À propos des périphériques VPN et des paramètres IPsec/IKE pour les connexions de passerelle VPN site à site
Un périphérique VPN est requis pour configurer une connexion VPN site à site (S2S) entre locaux à l’aide d’une passerelle VPN. Vous pouvez utiliser des connexions site à site pour créer une solution hybride, ou chaque fois que vous souhaitez disposer de connexions sécurisées entre vos réseaux locaux et vos réseaux virtuels. Cet article fournit une liste des périphériques VPN validés, ainsi qu’une liste des paramètres IPsec/IKE pour les passerelles VPN.
Important
Si vous rencontrez des problèmes de connectivité entre vos périphériques VPN locaux et les passerelles VPN, consultez Problèmes de compatibilité connus avec le matériel.
Éléments à noter lorsque vous affichez les tables :
- Une modification de la terminologie a eu lieu pour les passerelles VPN Azure. Seuls les noms ont changé. Il n’y a aucune modification de la fonctionnalité.
- Routage statique = basé sur des stratégies
- Routage dynamique = basé sur un itinéraire
- Sauf indication contraire, les spécifications des passerelles VPN HighPerformance sont identiques à celles des passerelles VPN RouteBased. Par exemple, les périphériques VPN validés qui sont compatibles avec les passerelles VPN RouteBased sont également compatibles avec la passerelle VPN HighPerformance.
Périphériques VPN validés et guides de configuration des périphériques
Nous avons validé un ensemble de périphériques VPN standard en partenariat avec des fournisseurs d’appareils. Tous les appareils appartenant aux familles de la liste suivante doivent fonctionner avec les passerelles VPN. Ce sont les algorithmes recommandés pour la configuration de votre appareil.
| Algorithmes recommandés | Chiffrements | Intégrité | Groupe DH |
|---|---|---|---|
| IKE | AES256 | SHA256 | DH2 |
| IPsec | AES256GCM | AES256GCM | Aucun |
Pour configurer plus facilement votre périphérique VPN, reportez-vous aux liens qui correspondent à la famille de périphériques appropriée. Les liens vers les instructions de configuration sont fournis dans la mesure du possible et les valeurs par défaut répertoriées dans le guide de configuration ne doivent pas nécessairement contenir les meilleurs algorithmes cryptographiques. Pour une prise en charge des appareils VPN, contactez le fabricant de votre appareil.
| Fournisseur | Famille de périphériques | Version de système d’exploitation minimale | Instructions de configuration PolicyBased | Instructions de configuration RouteBased |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | Non compatible | Guide de configuration |
| AhnLab | TrusGuard | TG 2.7.6 TG 3.5.x |
Non testé | Guide de configuration |
| Allied Telesis | Routeurs VPN série AR | Série AR 5.4.7+ | Guide de configuration | Guide de configuration |
| Arista | Routeur CloudEOS | vEOS 4.24.0FX | Non testé | Guide de configuration |
| Barracuda Networks, Inc. | Barracuda CloudGen Firewall | PolicyBased : 5.4.3 RouteBased : 6.2.0 |
Guide de configuration | Guide de configuration |
| Check Point | Passerelle de sécurité | R80.10 | Guide de configuration | Guide de configuration |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
Prise en charge | Guide de configuration* |
| Cisco | ASR | PolicyBased : IOS 15.1 RouteBased : IOS 15.2 |
Prise en charge | Prise en charge |
| Cisco | CSR | RouteBased : IOS-XE 16.10 | Non testé | Script de configuration |
| Cisco | ISR | PolicyBased : IOS 15.0 RouteBased* : IOS 15.1 |
Prise en charge | Prise en charge |
| Cisco | Meraki (MX) | MX v15.12 | Non compatible | Guide de configuration |
| Cisco | vEdge (Viptela OS) | 18.4.0 (mode actif/passif) | Non compatible | Configuration manuelle (active/passive) |
| Citrix | NetScaler MPX, SDX, VPX | Version 10.1 (et versions ultérieures) | Guide de configuration | Non compatible |
| F5 | Série BIG-IP | 12.0 | Guide de configuration | Guide de configuration |
| Fortinet | FortiGate | FortiOS 5.6 | Non testé | Guide de configuration |
| Fsas Technologies | Série G Si-R | V04 : V04.12 V20 : V20.14 |
Guide de configuration | Guide de configuration |
| Hillstone Networks | Next-Generation Firewall (NGFW) | 5.5R7 | Non testé | Guide de configuration |
| HPE Aruba | Passerelle EdgeConnect SDWAN | ECOS Version v9.2 Système d’exploitation Orchestrator v9.2 |
Guide de configuration | Guide de configuration |
| Internet Initiative Japan (IIJ) | Série SEIL | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Guide de configuration | Non compatible |
| Juniper | SRX | PolicyBased : JunOS 10.2 Routebased : JunOS 11.4 |
Prise en charge | Script de configuration |
| Juniper | Série J | PolicyBased : JunOS 10.4r9 RouteBased : JunOS 11.4 |
Prise en charge | Script de configuration |
| Juniper | ISG | ScreenOS 6.3 | Prise en charge | Script de configuration |
| Juniper | SSG | ScreenOS 6.2 | Prise en charge | Script de configuration |
