Tentang persyaratan kriptografi dan gateway Azure VPN
Artikel ini membahas cara yang bisa Anda lakukan untuk mengonfigurasi gateway Azure VPN untuk memenuhi persyaratan kriptografi Anda untuk terowongan S2S VPN lintas tempat dan koneksi VNet-ke-VNet di Azure.
Tentang IKEv1 dan IKEv2 untuk koneksi Azure VPN
Umumnya, kami mengizinkan koneksi IKEv1 hanya untuk SKU Dasar dan mengizinkan koneksi IKEv2 untuk semua SKU gateway VPN selain SKU Dasar. SKU Dasar hanya memungkinkan 1 koneksi dan dengan batasan lain seperti performa, pelanggan yang menggunakan perangkat warisan hanya mendukung protokol IKEv1 yang memiliki pengalaman terbatas. Untuk meningkatkan pengalaman pelanggan yang menggunakan protokol IKEv1, kami sekarang mengizinkan koneksi IKEv1 untuk semua SKU gateway VPN, kecuali SKU Dasar. Untuk informasi selengkapnya, lihat SKU VPN Gateway. Perhatikan bahwa gateway VPN yang menggunakan IKEv1 mungkin mengalami sambungkan kembali terowongan selama mode Utama.
Ketika koneksi IKEv1 dan IKEv2 diterapkan ke gateway VPN yang sama, transit antara kedua koneksi ini dapat diakses secara otomatis.
Tentang parameter kebijakan IPsec dan IKE untuk Azure VPN gateway
Standar protokol IPsec dan IKE mendukung berbagai algoritma kriptografi dalam berbagai macam kombinasi. Jika Anda tidak meminta kombinasi algoritma dan parameter kriptografi tertentu, gateway VPN Azure menggunakan serangkaian proposal default. Rangkaian kebijakan default dipilih untuk memaksimalkan interoperabilitas dengan berbagai perangkat VPN pihak ketiga dalam konfigurasi default. Akibatnya, kebijakan dan jumlah proposal tidak dapat mencakup semua kemungkinan kombinasi algoritma kriptografi dan kekuatan kunci yang tersedia.
Kebijakan default
Kebijakan default yang ditetapkan untuk gateway Azure VPN tercantum dalam artikel: Tentang perangkat VPN dan parameter IPsec/IKE untuk koneksi VPN Gateway Situs ke Situs.
Tentang persyaratan kriptografi
Untuk komunikasi yang memerlukan algoritma atau parameter kriptografi tertentu, biasanya karena persyaratan kepatuhan atau keamanan, sekarang, Anda dapat mengonfigurasi gateway Azure VPN mereka untuk menggunakan kebijakan IPsec/IKE kustom dengan algoritma kriptografi dan kekuatan utama tertentu, bukan rangkaian kebijakan default Azure.
Misalnya, kebijakan mode utama IKEv2 untuk gateway Azure VPN hanya menggunakan Diffie-Hellman Group 2 (1024 bit), sedangkan Anda mungkin perlu menentukan grup yang lebih kuat untuk digunakan di IKE, seperti Grup 14 (2048-bit), Grup 24 (Grup MODP 2048-bit), atau ECP (grup kurva elips) masing-masing 256 atau 384 bit (Grup 19 dan Grup 20). Persyaratan serupa berlaku untuk kebijakan mode cepat IPsec juga.
Kebijakan IPsec/IKE kustom dengan gateway Azure VPN
Gateway Azure VPN sekarang mendukung kebijakan per koneksi, IPsec/IKE kustom. Untuk koneksi Situs ke Situs atau VNet-ke-VNet, Anda dapat memilih kombinasi algoritma kriptografi tertentu untuk IPsec dan IKE dengan kekuatan kunci yang diinginkan, seperti yang ditunjukkan dalam contoh berikut:
Anda dapat membuat kebijakan IPsec/IKE dan menerapkannya ke koneksi baru atau yang sudah ada.
Alur kerja
- Buat jaringan virtual, gateway VPN, atau gateway jaringan lokal untuk topologi konektivitas Anda seperti yang dijelaskan dalam dokumen cara penggunaan lainnya.
- Membuat kebijakan IPsec/IKE.
- Anda dapat menerapkan kebijakan saat membuat koneksi S2S atau VNet-ke-VNet.
- Jika koneksi sudah dibuat, Anda dapat menerapkan atau memperbarui kebijakan ke koneksi yang sudah ada.
