Tentang persyaratan kriptografi dan gateway Azure VPN
Artikel ini membahas cara yang bisa Anda lakukan untuk mengonfigurasi gateway Azure VPN untuk memenuhi persyaratan kriptografi Anda untuk terowongan S2S VPN lintas tempat dan koneksi VNet-ke-VNet di Azure.
Tentang IKEv1 dan IKEv2 untuk koneksi Azure VPN
Umumnya, kami mengizinkan koneksi IKEv1 hanya untuk SKU Dasar dan mengizinkan koneksi IKEv2 untuk semua SKU gateway VPN selain SKU Dasar. SKU Dasar hanya memungkinkan 1 koneksi dan dengan batasan lain seperti performa, pelanggan yang menggunakan perangkat warisan hanya mendukung protokol IKEv1 yang memiliki pengalaman terbatas. Untuk meningkatkan pengalaman pelanggan yang menggunakan protokol IKEv1, kami sekarang mengizinkan koneksi IKEv1 untuk semua SKU gateway VPN, kecuali SKU Dasar. Untuk informasi selengkapnya, lihat SKU VPN Gateway. Perhatikan bahwa gateway VPN yang menggunakan IKEv1 mungkin mengalami sambungkan kembali terowongan selama mode Utama.
Ketika koneksi IKEv1 dan IKEv2 diterapkan ke gateway VPN yang sama, transit antara kedua koneksi ini dapat diakses secara otomatis.
Tentang parameter kebijakan IPsec dan IKE untuk Azure VPN gateway
Standar protokol IPsec dan IKE mendukung berbagai algoritma kriptografi dalam berbagai macam kombinasi. Jika Anda tidak meminta kombinasi algoritma dan parameter kriptografi tertentu, gateway VPN Azure menggunakan serangkaian proposal default. Rangkaian kebijakan default dipilih untuk memaksimalkan interoperabilitas dengan berbagai perangkat VPN pihak ketiga dalam konfigurasi default. Akibatnya, kebijakan dan jumlah proposal tidak dapat mencakup semua kemungkinan kombinasi algoritma kriptografi dan kekuatan kunci yang tersedia.
Kebijakan default
Kebijakan default yang ditetapkan untuk gateway Azure VPN tercantum dalam artikel: Tentang perangkat VPN dan parameter IPsec/IKE untuk koneksi VPN Gateway Situs ke Situs.
Tentang persyaratan kriptografi
Untuk komunikasi yang memerlukan algoritma atau parameter kriptografi tertentu, biasanya karena persyaratan kepatuhan atau keamanan, sekarang, Anda dapat mengonfigurasi gateway Azure VPN mereka untuk menggunakan kebijakan IPsec/IKE kustom dengan algoritma kriptografi dan kekuatan utama tertentu, bukan rangkaian kebijakan default Azure.
Misalnya, kebijakan mode utama IKEv2 untuk gateway Azure VPN hanya menggunakan Diffie-Hellman Group 2 (1024 bit), sedangkan Anda mungkin perlu menentukan grup yang lebih kuat untuk digunakan di IKE, seperti Grup 14 (2048-bit), Grup 24 (Grup MODP 2048-bit), atau ECP (grup kurva elips) masing-masing 256 atau 384 bit (Grup 19 dan Grup 20). Persyaratan serupa berlaku untuk kebijakan mode cepat IPsec juga.
Kebijakan IPsec/IKE kustom dengan gateway Azure VPN
Gateway Azure VPN sekarang mendukung kebijakan per koneksi, IPsec/IKE kustom. Untuk koneksi Situs ke Situs atau VNet-ke-VNet, Anda dapat memilih kombinasi algoritma kriptografi tertentu untuk IPsec dan IKE dengan kekuatan kunci yang diinginkan, seperti yang ditunjukkan dalam contoh berikut:
Anda dapat membuat kebijakan IPsec/IKE dan menerapkannya ke koneksi baru atau yang sudah ada.
