Configurer la stratégie IPsec/IKE pour des connexions VPN site à site
Cet article décrit les étapes nécessaires pour configurer une stratégie IPsec/IKE pour les connexions VPN de site à site (S2S) dans Azure Stack Hub.
Paramètres de stratégie IPsec et IKE pour les passerelles VPN
La norme de protocole IPsec et IKE prend en charge un large éventail d’algorithmes de chiffrement dans différentes combinaisons. Pour voir quels sont les paramètres pris en charge dans Azure Stack Hub afin de répondre aux exigences de conformité ou de sécurité, consultez Paramètres IPsec/IKE.
Cet article fournit des instructions sur la création et la configuration d’une stratégie IPsec/IKE ainsi que sur son application à une connexion nouvelle ou existante.
Considérations
Notez les points importants suivants concernant l’utilisation de ces stratégies :
La stratégie IPsec/IKE fonctionne uniquement sur les références SKU de passerelle Standard et HighPerformance (Basé sur itinéraires).
Vous ne pouvez spécifier qu’une seule combinaison de stratégies pour une connexion donnée.
Vous devez spécifier tous les algorithmes et paramètres pour IKE (mode principal) et IPsec (mode rapide). Vous n’êtes pas en droit de spécifier de stratégie partielle.
Consulter les spécifications de votre fournisseur de périphérique VPN pour vous assurer que la stratégie est prise en charge sur vos périphériques VPN locaux. Les connexions site à site ne peuvent pas être établies si les stratégies sont incompatibles.
Prérequis
Avant de commencer, vérifiez que les conditions préalables suivantes sont remplies :
Un abonnement Azure. Si vous ne disposez pas déjà d’un abonnement Azure, vous pouvez activer vos avantages abonnés MSDN ou créer un compte gratuit.
Applets de commande Azure Resource Manager PowerShell. Pour plus d’informations sur l’installation des applets de commande PowerShell, consultez Installer PowerShell pour Azure Stack Hub.
Partie 1 : Créer et définir une stratégie IPsec/IKE
Cette section décrit les étapes nécessaires pour créer et mettre à jour la stratégie IPsec/IKE sur une connexion VPN site à site :
Créer un réseau virtuel et une passerelle VPN
Créer une passerelle de réseau local pour la connexion entre différents locaux
Créer une stratégie IPsec/IKE avec les algorithmes et les paramètres sélectionnés
Créer une connexion IPsec avec la stratégie IPsec/IKE
Ajouter/mettre à jour/supprimer une stratégie IPsec/IKE pour une connexion existante
Les instructions de cet article vous aident à préparer et configurer les stratégies IPsec/IKE, comme indiqué dans la figure suivante :
Partie 2 - Algorithmes de chiffrement pris en charge et forces des clés
Le tableau suivant liste les algorithmes de chiffrement pris en charge et les forces de clés configurables par Azure Stack Hub :
IPsec/IKEv2 | Options |
---|---|
Chiffrement IKEv2 | AES256, AES192, AES128, DES3, DES |
Intégrité IKEv2 | SHA384, SHA256, SHA1, MD5 |
Groupe DH | ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256*, DHGroup24* |
Chiffrement IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Aucun |
Intégrité IPsec | GCMAES256, GCMAES192, GCMAES128, SHA256 |
Groupe PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, Aucun |
Durée de vie de l’AS en mode rapide | (Facultatif : les valeurs par défaut sont utilisées si rien n’est spécifié) Secondes (entier ; min. 300 / 27 000 secondes par défaut) Ko (entier ; min. 1 024 / 102 400 000 Ko par défaut) |
Sélecteur de trafic | Les sélecteurs de trafic basés sur des stratégies ne sont pas pris en charge dans Azure Stack Hub. |
Notes
La définition d’une durée de vie trop faible pour l’AS en mode rapide implique un renouvellement inutile de la demande de saisie de clé/mot de passe, ce qui peut dégrader les performances.
* Ces paramètres sont disponibles uniquement dans les builds 2002 et ultérieures.
