Mengonfigurasi kebijakan koneksi IPsec/IKE kustom untuk VPN S2S dan VNet-ke-VNet: portal Azure
Artikel ini memandu Anda dalam memahami langkah-langkah untuk mengonfigurasi kebijakan IPsec/IKE untuk VPN Gateway Site-to-Site VPN atau koneksi VNet-to-VNet menggunakan portal Azure. Bagian berikut ini membantu Anda membuat dan mengonfigurasi kebijakan IPsec/IKE, dan menerapkan kebijakan tersebut ke koneksi baru atau yang sudah ada.
Alur kerja
Instruksi dalam artikel ini membantu Anda menyiapkan dan mengonfigurasi kebijakan IPsec/IKE seperti yang ditunjukkan dalam diagram berikut.
- Membuat jaringan virtual dan sebuah gateway VPN.
- Membuat gateway jaringan lokal untuk koneksi lintas tempat, atau jaringan virtual dan gateway lain untuk koneksi VNet-to-VNet.
- Membuat koneksi (IPsec atau VNet2VNet).
- Mengonfigurasi/memperbarui/menghapus kebijakan IPsec/IKE pada sumber daya koneksi.
Parameter Azure Policy
Standar protokol IPsec dan IKE mendukung berbagai algoritma kriptografi dalam berbagai macam kombinasi. Lihat Tentang persyaratan kriptografi dan Azure VPN gateway untuk melihat bagaimana hal ini dapat membantu memastikan konektivitas lintas lokal dan VNet-ke-VNet untuk memenuhi persyaratan kepatuhan atau keamanan Anda. Perhatikan pertimbangan berikut:
- Kebijakan IPsec/IKE hanya berfungsi pada SKU gateway berikut:
- VpnGw1~5 and VpnGw1AZ~5AZ
- Standard dan HighPerformance
- Anda hanya dapat menentukan satu kombinasi kebijakan untuk koneksi tertentu.
- Anda harus menentukan semua algoritma dan parameter untuk IKE (Mode Utama) dan IPsec (Mode Cepat). Spesifikasi kebijakan sebagian tidak diperbolehkan.
- Konsultasikan dengan spesifikasi vendor perangkat VPN Anda untuk memastikan kebijakannya didukung di perangkat VPN lokal Anda. Koneksi S2S atau VNet-ke-VNet tidak dapat dibuat jika kebijakan tidak kompatibel.
Algoritma kriptografi & kekuatan utama
Tabel berikut mencantumkan algoritma kriptografi dan kekuatan kunci yang dapat dikonfigurasi yang didukung.
| IPsec/IKEv2 | Opsi |
|---|---|
| Enkripsi IKEv2 | GCMAES256, GCMAES128, AES256, AES192, AES128 |
| Integritas IKEv2 | SHA384, SHA256, SHA1, MD5 |
| Grup DH | DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None |
| Enkripsi IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Kosong |
| Integritas IPsec | GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5 |
| Grup PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Kosong |
| Masa pakai SA Mode Cepat | (Opsional; nilai default jika tidak ditentukan) Detik (bilangan bulat; minimum 300, default 27.000) Kilobyte (bilangan bulat; minimum 1.024, default 10.2400.000) |
| Pemilih lalu lintas | UsePolicyBasedTrafficSelectors ($True atau $False, tetapi opsional; default $False jika tidak ditentukan) |
| Batas waktu DPD | Detik (bilangan bulat; minimum 9, maksimum 3.600, default 45) |
Konfigurasi perangkat VPN lokal Anda harus cocok atau berisi algoritma dan parameter berikut yang Anda tentukan pada kebijakan Azure IPsec atau IKE:
- Algoritma enkripsi IKE (Mode Utama, Fase 1)
- Algoritma integritas IKE (Mode Utama, Fase 1)
- Grup DH (Mode Utama, Fase 1)
- Algoritma enkripsi IPsec (Mode Cepat, Fase 2)
- Algoritma integritas IPsec (Mode Cepat, Fase 2)
- Grup PFS (Mode Cepat, Fase 2)
- Pemilih lalu lintas (jika Anda menggunakan
UsePolicyBasedTrafficSelectors) - Masa pakai SA (spesifikasi lokal yang tidak perlu cocok)
Jika Anda menggunakan GCMAES untuk algoritma enkripsi IPsec, Anda harus memilih algoritma GCMAES yang sama dan panjang kunci untuk integritas IPsec. Misalnya, gunakan GCMAES128 untuk keduanya.
Dalam tabel algoritma dan kunci:
- IKE sesuai dengan Mode Utama atau Fase 1.