Tanya Jawab Umum kebijakan IPsec/IKE
Apakah kebijakan IPsec/IKE kustom didukung di semua SKU Gateway Azure VPN?
Kebijakan IPsec/IKE kustom didukung di semua SKU Azure kecuali SKU Dasar.
Berapa banyak kebijakan yang dapat saya tentukan pada koneksi?
Anda hanya dapat menentukan satu kombinasi kebijakan untuk koneksi tertentu.
Bisakah saya menentukan kebijakan parsial pada koneksi? (misalnya, algoritma IKE saja tetapi bukan IPsec)
Tidak, Anda harus menentukan semua algoritma dan parameter untuk IKE (Mode Utama) dan IPsec (Mode Cepat). Spesifikasi kebijakan sebagian tidak diperbolehkan.
Apa saja kekuatan utama dan algoritma yang didukung dalam kebijakan kustom?
Tabel berikut mencantumkan algoritma kriptografi dan kekuatan kunci yang didukung yang dapat Anda konfigurasi. Anda harus memilih satu opsi untuk setiap bidang.
| IPsec/IKEv2 | Opsi |
|---|---|
| Enkripsi IKEv2 | GCMAES256, GCMAES128, AES256, AES192, AES128 |
| Integritas IKEv2 | SHA384, SHA256, SHA1, MD5 |
| Grup DH | DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None |
| Enkripsi IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Kosong |
| Integritas IPsec | GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5 |
| Grup PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Kosong |
| Masa pakai QM SA | (Opsional: nilai default digunakan jika tidak ditentukan) Detik (bilangan bulat; min. 300/default 27000 detik) KBytes (bilangan bulat; min. 1024/default 102400000 KBytes) |
| Pemilih Lalu Lintas | UsePolicyBasedTrafficSelectors** ($True/$False; Opsional, default $False jika tidak ditentukan) |
| Batas waktu DPD | Detik (bilangan bulat: min. 9/maks. 3600 detik; default 45 detik) |
Konfigurasi perangkat VPN lokal Anda harus cocok atau berisi algoritma dan parameter berikut yang Anda tentukan di kebijakan Azure IPsec/IKE:
- Algoritma enkripsi IKE (Mode Utama / Fase 1)
- Algoritma integritas IKE (Mode Utama / Fase 1)
- Grup DH (Mode Utama / Fase 1)
- Algoritma enkripsi IPsec (Mode Cepat / Fase 2)
- Algoritma integritas IPsec (Mode Cepat / Fase 2)
- Grup PFS (Mode Cepat / Fase 2)
- Pemilih Lalu Lintas (jika digunakan UsePolicyBasedTrafficSelectors)
- Masa pakai SA hanya spesifikasi lokal, dan tidak perlu cocok.
Jika GCMAES digunakan untuk algoritma Enkripsi IPsec, Anda harus memilih algoritma GCMAES yang sama dan panjang kunci untuk Integritas IPsec; misalnya, menggunakan GCMAES128 untuk keduanya.
Dalam tabel Algoritma dan kunci:
- IKE sesuai dengan Mode Utama atau Fase 1.
- IPsec sesuai dengan Mode Cepat atau Fase 2.
- Grup DH menentukan Grup Diffie-Hellman yang digunakan dalam Mode Utama atau Fase 1.
- Grup PFS menentukan Grup Diffie-Hellman yang digunakan dalam Mode Cepat atau Fase 2.
Masa pakai IKE Main Mode SA diperbaiki pada 28.800 detik di gateway Azure VPN.
'UsePolicyBasedTrafficSelectors' adalah parameter opsional pada koneksi. Mengatur UsePolicyBasedTrafficSelectors" $True pada koneksi akan mengonfigurasi gateway Azure VPN untuk terhubung ke firewall VPN berbasis kebijakan secara lokal. Jika Anda mengaktifkan PolicyBasedTrafficSelectors, Anda perlu memastikan perangkat VPN Anda memiliki pemilih lalu lintas yang cocok yang ditentukan dengan semua kombinasi awalan jaringan lokal (gateway jaringan lokal) Anda ke/dari awalan jaringan virtual Azure, alih-alih apa pun. Gateway Azure VPN menerima pemilih lalu lintas apa pun yang diusulkan oleh gateway VPN jarak jauh terlepas dari apa yang dikonfigurasi di gateway VPN Azure.