La configuration de votre périphérique VPN local doit correspondre aux algorithmes et paramètres suivants, spécifiés dans la stratégie IPsec/IKE Azure ou les contenir :
- Algorithme de chiffrement IKE (Mode principal/Phase 1).
- Algorithme d’intégrité IKE (Mode principal/Phase 1).
- Groupe DH (Mode principal/Phase 1).
- Algorithme de chiffrement IPsec (Mode rapide/Phase 2).
- Algorithme d’intégrité IPsec (Mode rapide/Phase 2).
- Groupe PFS (Mode rapide/Phase 2).
- Les durées de vie de l’AS sont uniquement des spécifications locales et n’ont pas besoin de correspondre.
Si GCMAES est utilisé comme algorithme de chiffrement IPsec, vous devez sélectionner le même algorithme GCMAES et la même longueur de clé pour l’intégrité IPsec. Par exemple, vous devez utiliser GCMAES128 pour les deux.
Dans le tableau précédent :
- IKEv2 correspond au Mode principal ou à la Phase 1.
- IPsec correspond au Mode rapide ou à la Phase 2.
- Groupe DH spécifie le groupe Diffie-Hellmen utilisé dans le Mode principal ou à la Phase 1.
- Groupe PFS spécifie le groupe Diffie-Hellmen utilisé dans le Mode rapide ou à la Phase 2.
La durée de vie de l’association de sécurité IKEv2 en mode principal est fixée à 28 800 secondes sur les passerelles VPN Azure Stack Hub.
Le tableau suivant répertorie les groupes Diffie-Hellman correspondants pris en charge par la stratégie personnalisée :
Groupe Diffie-Hellman | DHGroup | PFSGroup | Longueur de clé |
---|---|---|---|
1 | DHGroup1 | PFS1 | MODP 768 bits |
2 | DHGroup2 | PFS2 | MODP 1 024 bits |
14 | DHGroup14 DHGroup2048 |
PFS2048 | MODP 2 048 bits |
19 | ECP256* | ECP256 | ECP 256 bits |
20 | ECP384 | ECP384 | ECP 384 bits |
24 | DHGroup24* | PFS24 | MODP 2 048 bits |
* Ces paramètres sont disponibles uniquement dans les builds 2002 et les versions ultérieures.
Pour en savoir plus, voir RFC3526 et RFC5114.
Partie 3 - Créer une connexion VPN site à site avec une stratégie IPsec/IKE
Cette section vous guide tout au long des étapes de création d’une connexion VPN site à site avec une stratégie IPsec/IKE. Les étapes suivantes créent la connexion, comme indiqué dans la figure suivante :
Pour obtenir des instructions détaillées sur la création d’une connexion VPN site à site, consultezCréer une connexion VPN site à site.
Étape 1 : création du réseau virtuel, de la passerelle VPN et de la passerelle de réseau local
1. Déclarer des variables
Pour cet exercice, commencez par déclarer les variables suivantes. Veillez à remplacer les espaces réservés par vos propres valeurs durant la configuration dans un environnement de production :
$Sub1 = "<YourSubscriptionName>"
$RG1 = "TestPolicyRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GW1IPName1 = "VNet1GWIP1"
$GW1IPconf1 = "gw1ipconf1"
$Connection16 = "VNet1toSite6"
$LNGName6 = "Site6"
$LNGPrefix61 = "10.61.0.0/16"
$LNGPrefix62 = "10.62.0.0/16"
$LNGIP6 = "131.107.72.22"
2. Se connecter à votre abonnement et créer un groupe de ressources
Pour utiliser les applets de commande Resource Manager, passez au mode PowerShell. Pour plus d’informations, consultez Se connecter à Azure Stack Hub en tant qu’utilisateur avec PowerShell.
Ouvrez votre console PowerShell, puis connectez-vous à votre compte. Exemple :
Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1
3. Créer le réseau virtuel, la passerelle VPN et la passerelle de réseau local
L’exemple suivant crée le réseau virtuel TestVNet1 avec trois sous-réseaux et la passerelle VPN. Quand vous substituez des valeurs, pensez toujours à nommer de manière spécifique votre sous-réseau de passerelle GatewaySubnet. Si vous le nommez autrement, la création de votre passerelle échoue.
