Mengonfigurasi kebijakan koneksi IPsec/IKE kustom untuk VPN S2S dan VNet-ke-VNet: portal Azure

  • Artikel

Artikel ini memandu Anda dalam memahami langkah-langkah untuk mengonfigurasi kebijakan IPsec/IKE untuk VPN Gateway Site-to-Site VPN atau koneksi VNet-to-VNet menggunakan portal Azure. Bagian berikut ini membantu Anda membuat dan mengonfigurasi kebijakan IPsec/IKE, dan menerapkan kebijakan tersebut ke koneksi baru atau yang sudah ada.

Alur kerja

Instruksi dalam artikel ini membantu Anda menyiapkan dan mengonfigurasi kebijakan IPsec/IKE seperti yang ditunjukkan dalam diagram berikut.

Diagram memperlihatkan kebijakan IPsec/IKE untuk gateway VPN VNet-ke-VNet dan Situs-ke-Situs.

  1. Membuat jaringan virtual dan sebuah gateway VPN.
  2. Membuat gateway jaringan lokal untuk koneksi lintas tempat, atau jaringan virtual dan gateway lain untuk koneksi VNet-to-VNet.
  3. Membuat koneksi (IPsec atau VNet2VNet).
  4. Mengonfigurasi/memperbarui/menghapus kebijakan IPsec/IKE pada sumber daya koneksi.

Parameter Azure Policy

Standar protokol IPsec dan IKE mendukung berbagai algoritma kriptografi dalam berbagai macam kombinasi. Lihat Tentang persyaratan kriptografi dan Azure VPN gateway untuk melihat bagaimana hal ini dapat membantu memastikan konektivitas lintas lokal dan VNet-ke-VNet untuk memenuhi persyaratan kepatuhan atau keamanan Anda. Perhatikan pertimbangan berikut:

  • Kebijakan IPsec/IKE hanya berfungsi pada SKU gateway berikut:
    • VpnGw1~5 and VpnGw1AZ~5AZ
    • Standard dan HighPerformance
  • Anda hanya dapat menentukan satu kombinasi kebijakan untuk koneksi tertentu.
  • Anda harus menentukan semua algoritma dan parameter untuk IKE (Mode Utama) dan IPsec (Mode Cepat). Spesifikasi kebijakan sebagian tidak diperbolehkan.
  • Konsultasikan dengan spesifikasi vendor perangkat VPN Anda untuk memastikan kebijakannya didukung di perangkat VPN lokal Anda. Koneksi S2S atau VNet-ke-VNet tidak dapat dibuat jika kebijakan tidak kompatibel.

Algoritma kriptografi & kekuatan utama

Tabel berikut mencantumkan algoritma kriptografi dan kekuatan kunci yang dapat dikonfigurasi yang didukung.

IPsec/IKEv2 Opsi
Enkripsi IKEv2 GCMAES256, GCMAES128, AES256, AES192, AES128
Integritas IKEv2 SHA384, SHA256, SHA1, MD5
Grup DH DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
Enkripsi IPsec GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Kosong
Integritas IPsec GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Grup PFS PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Kosong
Masa pakai QM SA (Opsional: nilai default digunakan jika tidak ditentukan)
Detik (bilangan bulat; min. 300/default 27000 detik)
KBytes (bilangan bulat; min. 1024/default 102400000 KBytes)
Pemilih Lalu Lintas UsePolicyBasedTrafficSelectors** ($True/$False; Opsional, default $False jika tidak ditentukan)
Batas waktu DPD Detik (bilangan bulat: min. 9/maks. 3600 detik; default 45 detik)

  • Konfigurasi perangkat VPN lokal Anda harus cocok atau berisi algoritma dan parameter berikut yang Anda tentukan di kebijakan Azure IPsec/IKE:

    • Algoritma enkripsi IKE (Mode Utama / Fase 1)
    • Algoritma integritas IKE (Mode Utama / Fase 1)
    • Grup DH (Mode Utama / Fase 1)
    • Algoritma enkripsi IPsec (Mode Cepat / Fase 2)
    • Algoritma integritas IPsec (Mode Cepat / Fase 2)
    • Grup PFS (Mode Cepat / Fase 2)
    • Pemilih Lalu Lintas (jika digunakan UsePolicyBasedTrafficSelectors)
    • Masa pakai SA hanya spesifikasi lokal, dan tidak perlu cocok.

  • Jika GCMAES digunakan untuk algoritma Enkripsi IPsec, Anda harus memilih algoritma GCMAES yang sama dan panjang kunci untuk Integritas IPsec; misalnya, menggunakan GCMAES128 untuk keduanya.