| Juniper | MX | JunOS 12.x | Prise en charge | Script de configuration |
| Microsoft | Service de routage et d’accès à distance | Windows Server 2012 | Non compatible | Prise en charge |
| Open Systems AG | Passerelle Mission Control Security | N/A | Prise en charge | Non compatible |
| Palo Alto Networks | Tous les périphériques exécutant PAN-OS | PAN-OS PolicyBased : 6.1.5 ou version ultérieure RouteBased : 7.1.4 |
Prise en charge | Guide de configuration |
| Sentrium (développeur) | VyOS | VyOS 1.2.2 | Non testé | Guide de configuration |
| ShareTech | UTM nouvelle génération (série NU) | 9.0.1.3 | Non compatible | Guide de configuration |
| SonicWall | Série TZ, série NSA Série SuperMassive Série NSA classe E |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Non compatible | Guide de configuration |
| Sophos | Pare-feu XG Next Gen | XG v17 | Non testé | Guide de configuration Guide de configuration - Associations de sécurité multiples |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Non testé | Guide de configuration |
| Ubiquiti | EdgeRouter | Version 1.10 d’EdgeOS | Non testé | Protocole BGP sur IKEv2/IPsec Protocole VTI sur IKEv2/IPsec |
| Ultra | 3E-636L3 | 5.2.0.T3 Build-13 | Non testé | Guide de configuration |
| WatchGuard | Tous | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
Guide de configuration | Guide de configuration |
| Zyxel | Série ZyWALL USG Série ZyWALL ATP Série ZyWALL VPN |
ZLD v4.32 + | Non testé | Protocole VTI sur IKEv2/IPsec Protocole BGP sur IKEv2/IPsec |
Notes
(*) Les versions Cisco ASA 8.4+ ajoutent la prise en charge IKEv2. Elles peuvent se connecter à la passerelle VPN Azure à l’aide de la stratégie IPsec/IKE personnalisée avec l’option « UsePolicyBasedTrafficSelectors ». Reportez-vous à cet article sur les procédures.
(\*\*) Les routeurs de la série ISR 7200 prennent uniquement en charge les VPN basés sur des stratégies.
Télécharger des script de configuration de périphérique VPN à partir d’Azure
Pour certains appareils, vous pouvez télécharger les scripts de configuration directement à partir d’Azure. Pour plus d’informations et des instructions de téléchargement, consultez la page Télécharger des script de configuration de périphérique VPN.
Périphériques VPN non validés
Si vous ne voyez pas votre appareil répertorié dans le tableau Appareils VPN validés, votre appareil peut toujours fonctionner avec une connexion site à site. Contactez le fabricant de votre appareil pour obtenir une prise en charge et des instructions de configuration.
Modification des exemples de configuration de périphérique
Après avoir téléchargé l’exemple de configuration de périphérique VPN fourni, vous devrez remplacer certaines des valeurs spécifiées pour qu’elles reflètent les paramètres de votre environnement.
Pour modifier un exemple :
- Ouvrez l’exemple à l’aide du Bloc-notes.
- Recherchez et remplacez toutes les chaînes au format <texte> par les valeurs qui correspondent à votre environnement. Veillez à inclure < et >. Lorsque vous sélectionnez un nom, assurez-vous qu’il est unique. Si une commande ne fonctionne pas, consultez la documentation du fabricant du périphérique.
| Texte de l’exemple | Valeur de substitution |
|---|---|
| <RP_OnPremisesNetwork> | Nom que vous choisissez pour cet objet. Exemple : MonRéseauLocal |
| <RP_AzureNetwork> | Nom que vous choisissez pour cet objet. Exemple : MonRéseauAzure |
| <RP_AccessList> | Nom que vous choisissez pour cet objet. Exemple : MaListeAccèsAzure |
| <RP_IPSecTransformSet> | Nom que vous choisissez pour cet objet. Exemple : MonJeuTransformationsIPSec |
| <RP_IPSecCryptoMap> | Nom que vous choisissez pour cet objet. Exemple : MaCarteChiffrementIPSec |
| <SP_AzureNetworkIpRange> | Spécifiez une plage. Exemple : 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Spécifiez un masque de sous-réseau. Exemple : 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Spécifiez une plage locale. Exemple : 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | Spécifiez un masque de sous-réseau local. Exemple : 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Ces informations sont propres à votre réseau virtuel et figurent dans le portail de gestion sous l’intitulé Adresse IP de la passerelle. |
| <SP_PresharedKey> | Ces informations sont propres à votre réseau virtuel et figurent dans le Portail de gestion sous l’intitulé Gérer la clé. |
Paramètres IPsec/IKE par défaut
Les tableaux suivants répertorient les combinaisons d’algorithmes et de paramètres utilisées par les passerelles VPN Azure dans la configuration par défaut (stratégies par défaut). Pour les passerelles VPN basées sur le routage créées à l’aide du modèle de déploiement Resource Manager, vous pouvez spécifier une stratégie personnalisée sur chaque connexion. Reportez-vous à Configurer une stratégie IPsec/IKE pour obtenir des instructions détaillées.