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" `
-VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 `
-Subnet $subnet1 -PublicIpAddress $gw1pip1
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku VpnGw1
New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 `
-Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix `
$LNGPrefix61,$LNGPrefix62
Étape 2 - Créer une connexion VPN site à site avec une stratégie IPsec/IKE
1. Créez une stratégie IPsec/IKE.
Cet exemple de script crée une stratégie IPsec/IKE avec les algorithmes et les paramètres suivants :
- IKEv2 : AES128, SHA1, DHGroup14
- IPsec : AES256, SHA256, aucun, durée de vie de l’association de sécurité de 14 400 secondes et 102 400 000 Ko
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup none -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
Si vous utilisez des algorithmes GCMAES pour IPsec, vous devez utiliser les mêmes algorithme GCMAES et longueur de clé pour le chiffrement IPsec et l’intégrité IPsec.
2. Créer la connexion VPN site à site avec la stratégie IPsec/IKE
Créez une connexion VPN site à site et appliquez la stratégie IPsec/IKE que vous avez créée :
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'Azs123'
Important
Une fois qu’une stratégie IPsec/IKE est spécifiée sur une connexion, la passerelle VPN Azure envoie ou accepte uniquement la proposition IPsec/IKE avec les algorithmes de chiffrement et forces de clés spécifiés sur cette connexion. Vérifiez que votre périphérique VPN local pour la connexion utilise ou accepte la combinaison de stratégies appropriée, sinon le tunnel VPN site à site ne pourra pas être établi.
Partie 4 - Mise à jour de la stratégie IPsec/IKE pour une connexion
La section précédente a expliqué comment gérer la stratégie IPsec/IKE pour une connexion site à site existante. Cette section décrit les opérations suivantes sur une connexion :
- Afficher la stratégie IPsec/IKE d’une connexion.
- Ajouter la stratégie IPsec/IKE à une connexion ou la mettre à jour.
- Supprimer la stratégie IPsec/IKE d’une connexion.
Remarque
Une stratégie IPsec/IKE est prise en charge uniquement sur des passerelles VPN Standard et HighPerformance basées sur itinéraires. Elle ne fonctionne pas sur la référence de passerelle De base.
1. Afficher la stratégie IPsec/IKE d’une connexion
L’exemple suivant montre comment configurer la stratégie IPsec/IKE sur une connexion. Les scripts se poursuivent également à partir des exercices précédents.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
La dernière commande liste la stratégie IPsec/IKE actuelle configurée sur la connexion, le cas échéant. L’exemple suivant est un exemple de sortie pour la connexion :
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
Si aucune stratégie IPsec/IKE n’est configurée, la commande $connection6.policy
obtient un retour vide. Cela ne signifie pas qu’IPsec/IKE n’est pas configuré sur la connexion. Cela signifie qu’il n’existe pas de stratégie IPsec/IKE personnalisée. La connexion réelle utilise la stratégie par défaut négociée entre votre périphérique VPN local et la passerelle VPN Azure.
2. Ajouter ou mettre à jour une stratégie IPsec/IKE pour une connexion
Les étapes qui permettent d’ajouter une nouvelle stratégie ou de mettre à jour une stratégie existante sur une connexion sont les mêmes. Créez une stratégie, puis appliquez-la à la connexion :
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$newpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
$connection6.SharedKey = "AzS123"
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6
Vous pouvez à nouveau établir la connexion pour vérifier si la stratégie est mise à jour :
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
La sortie de la dernière ligne devrait être celle illustrée dans l’exemple suivant :
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
3. Supprimer une stratégie IPsec/IKE d’une connexion
Une fois que vous avez supprimé la stratégie personnalisée d’une connexion, la passerelle VPN Azure rétablit la proposition IPsec/IKE par défaut, puis renégocie avec votre périphérique VPN local.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.SharedKey = "AzS123"
$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6
Vous pouvez utiliser ce script pour vérifier si la stratégie a été supprimée de la connexion.