Alur kerja
- Buat jaringan virtual, gateway VPN, atau gateway jaringan lokal untuk topologi konektivitas Anda seperti yang dijelaskan dalam dokumen cara penggunaan lainnya.
- Membuat kebijakan IPsec/IKE.
- Anda dapat menerapkan kebijakan saat membuat koneksi S2S atau VNet-ke-VNet.
- Jika koneksi sudah dibuat, Anda dapat menerapkan atau memperbarui kebijakan ke koneksi yang sudah ada.
Tanya Jawab Umum kebijakan IPsec/IKE
Apakah kebijakan IPsec/IKE kustom didukung di semua SKU Azure VPN Gateway?
Kebijakan IPsec/IKE kustom didukung pada semua SKU Azure VPN Gateway kecuali SKU Dasar.
Berapa banyak kebijakan yang dapat saya tentukan pada koneksi?
Anda hanya dapat menentukan satu kombinasi kebijakan untuk koneksi.
Dapatkah saya menentukan kebijakan parsial pada koneksi (misalnya, hanya algoritma IKE tetapi bukan IPsec)?
Tidak, Anda harus menentukan semua algoritma dan parameter untuk IKE (Mode Utama) dan IPsec (Mode Cepat). Spesifikasi kebijakan sebagian tidak diperbolehkan.
Algoritma dan kekuatan utama apa yang didukung oleh kebijakan kustom?
Tabel berikut mencantumkan algoritma kriptografi dan kekuatan kunci yang didukung yang dapat Anda konfigurasi. Anda harus memilih satu opsi untuk setiap bidang.
| IPsec/IKEv2 | Opsi |
|---|---|
| Enkripsi IKEv2 | GCMAES256, GCMAES128, AES256, AES192, AES128 |
| Integritas IKEv2 | SHA384, SHA256, SHA1, MD5 |
| Grup DH | DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None |
| Enkripsi IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Kosong |
| Integritas IPsec | GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5 |
| Grup PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Kosong |
| Masa pakai SA Mode Cepat | (Opsional; nilai default jika tidak ditentukan) Detik (bilangan bulat; minimum 300, default 27.000) Kilobyte (bilangan bulat; minimum 1.024, default 10.2400.000) |
| Pemilih lalu lintas | UsePolicyBasedTrafficSelectors ($True atau $False, tetapi opsional; default $False jika tidak ditentukan) |
| Batas waktu DPD | Detik (bilangan bulat; minimum 9, maksimum 3.600, default 45) |
Konfigurasi perangkat VPN lokal Anda harus cocok atau berisi algoritma dan parameter berikut yang Anda tentukan pada kebijakan Azure IPsec atau IKE:
- Algoritma enkripsi IKE (Mode Utama, Fase 1)
- Algoritma integritas IKE (Mode Utama, Fase 1)
- Grup DH (Mode Utama, Fase 1)
- Algoritma enkripsi IPsec (Mode Cepat, Fase 2)
- Algoritma integritas IPsec (Mode Cepat, Fase 2)
- Grup PFS (Mode Cepat, Fase 2)
- Pemilih lalu lintas (jika Anda menggunakan
UsePolicyBasedTrafficSelectors) - Masa pakai SA (spesifikasi lokal yang tidak perlu cocok)
Jika Anda menggunakan GCMAES untuk algoritma enkripsi IPsec, Anda harus memilih algoritma GCMAES yang sama dan panjang kunci untuk integritas IPsec. Misalnya, gunakan GCMAES128 untuk keduanya.
Dalam tabel algoritma dan kunci:
- IKE sesuai dengan Mode Utama atau Fase 1.
- IPsec sesuai dengan Mode Cepat atau Fase 2.
- Grup DH menentukan grup Diffie-Hellman yang digunakan dalam Mode Utama atau Fase 1.
- Grup PFS menentukan grup Diffie-Hellman yang digunakan dalam Mode Cepat atau Fase 2.
Masa pakai IKE Main Mode SA diperbaiki pada 28.800 detik di gateway Azure VPN.