  • Dalam tabel Algoritma dan kunci:

    • IKE sesuai dengan Mode Utama atau Fase 1.
    • IPsec sesuai dengan Mode Cepat atau Fase 2.
    • Grup DH menentukan Grup Diffie-Hellman yang digunakan dalam Mode Utama atau Fase 1.
    • Grup PFS menentukan Grup Diffie-Hellman yang digunakan dalam Mode Cepat atau Fase 2.

  • Masa pakai IKE Main Mode SA diperbaiki pada 28.800 detik di gateway Azure VPN.

  • 'UsePolicyBasedTrafficSelectors' adalah parameter opsional pada koneksi. Mengatur UsePolicyBasedTrafficSelectors" $True pada koneksi akan mengonfigurasi gateway Azure VPN untuk terhubung ke firewall VPN berbasis kebijakan secara lokal. Jika Anda mengaktifkan PolicyBasedTrafficSelectors, Anda perlu memastikan perangkat VPN Anda memiliki pemilih lalu lintas yang cocok yang ditentukan dengan semua kombinasi awalan jaringan lokal (gateway jaringan lokal) Anda ke/dari awalan jaringan virtual Azure, alih-alih apa pun. Gateway Azure VPN menerima pemilih lalu lintas apa pun yang diusulkan oleh gateway VPN jarak jauh terlepas dari apa yang dikonfigurasi di gateway VPN Azure.

    Misalnya, jika awalan jaringan lokal Anda adalah 10.1.0.0/16 dan 10.2.0.0/16, dan awalan jaringan virtual Anda adalah 192.168.0.0/16 dan 172.16.0.0/16, Anda perlu menentukan pemilih lalu lintas berikut:

    • 10.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/16

    Untuk informasi selengkapnya tentang pemilih lalu lintas berbasis kebijakan, lihat Menghubungkan beberapa perangkat VPN berbasis kebijakan lokal.

  • Batas waktu DPD - Nilai default adalah 45 detik di gateway Azure VPN. Mengatur waktu habis ke periode yang lebih singkat akan menyebabkan IKE untuk rekey lebih agresif, menyebabkan koneksi tampak terputus dalam beberapa kasus. Hal ini mungkin tidak diinginkan jika lokasi lokal Anda lebih jauh dari wilayah Azure tempat gateway VPN berada, atau kondisi tautan fisik dapat menimbulkan kehilangan paket. Rekomendasi umum adalah mengatur waktu habis antara 30 hingga 45 detik.

Catatan

Integritas IKEv2 digunakan untuk Integritas dan PRF(fungsi pseudo-random).  Jika algoritma Enkripsi IKEv2 yang ditentukan adalah GCM*, nilai yang diteruskan dalam Integritas IKEv2 hanya digunakan untuk PRF dan secara implisit kami mengatur Integritas IKEv2 ke GCM*. Dalam semua kasus lain, nilai yang diteruskan dalam Integritas IKEv2 digunakan untuk Integritas IKEv2 dan PRF.

Grup Diffie-Hellman

Tabel berikut mencantumkan grup Diffie-Hellman terkait yang didukung oleh kebijakan kustom:

Grup Diffie-Hellman DHGroup PFSGroup Panjang kunci
1 DHGroup1 PFS1 MODP 768-bit
2 DHGroup2 PFS2 MODP 1024-bit
14 DHGroup14
DHGroup2048		 PFS2048 MODP 2048-bit
19 ECP256 ECP256 ECP 256-bit
20 ECP384 ECP384 384-bit ECP
24 DHGroup24 PFS24 MODP 2048-bit

Untuk informasi selengkapnya, lihat RFC3526 dan RFC5114.

Membuat koneksi VPN S2S dengan kebijakan kustom

Bagian ini memandu Anda memahami langkah-langkah pembuatan koneksi S2S VPN dengan kebijakan IPsec/IKE. Langkah-langkah berikut membuat koneksi seperti yang diperlihatkan dalam diagram berikut. Situs lokal dalam diagram ini mewakili Site6.

Diagram memperlihatkan koneksi gateway vpn situs-ke-situs dengan kebijakan kustom.

Langkah 1: Buat jaringan virtual, gateway VPN, dan gateway jaringan lokal untuk TestVNet1

Buat sumber daya berikut. Untuk langkah-langkahnya, lihat Membuat koneksi VPN situs ke situs ke Azure.