- IPsec sesuai dengan Mode Cepat atau Fase 2.
- Grup DH menentukan grup Diffie-Hellman yang digunakan dalam Mode Utama atau Fase 1.
- Grup PFS menentukan grup Diffie-Hellman yang digunakan dalam Mode Cepat atau Fase 2.
Masa pakai IKE Main Mode SA diperbaiki pada 28.800 detik di gateway Azure VPN.
UsePolicyBasedTrafficSelectorsadalah parameter opsional pada koneksi. Jika Anda mengaturUsePolicyBasedTrafficSelectorske$Truepada koneksi, itu mengonfigurasi gateway VPN untuk menyambungkan ke firewall VPN berbasis kebijakan lokal.Jika Anda mengaktifkan
UsePolicyBasedTrafficSelectors, pastikan bahwa perangkat VPN Anda memiliki pemilih lalu lintas yang cocok yang ditentukan dengan semua kombinasi awalan jaringan lokal (gateway jaringan lokal) Anda ke atau dari awalan jaringan virtual Azure, bukan prefiks apa pun. Gateway VPN menerima pemilih lalu lintas apa pun yang diusulkan gateway VPN jarak jauh, terlepas dari apa yang dikonfigurasi di gateway VPN.Misalnya, jika awalan jaringan lokal Anda adalah 10.1.0.0/16 dan 10.2.0.0/16, dan awalan jaringan virtual Anda adalah 192.168.0.0/16 dan 172.16.0.0/16, Anda perlu menentukan pemilih lalu lintas berikut:
- 10.1.0.0/16 <====> 192.168.0.0/16
- 10.1.0.0/16 <====> 172.16.0.0/16
- 10.2.0.0/16 <====> 192.168.0.0/16
- 10.2.0.0/16 <====> 172.16.0.0/16
Untuk informasi selengkapnya tentang pemilih lalu lintas berbasis kebijakan, lihat Menyambungkan gateway VPN ke beberapa perangkat VPN berbasis kebijakan lokal.
Mengatur batas waktu ke periode yang lebih singkat menyebabkan IKE melakukan rekey lebih agresif. Koneksi kemudian dapat tampak terputus dalam beberapa instans. Situasi ini mungkin tidak diinginkan jika lokasi lokal Anda lebih jauh dari wilayah Azure tempat gateway VPN berada, atau jika kondisi tautan fisik dapat menyebabkan kehilangan paket. Kami umumnya menyarankan Agar Anda mengatur batas waktu menjadi antara 30 dan 45 detik.
Catatan
Integritas IKEv2 digunakan untuk Integritas dan PRF(fungsi pseudo-random). Jika algoritma Enkripsi IKEv2 yang ditentukan adalah GCM*, nilai yang diteruskan dalam Integritas IKEv2 hanya digunakan untuk PRF dan secara implisit kami mengatur Integritas IKEv2 ke GCM*. Dalam semua kasus lain, nilai yang diteruskan dalam Integritas IKEv2 digunakan untuk Integritas IKEv2 dan PRF.
Grup Diffie-Hellman
Tabel berikut mencantumkan grup Diffie-Hellman terkait yang didukung oleh kebijakan kustom:
| Grup Diffie-Hellman | DHGroup | PFSGroup | Panjang kunci |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | MODP 768-bit |
| 2 | DHGroup2 | PFS2 | MODP 1024-bit |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | MODP 2048-bit |
| 19 | ECP256 | ECP256 | ECP 256-bit |
| 20 | ECP384 | ECP384 | 384-bit ECP |
| 24 | DHGroup24 | PFS24 | MODP 2048-bit |
Untuk informasi selengkapnya, lihat RFC3526 dan RFC5114.
Membuat koneksi VPN S2S dengan kebijakan kustom
Bagian ini memandu Anda memahami langkah-langkah pembuatan koneksi S2S VPN dengan kebijakan IPsec/IKE. Langkah-langkah berikut membuat koneksi seperti yang diperlihatkan dalam diagram berikut. Situs lokal dalam diagram ini mewakili Site6.
Langkah 1: Buat jaringan virtual, gateway VPN, dan gateway jaringan lokal untuk TestVNet1
Buat sumber daya berikut. Untuk langkah-langkahnya, lihat Membuat koneksi VPN situs ke situs ke Azure.
Buat jaringan virtual TestVNet1 menggunakan nilai berikut.
