont énumérées dans l’ordre de préférence dans lequel elles sont présentées ou acceptées.
Passerelle Azure en tant qu’initiateur
| - | Chiffrement | Authentification | Groupe PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Aucun |
| 2 | AES256 | SHA1 | Aucun |
| 3 | 3DES | SHA1 | Aucun |
| 4 | AES256 | SHA256 | Aucun |
| 5 | AES128 | SHA1 | Aucun |
| 6 | 3DES | SHA256 | Aucun |
Passerelle Azure en tant que répondeur
| - | Chiffrement | Authentification | Groupe PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Aucun |
| 2 | AES256 | SHA1 | Aucun |
| 3 | 3DES | SHA1 | Aucun |
| 4 | AES256 | SHA256 | Aucun |
| 5 | AES128 | SHA1 | Aucun |
| 6 | 3DES | SHA256 | Aucun |
| 7 | DES | SHA1 | Aucun |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | Aucun |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- Vous pouvez spécifier le chiffrement IPsec ESP NULL avec les passerelles VPN RouteBased et HighPerformance. Le chiffrement Null ne fournit pas de protection des données en transit. Il doit être utilisé uniquement lorsqu’un débit maximal et une latence minimale sont requis. Les clients peuvent choisir de l'utiliser dans des scénarios de communication de réseau virtuel à réseau virtuel ou lorsque le chiffrement est appliqué ailleurs dans la solution.
- Pour la connectivité intersite par Internet, utilisez les paramètres par défaut de la passerelle VPN Azure, avec les algorithmes de chiffrement et de hachage répertoriés dans les tableaux précédents, pour garantir la sécurité de vos communications cruciales.