Dans les tableaux suivants :
- AS = association de sécurité
- IKE Phase 1 est également appelé « Mode principal »
- IKE Phase 2 est également appelé « Mode rapide »
Paramètres IKE Phase 1 (Mode principal)
| Propriété | PolicyBased | RouteBased |
|---|---|---|
| Version IKE | IKEv1 | IKEv1 et IKEv2 |
| Groupe Diffie-Hellman | Groupe 2 (1 024 bits) | Groupe 2 (1 024 bits) |
| Méthode d'authentification | Clé prépartagée | Clé prépartagée |
| Chiffrement et algorithmes de hachage | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| Durée de vie de l’AS | 28 800 secondes | 28 800 secondes |
| Nombre de SA en mode rapide | 100 | 100 |
Paramètres IKE Phase 2 (Mode rapide)
| Propriété | PolicyBased | RouteBased |
|---|---|---|
| Version IKE | IKEv1 | IKEv1 et IKEv2 |
| Chiffrement et algorithmes de hachage | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
Offres d’AS RouteBased en mode rapide |
| Durée de vie de l’AS (durée) | 3 600 secondes | 27 000 secondes |
| Durée de vie de l’AS (octets) | 102 400 000 Ko | 102 400 000 Ko |
| PFS (Perfect Forward Secrecy) | Non | Offres d’AS RouteBased en mode rapide |
| Détection d’homologue mort | Non pris en charge | Prise en charge |
Limitation TCP MSS de la passerelle VPN Azure
La limitation MSS est bidirectionnelle sur la passerelle VPN Azure. Le tableau suivant répertorie la taille des paquets dans les différents scénarios.
| Flux de paquets | IPv4 | IPv6 |
|---|---|---|
| Via Internet | 1 340 octets | 1 360 octets |
| Via la passerelle Express Route | 1 250 octets | 1 250 octets |
Offres d’association de sécurité VPN IPsec RouteBased (AS IKE en mode rapide)
Le tableau suivant répertorie les offres d’association de sécurité IPsec (IKE en mode rapide). Les offres sont énumérées dans l’ordre de préférence dans lequel elles sont présentées ou acceptées.
Passerelle Azure en tant qu’initiateur
| - | Chiffrement | Authentification | Groupe PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | None |
| 2 | AES256 | SHA1 | None |
| 3 | 3DES | SHA1 | None |
| 4 | AES256 | SHA256 | None |
| 5 | AES128 | SHA1 | None |
| 6 | 3DES | SHA256 | None |
Passerelle Azure en tant que répondeur
| - | Chiffrement | Authentification | Groupe PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | None |
| 2 | AES256 | SHA1 | None |
| 3 | 3DES | SHA1 | None |
| 4 | AES256 | SHA256 | None |
| 5 | AES128 | SHA1 | None |
| 6 | 3DES | SHA256 | None |
| 7 | DES | SHA1 | None |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | None |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- Vous pouvez spécifier le chiffrement IPsec ESP NULL avec les passerelles VPN RouteBased et HighPerformance. Le chiffrement Null ne fournit pas de protection des données en transit. Il doit être utilisé uniquement lorsqu’un débit maximal et une latence minimale sont requis. Les clients peuvent choisir de l'utiliser dans des scénarios de communication de réseau virtuel à réseau virtuel ou lorsque le chiffrement est appliqué ailleurs dans la solution.
- Pour la connectivité intersite par Internet, utilisez les paramètres par défaut de la passerelle VPN Azure, avec les algorithmes de chiffrement et de hachage répertoriés dans les tableaux précédents, pour garantir la sécurité de vos communications cruciales.
Problèmes de compatibilité connus avec le matériel
Important
Il s’agit de problèmes de compatibilité connus entre les appareils VPN tiers et les passerelles VPN Azure. L’équipe Azure travaille en étroite collaboration avec les fournisseurs pour résoudre les problèmes répertoriés ici. Une fois les problèmes résolus, cette page sera mise à jour avec les informations les plus récentes. Revenez la consulter régulièrement.
16 février 2017
Appareils Palo Alto Networks dont la version est antérieure à la version 7.1.4 pour les VPN Azure basés sur les itinéraires : si vous utilisez des appareils VPN de Palo Alto Networks avec une version de PAN-OS antérieure à la version 7.1.4 et que vous rencontrez des problèmes de connectivité pour les passerelles VPN Azure basées sur les itinéraires, procédez comme suit :
- Vérifiez la version du microprogramme de votre appareil Palo Alto Networks. Si votre version de PAN-OS est antérieure à la version 7.1.4, mettez à niveau vers la version 7.1.4.
- Sur l’appareil Palo Alto Networks, modifiez la durée de SA de phase 2 (ou SA mode rapide) sur 28 800 secondes (8 heures) au moment de vous connecter à la passerelle VPN Azure.
- Si vous continuez à rencontrer des problèmes de connectivité, ouvrez une demande de support sur le Portail Azure.