- Grup sumber daya: TestRG1
- Nama: TestVNet1
- Wilayah: (US) US Timur
- Ruang alamat IPv4: 10.1.0.0/16
- Nama Subnet 1: FrontEnd
- Rentang alamat subnet 1: 10.1.0.0/24
- Nama Subnet 2: BackEnd
- Rentang alamat subnet 2: 10.1.1.0/24
Buat gateway jaringan virtual VNet1GW menggunakan nilai berikut.
- Nama: VNet1GW
- Wilayah: US Timur
- Jenis gateway: VPN
- Jenis VPN: Berbasis rute
- SKU: VpnGw2
- Generasi: Generasi 2
- Jaringan virtual: VNet1
- Rentang alamat subnet Gateway: 10.1.255.0/27
- Jenis alamat IP publik: Dasar atau Standar
- Alamat IP publik: Buat baru
- Nama alamat IP publik: VNet1GWpip
- Aktifkan mode aktif-aktif: Nonaktifkan
- Konfigurasikan BGP: Nonaktifkan
Langkah 2: Mengonfigurasi gateway jaringan lokal dan sumber daya koneksi
Buat sumber daya gateway jaringan lokal Site6 menggunakan nilai berikut.
- Nama: Site6
- Grup Sumber Daya: TestRG1
- Lokasi: US Timur
- Alamat IP gateway lokal: 5.4.3.2 (nilai contoh saja - gunakan alamat IP perangkat lokal Anda)
- Ruang Alamat 10.61.0.0/16, 10.62.0.0/16 (nilai contoh saja)
Dari gateway jaringan virtual, tambahkan koneksi ke gateway jaringan lokal menggunakan nilai berikut.
- Nama koneksi: VNet1toSite6
- Jenis koneksi: IPsec
- Gateway jaringan lokal: Site6
- Kunci bersama: abc123 (nilai contoh - harus cocok dengan kunci perangkat lokal yang digunakan)
- Protokol IKE: IKEv2
Langkah 3: Mengonfigurasi kebijakan IPsec/IKE kustom pada koneksi VPN S2S
Konfigurasikan kebijakan IPsec/IKE kustom dengan algoritma dan parameter berikut:
- IKE Fase 1: AES256, SHA384, DHGroup24
- IKE Fase 2(IPsec): AES256, SHA256, PFS None
- Masa Pakai IPsec SA di KB: 102400000
- Masa pakai IPsec SA dalam hitungan detik: 30000
- Batas waktu DPD: 45 detik
Buka sumber daya Koneksi yang Anda buat, VNet1toSite6. Buka halaman Konfigurasi . Pilih Kebijakan IPsec/IKE kustom untuk menampilkan semua opsi konfigurasi. Cuplikan layar berikut menunjukkan konfigurasi sesuai dengan daftar:
Jika Anda menggunakan GCMAES untuk IPsec, Anda harus menggunakan algoritma GCMAES dan panjang kunci yang sama untuk enkripsi dan integritas IPsec. Misalnya, cuplikan layar berikut menentukan GCMAES128 untuk enkripsi IPsec dan integritas IPsec:
Jika Anda ingin mengaktifkan gateway Azure VPN untuk menyambungkan ke perangkat VPN lokal berbasis kebijakan, Anda dapat memilih Aktifkan untuk opsi Gunakan pemilih lalu lintas berbasis kebijakan.
Setelah semua opsi dipilih, pilih Simpan untuk menerapkan perubahan pada sumber daya koneksi. Kebijakan akan diberlakukan dalam waktu sekitar satu menit.
Penting
Setelah kebijakan IPsec/IKE ditentukan pada koneksi, gateway Azure VPN hanya akan mengirim atau menerima proposal IPsec/IKE dengan algoritma kriptografi tertentu dan kekuatan kunci pada koneksi tertentu. Pastikan perangkat VPN lokal Anda untuk koneksi menggunakan atau menerima kombinasi kebijakan yang tepat, jika tidak terowongan VPN S2S tidak akan terbentuk.
Pemilih lalu lintas berbasis kebijakan dan opsi batas waktu DPD dapat ditentukan dengan kebijakan Default , tanpa kebijakan IPsec/IKE kustom.
Membuat koneksi VNet-ke-VNet dengan kebijakan kustom
Langkah-langkah membuat koneksi VNet-to-VNet dengan kebijakan IPsec/IKE mirip dengan koneksi S2S VPN. Anda harus menyelesaikan bagian sebelumnya di Membuat koneksi vpn S2S untuk membuat dan mengonfigurasi TestVNet1 dan gateway VPN.
Langkah 1: Buat jaringan virtual, gateway VPN, dan gateway jaringan lokal untuk TestVNet2
Gunakan langkah-langkah dalam artikel Membuat koneksi VNet-ke-VNet untuk membuat TestVNet2, dan membuat koneksi VNet-ke-VNet ke TestVNet1.