Misalnya, jika awalan jaringan lokal Anda adalah 10.1.0.0/16 dan 10.2.0.0/16, dan awalan jaringan virtual Anda adalah 192.168.0.0/16 dan 172.16.0.0/16, Anda perlu menentukan pemilih lalu lintas berikut:
- 10.1.0.0/16 <====> 192.168.0.0/16
- 10.1.0.0/16 <====> 172.16.0.0/16
- 10.2.0.0/16 <====> 192.168.0.0/16
- 10.2.0.0/16 <====> 172.16.0.0/16
Untuk informasi selengkapnya tentang pemilih lalu lintas berbasis kebijakan, lihat Menghubungkan beberapa perangkat VPN berbasis kebijakan lokal.
Batas waktu DPD - Nilai default adalah 45 detik di gateway Azure VPN. Mengatur waktu habis ke periode yang lebih singkat akan menyebabkan IKE untuk rekey lebih agresif, menyebabkan koneksi tampak terputus dalam beberapa kasus. Hal ini mungkin tidak diinginkan jika lokasi lokal Anda lebih jauh dari wilayah Azure tempat gateway VPN berada, atau kondisi tautan fisik dapat menimbulkan kehilangan paket. Rekomendasi umum adalah mengatur waktu habis antara 30 hingga 45 detik.
Untuk informasi selengkapnya, lihat Menyambungkan beberapa perangkat VPN berbasis kebijakan lokal.
Grup Diffie-Hellman mana yang didukung?
Tabel berikut mencantumkan grup Diffie-Hellman terkait yang didukung oleh kebijakan kustom:
| Grup Diffie-Hellman | DHGroup | PFSGroup | Panjang kunci |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | MODP 768-bit |
| 2 | DHGroup2 | PFS2 | MODP 1024-bit |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | MODP 2048-bit |
| 19 | ECP256 | ECP256 | ECP 256-bit |
| 20 | ECP384 | ECP384 | 384-bit ECP |
| 24 | DHGroup24 | PFS24 | MODP 2048-bit |
Lihat RFC3526 dan RFC5114 untuk detail selengkapnya.
Apakah kebijakan kustom menggantikan kumpulan kebijakan IPsec/IKE default untuk gateway Azure VPN?
Ya, setelah kebijakan kustom ditentukan pada koneksi, gateway Azure VPN hanya akan menggunakan kebijakan pada koneksi, baik sebagai inisiator IKE dan penanggap IKE.
Jika saya menghapus kebijakan IPsec/IKE kustom, apakah koneksi menjadi tidak terlindungi?
Tidak, koneksi akan tetap dilindungi oleh IPsec / IKE. Setelah Anda menghapus kebijakan kustom dari koneksi, gateway Azure VPN akan kembali ke daftar default proposal IPsec/IKE dan mulai ulang penukar IKE lagi dengan perangkat VPN lokal Anda.
Apakah menambahkan atau memperbarui kebijakan IPsec/IKE akan mengganggu koneksi VPN saya?
Ya, upaya itu bisa menyebabkan gangguan kecil (beberapa detik) karena gateway Azure VPN mengganggu koneksi yang ada dan memulai kembali penukar IKE untuk membangun tunnel IPsec kembali dengan algoritma dan parameter kriptografi baru. Pastikan perangkat VPN lokal Anda juga dikonfigurasi dengan algoritme dan kekuatan kunci yang cocok untuk meminimalkan gangguan.
Bisakah saya menggunakan kebijakan yang berbeda pada koneksi yang berbeda?
Ya. Kebijakan kustom diterapkan berdasarkan per koneksi. Anda dapat membuat dan menerapkan kebijakan IPsec/IKE yang berbeda pada koneksi yang berbeda. Anda juga dapat memilih untuk menerapkan kebijakan kustom pada subset koneksi. Sisanya menggunakan kumpulan kebijakan IPsec/IKE default Azure.
Bisakah saya menggunakan kebijakan kustom pada koneksi VNet-ke-VNet juga?
Ya, Anda dapat menerapkan kebijakan kustom pada koneksi lintas lokal IPsec atau koneksi VNet-ke-VNet.
Apakah saya perlu menentukan kebijakan yang sama pada sumber daya koneksi VNet-ke-VNet?