  1. Buat jaringan virtual TestVNet1 menggunakan nilai berikut.

    • Grup sumber daya: TestRG1
    • Nama: TestVNet1
    • Wilayah: (US) US Timur
    • Ruang alamat IPv4: 10.1.0.0/16
    • Nama Subnet 1: FrontEnd
    • Rentang alamat subnet 1: 10.1.0.0/24
    • Nama Subnet 2: BackEnd
    • Rentang alamat subnet 2: 10.1.1.0/24

  2. Buat gateway jaringan virtual VNet1GW menggunakan nilai berikut.

    • Nama: VNet1GW
    • Wilayah: US Timur
    • Jenis gateway: VPN
    • Jenis VPN: Berbasis rute
    • SKU: VpnGw2
    • Generasi: Generasi 2
    • Jaringan virtual: VNet1
    • Rentang alamat subnet Gateway: 10.1.255.0/27
    • Jenis alamat IP publik: Dasar atau Standar
    • Alamat IP publik: Buat baru
    • Nama alamat IP publik: VNet1GWpip
    • Aktifkan mode aktif-aktif: Nonaktifkan
    • Konfigurasikan BGP: Nonaktifkan

Langkah 2: Mengonfigurasi gateway jaringan lokal dan sumber daya koneksi

  1. Buat sumber daya gateway jaringan lokal Site6 menggunakan nilai berikut.

    • Nama: Site6
    • Grup Sumber Daya: TestRG1
    • Lokasi: US Timur
    • Alamat IP gateway lokal: 5.4.3.2 (nilai contoh saja - gunakan alamat IP perangkat lokal Anda)
    • Ruang Alamat 10.61.0.0/16, 10.62.0.0/16 (nilai contoh saja)

  2. Dari gateway jaringan virtual, tambahkan koneksi ke gateway jaringan lokal menggunakan nilai berikut.

    • nama Koneksi ion: VNet1toSite6
    • jenis Koneksi ion: Ipsec
    • Gateway jaringan lokal: Site6
    • Kunci bersama: abc123 (nilai contoh - harus cocok dengan kunci perangkat lokal yang digunakan)
    • Protokol IKE: IKEv2

Langkah 3: Mengonfigurasi kebijakan IPsec/IKE kustom pada koneksi VPN S2S

Konfigurasikan kebijakan IPsec/IKE kustom dengan algoritma dan parameter berikut:

  • IKE Fase 1: AES256, SHA384, DHGroup24
  • IKE Fase 2(IPsec): AES256, SHA256, PFS None
  • Masa Pakai IPsec SA di KB: 102400000
  • Masa pakai IPsec SA dalam hitungan detik: 30000
  • Batas waktu DPD: 45 detik

  1. Buka sumber daya Koneksi ion yang Anda buat, VNet1toSite6. Buka halaman Konfigurasi . Pilih Kebijakan IPsec/IKE kustom untuk menampilkan semua opsi konfigurasi. Cuplikan layar berikut menunjukkan konfigurasi sesuai dengan daftar:

    Cuplikan layar memperlihatkan konfigurasi koneksi Situs 6.

    Jika Anda menggunakan GCMAES untuk IPsec, Anda harus menggunakan algoritma GCMAES dan panjang kunci yang sama untuk enkripsi dan integritas IPsec. Misalnya, cuplikan layar berikut menentukan GCMAES128 untuk enkripsi IPsec dan integritas IPsec:

    Cuplikan layar memperlihatkan GCMAES untuk IPsec.

  2. Jika Anda ingin mengaktifkan gateway Azure VPN untuk menyambungkan ke perangkat VPN lokal berbasis kebijakan, Anda dapat memilih Aktifkan untuk opsi Gunakan pemilih lalu lintas berbasis kebijakan.

  3. Setelah semua opsi dipilih, pilih Simpan untuk menerapkan perubahan pada sumber daya koneksi. Kebijakan akan diberlakukan dalam waktu sekitar satu menit.

    Penting

    • Setelah kebijakan IPsec/IKE ditentukan pada koneksi, gateway Azure VPN hanya akan mengirim atau menerima proposal IPsec/IKE dengan algoritma kriptografi tertentu dan kekuatan kunci pada koneksi tertentu. Pastikan perangkat VPN lokal Anda untuk koneksi menggunakan atau menerima kombinasi kebijakan yang tepat, jika tidak terowongan VPN S2S tidak akan terbentuk.

    • Pemilih lalu lintas berbasis kebijakan dan opsi batas waktu DPD dapat ditentukan dengan kebijakan Default , tanpa kebijakan IPsec/IKE kustom.

Membuat koneksi VNet-ke-VNet dengan kebijakan kustom

Langkah-langkah membuat koneksi VNet-to-VNet dengan kebijakan IPsec/IKE mirip dengan koneksi S2S VPN. Anda harus menyelesaikan bagian sebelumnya di Membuat koneksi vpn S2S untuk membuat dan mengonfigurasi TestVNet1 dan gateway VPN.

Diagram menunjukkan diagram kebijakan VNet-ke-VNet untuk TestVNet1 dan TestVNet2.

Langkah 1: Buat jaringan virtual, gateway VPN, dan gateway jaringan lokal untuk TestVNet2

Gunakan langkah-langkah dalam artikel Membuat koneksi VNet-ke-VNet untuk membuat TestVNet2, dan membuat koneksi VNet-ke-VNet ke TestVNet1.