Nilai contoh:
Jaringan virtual TestVNet2
- Grup sumber daya: TestRG2
- Nama: TestVNet2
- Wilayah: (AS) US Barat
- Ruang alamat IPv4: 10.2.0.0/16
- Nama Subnet 1: FrontEnd
- Rentang alamat subnet 1: 10.2.0.0/24
- Nama Subnet 2: BackEnd
- Rentang alamat subnet 2: 10.2.1.0/24
Gateway VPN: VNet2GW
- Nama: VNet2GW
- Wilayah: US Barat
- Jenis gateway: VPN
- Jenis VPN: Berbasis rute
- SKU: VpnGw2
- Generasi: Generasi 2
- Jaringan virtual: TestVNet2
- Rentang alamat subnet gateway: 10.2.255.0/27
- Jenis alamat IP publik: Dasar atau Standar
- Alamat IP publik: Buat baru
- Nama alamat IP publik: VNet2GWpip
- Aktifkan mode aktif-aktif: Nonaktifkan
- Konfigurasikan BGP: Nonaktifkan
Langkah 2: Mengonfigurasi koneksi VNet-ke-VNet
Dari gateway VNet1GW, tambahkan koneksi VNet-ke-VNet ke VNet2GW bernama VNet1toVNet2.
Selanjutnya, dari VNet2GW, tambahkan koneksi VNet-ke-VNet ke VNet1GW bernama VNet2toVNet1.
Setelah menambahkan koneksi, Anda akan melihat koneksi VNet-ke-VNet seperti yang ditunjukkan pada cuplikan layar berikut dari sumber daya VNet2GW:
Langkah 3: Mengonfigurasi kebijakan IPsec/IKE kustom di VNet1toVNet2
Dari sumber daya koneksi VNet1toVNet2 , buka halaman Konfigurasi .
Untuk kebijakan IPsec/IKE, pilih Kustom untuk menampilkan opsi kebijakan kustom. Pilih algoritma kriptografi dengan panjang kunci yang sesuai. Kebijakan ini tidak perlu cocok dengan kebijakan sebelumnya yang Anda buat untuk koneksi VNet1toSite6.
Nilai contoh:
- IKE Fase 1: AES128, SHA1, DHGroup14
- IKE Fase 2(IPsec): GCMAES128, GCMAES128, PFS2048
- Masa Pakai IPsec SA di KB: 102400000
- Masa pakai IPsec SA dalam hitungan detik: 14400
- Batas waktu DPD: 45 detik
Pilih Simpan di bagian atas halaman untuk menerapkan perubahan kebijakan pada sumber daya koneksi.
Langkah 4: Mengonfigurasi kebijakan IPsec/IKE kustom di VNet2toVNet1
Terapkan kebijakan yang sama ke koneksi VNet2toVNet1, VNet2toVNet1. Jika tidak, terowongan VPN IPsec/IKE tidak akan tersambung karena ketidakcocokan kebijakan.
Penting
Setelah kebijakan IPsec/IKE ditentukan pada koneksi, gateway Azure VPN hanya akan mengirim atau menerima proposal IPsec/IKE dengan algoritma kriptografi tertentu dan kekuatan kunci pada koneksi tertentu. Pastikan kebijakan IPsec untuk kedua koneksi sama, jika tidak koneksi VNet-to-VNet tidak akan tersambung.
Setelah Anda menyelesaikan langkah-langkah ini, koneksi dibuat dalam beberapa menit, dan Anda akan memiliki topologi jaringan berikut.
Untuk menghapus kebijakan kustom dari koneksi
- Untuk menghapus kebijakan kustom dari koneksi, buka sumber daya koneksi.
- Pada halaman Konfigurasi , ubah kebijakan IPse /IKE dari Kustom ke Default. Ini menghapus semua kebijakan kustom yang sebelumnya ditentukan pada koneksi, dan memulihkan pengaturan IPsec/IKE Default pada koneksi ini.
- Pilih Simpan untuk menghapus kebijakan kustom dan memulihkan pengaturan IPsec/IKE default pada koneksi.
Tanya Jawab Umum kebijakan IPsec/IKE
Untuk melihat pertanyaan yang sering diajukan, buka bagian kebijakan IPsec/IKE dari FAQ VPN Gateway.
Langkah berikutnya
Untuk informasi selengkapnya tentang pemilih lalu lintas berbasis kebijakan, lihat Menyambungkan beberapa perangkat VPN berbasis kebijakan lokal.