Ya. Tunnel VNet-ke-VNet terdiri dari dua sumber daya koneksi di Azure, satu untuk setiap arah. Pastikan kedua sumber daya koneksi memiliki kebijakan yang sama, jika tidak koneksi VNet ke VNet tidak akan dibuat.
Berapa nilai batas waktu habis DPD default? Bisakah saya menentukan batas waktu habis DPD yang berbeda?
Batas waktu habis DPD default adalah 45 detik. Anda dapat menentukan nilai batas waktu DPD yang berbeda pada setiap koneksi IPsec atau VNet-ke-VNet, dari 9 detik hingga 3600 detik.
Catatan
Nilai defaultnya adalah 45 detik pada gateway VPN Azure. Mengatur waktu habis ke periode yang lebih singkat akan menyebabkan IKE untuk rekey lebih agresif, menyebabkan koneksi tampak terputus dalam beberapa kasus. Ini mungkin tidak diinginkan jika lokasi lokal Anda lebih jauh dari wilayah Azure tempat gateway VPN berada, atau ketika kondisi tautan fisik dapat menyebabkan kehilangan paket. Rekomendasi umumnya adalah mengatur batas waktu antara 30 dan 45 detik.
Apakah kebijakan IPsec/IKE kustom berfungsi pada koneksi ExpressRoute?
Nomor. Kebijakan IPsec/IKE hanya berfungsi pada koneksi S2S VPN dan VNet-ke-VNet melalui gateway Azure VPN.
Bagaimana cara membuat koneksi dengan jenis protokol IKEv1 atau IKEv2?
Koneksi IKEv1 dapat dibuat di semua SKU jenis VPN RouteBased, kecuali SKU Dasar, SKU Standar, dan SKU warisan lainnya. Anda dapat menentukan jenis protokol koneksi IKEv1 atau IKEv2 saat membuat koneksi. Jika Anda tidak menentukan jenis protokol koneksi, IKEv2 digunakan sebagai opsi default jika berlaku. Untuk informasi selengkapnya, lihat dokumentasi cmdlet Powershell. Untuk jenis SKU dan dukungan IKEv1/IKEv2, lihat Menyambungkan gateway ke perangkat VPN berbasis kebijakan.
Apakah transit antara koneksi IKEv1 dan IKEv2 diizinkan?
Ya. Transit antara koneksi IKEv1 dan IKEv2 didukung.
Bisakah saya memiliki koneksi situs ke situs IKEv1 di SKU Dasar jenis RouteBased VPN?
Nomor. SKU Dasar tidak mendukung ini.
Bisakah saya mengubah jenis protokol koneksi setelah koneksi dibuat (IKEv1 ke IKEv2 dan sebaliknya)?
Nomor. Setelah koneksi dibuat, protokol IKEv1/IKEv2 tidak dapat dihapus. Anda harus menghapus dan membuat ulang sambungan baru dengan jenis protokol yang diinginkan.
Mengapa koneksi IKEv1 saya sering terhubung kembali?
Jika koneksi IKEv1 berbasis perutean statis atau rute Anda terputus pada interval rutin, kemungkinan karena gateway VPN tidak mendukung kunci ulang di tempat. Ketika mode Utama sedang di-kunci ulang, terowongan IKEv1 Anda akan terputus dan memakan waktu hingga 5 detik untuk terhubung kembali. Nilai batas waktu negosiasi mode Utama Anda menentukan frekuensi kunci ulang. Untuk mencegah koneksi kembali ini, Anda dapat beralih menggunakan IKEv2, yang mendukung kunci ulang di tempat.
Jika koneksi Anda terhubung kembali secara acak, ikuti panduan pemecahan masalah kami.
Di mana saya dapat menemukan informasi dan langkah-langkah konfigurasi?
Lihat artikel berikut untuk informasi selengkapnya dan langkah-langkah konfigurasi.
- Mengonfigurasi kebijakan IPsec/IKE untuk koneksi S2S atau VNet-ke-VNet - portal Azure
- Mengonfigurasi kebijakan IPsec/IKE untuk koneksi S2S atau VNet-ke-VNet - Azure PowerShell
Langkah berikutnya
Lihat Mengonfigurasi kebijakan IPsec/IKE untuk petunjuk langkah demi langkah dalam mengonfigurasi kebijakan IPsec/IKE kustom pada koneksi.
Lihat juga Menghubungkan beberapa perangkat VPN berbasis kebijakan untuk mempelajari opsi UsePolicyBasedTrafficSelectors.