Nilai contoh:

Jaringan virtual TestVNet2

  • Grup sumber daya: TestRG2
  • Nama: TestVNet2
  • Wilayah: (AS) US Barat
  • Ruang alamat IPv4: 10.2.0.0/16
  • Nama Subnet 1: FrontEnd
  • Rentang alamat subnet 1: 10.2.0.0/24
  • Nama Subnet 2: BackEnd
  • Rentang alamat subnet 2: 10.2.1.0/24

Gateway VPN: VNet2GW

  • Nama: VNet2GW
  • Wilayah: US Barat
  • Jenis gateway: VPN
  • Jenis VPN: Berbasis rute
  • SKU: VpnGw2
  • Generasi: Generasi 2
  • Jaringan virtual: TestVNet2
  • Rentang alamat subnet gateway: 10.2.255.0/27
  • Jenis alamat IP publik: Dasar atau Standar
  • Alamat IP publik: Buat baru
  • Nama alamat IP publik: VNet2GWpip
  • Aktifkan mode aktif-aktif: Nonaktifkan
  • Konfigurasikan BGP: Nonaktifkan

Langkah 2: Mengonfigurasi koneksi VNet-ke-VNet

  1. Dari gateway VNet1GW, tambahkan koneksi VNet-ke-VNet ke VNet2GW bernama VNet1toVNet2.

  2. Selanjutnya, dari VNet2GW, tambahkan koneksi VNet-ke-VNet ke VNet1GW bernama VNet2toVNet1.

  3. Setelah menambahkan koneksi, Anda akan melihat koneksi VNet-ke-VNet seperti yang ditunjukkan pada cuplikan layar berikut dari sumber daya VNet2GW:

    Cuplikan layar memperlihatkan koneksi VNet-ke-VNet.

Langkah 3: Mengonfigurasi kebijakan IPsec/IKE kustom di VNet1toVNet2

  1. Dari sumber daya koneksi VNet1toVNet2 , buka halaman Konfigurasi .

  2. Untuk kebijakan IPsec/IKE, pilih Kustom untuk menampilkan opsi kebijakan kustom. Pilih algoritma kriptografi dengan panjang kunci yang sesuai. Kebijakan ini tidak perlu cocok dengan kebijakan sebelumnya yang Anda buat untuk koneksi VNet1toSite6.

    Nilai contoh:

    • IKE Fase 1: AES128, SHA1, DHGroup14
    • IKE Fase 2(IPsec): GCMAES128, GCMAES128, PFS2048
    • Masa Pakai IPsec SA di KB: 102400000
    • Masa pakai IPsec SA dalam hitungan detik: 14400
    • Batas waktu DPD: 45 detik

  3. Pilih Simpan di bagian atas halaman untuk menerapkan perubahan kebijakan pada sumber daya koneksi.

Langkah 4: Mengonfigurasi kebijakan IPsec/IKE kustom di VNet2toVNet1

  1. Terapkan kebijakan yang sama ke koneksi VNet2toVNet1, VNet2toVNet1. Jika tidak, terowongan VPN IPsec/IKE tidak akan tersambung karena ketidakcocokan kebijakan.

    Penting

    Setelah kebijakan IPsec/IKE ditentukan pada koneksi, gateway Azure VPN hanya akan mengirim atau menerima proposal IPsec/IKE dengan algoritma kriptografi tertentu dan kekuatan kunci pada koneksi tertentu. Pastikan kebijakan IPsec untuk kedua koneksi sama, jika tidak koneksi VNet-to-VNet tidak akan tersambung.

  2. Setelah Anda menyelesaikan langkah-langkah ini, koneksi dibuat dalam beberapa menit, dan Anda akan memiliki topologi jaringan berikut.

    Diagram menunjukkan kebijakan IPsec/IKE untuk VNet-ke-VNet dan VPN S2S.

Untuk menghapus kebijakan kustom dari koneksi

  1. Untuk menghapus kebijakan kustom dari koneksi, buka sumber daya koneksi.
  2. Pada halaman Konfigurasi , ubah kebijakan IPse /IKE dari Kustom ke Default. Ini menghapus semua kebijakan kustom yang sebelumnya ditentukan pada koneksi, dan memulihkan pengaturan IPsec/IKE Default pada koneksi ini.
  3. Pilih Simpan untuk menghapus kebijakan kustom dan memulihkan pengaturan IPsec/IKE default pada koneksi.

Tanya Jawab Umum kebijakan IPsec/IKE

Untuk melihat pertanyaan yang sering diajukan, buka bagian kebijakan IPsec/IKE dari FAQ VPN Gateway.

Langkah berikutnya

Untuk informasi selengkapnya tentang pemilih lalu lintas berbasis kebijakan, lihat Koneksi beberapa perangkat VPN berbasis kebijakan lokal.