UsePolicyBasedTrafficSelectorsadalah parameter opsional pada koneksi. Jika Anda mengaturUsePolicyBasedTrafficSelectorske$Truepada koneksi, itu mengonfigurasi gateway VPN untuk menyambungkan ke firewall VPN berbasis kebijakan lokal.Jika Anda mengaktifkan
UsePolicyBasedTrafficSelectors, pastikan bahwa perangkat VPN Anda memiliki pemilih lalu lintas yang cocok yang ditentukan dengan semua kombinasi awalan jaringan lokal (gateway jaringan lokal) Anda ke atau dari awalan jaringan virtual Azure, bukan prefiks apa pun. Gateway VPN menerima pemilih lalu lintas apa pun yang diusulkan gateway VPN jarak jauh, terlepas dari apa yang dikonfigurasi di gateway VPN.Misalnya, jika awalan jaringan lokal Anda adalah 10.1.0.0/16 dan 10.2.0.0/16, dan awalan jaringan virtual Anda adalah 192.168.0.0/16 dan 172.16.0.0/16, Anda perlu menentukan pemilih lalu lintas berikut:
- 10.1.0.0/16 <====> 192.168.0.0/16
- 10.1.0.0/16 <====> 172.16.0.0/16
- 10.2.0.0/16 <====> 192.168.0.0/16
- 10.2.0.0/16 <====> 172.16.0.0/16
Untuk informasi selengkapnya tentang pemilih lalu lintas berbasis kebijakan, lihat Menyambungkan gateway VPN ke beberapa perangkat VPN berbasis kebijakan lokal.
Mengatur batas waktu ke periode yang lebih singkat menyebabkan IKE melakukan rekey lebih agresif. Koneksi kemudian dapat tampak terputus dalam beberapa instans. Situasi ini mungkin tidak diinginkan jika lokasi lokal Anda lebih jauh dari wilayah Azure tempat gateway VPN berada, atau jika kondisi tautan fisik dapat menyebabkan kehilangan paket. Kami umumnya menyarankan Agar Anda mengatur batas waktu menjadi antara 30 dan 45 detik.
Untuk informasi selengkapnya, lihat Menyambungkan gateway VPN ke beberapa perangkat VPN berbasis kebijakan lokal.
Grup Diffie-Hellman mana yang didukung oleh kebijakan kustom?
Tabel berikut mencantumkan grup Diffie-Hellman terkait yang didukung kebijakan kustom:
| Grup Diffie-Hellman | DHGroup | PFSGroup | Panjang kunci |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | MODP 768-bit |
| 2 | DHGroup2 | PFS2 | MODP 1024-bit |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | MODP 2048-bit |
| 19 | ECP256 | ECP256 | ECP 256-bit |
| 20 | ECP384 | ECP384 | 384-bit ECP |
| 24 | DHGroup24 | PFS24 | MODP 2048-bit |
Untuk informasi selengkapnya, lihat RFC3526 dan RFC5114.
Apakah kebijakan kustom menggantikan kumpulan kebijakan IPsec/IKE default untuk gateway VPN?
Ya. Setelah Anda menentukan kebijakan kustom pada koneksi, Azure VPN Gateway hanya menggunakan kebijakan tersebut pada koneksi, baik sebagai inisiator IKE maupun responden IKE.
Jika saya menghapus kebijakan IPsec/IKE kustom, apakah koneksi menjadi tidak terlindungi?
Tidak, IPsec/IKE masih membantu melindungi koneksi. Setelah Anda menghapus kebijakan kustom dari koneksi, gateway VPN kembali ke daftar default proposal IPsec/IKE dan memulai ulang jabat tangan IKE dengan perangkat VPN lokal Anda.
Apakah menambahkan atau memperbarui kebijakan IPsec/IKE akan mengganggu koneksi VPN saya?
Ya. Ini dapat menyebabkan gangguan kecil (beberapa detik) karena gateway VPN merobek koneksi yang ada dan memulai ulang jabat tangan IKE untuk membangun kembali terowongan IPsec dengan algoritma dan parameter kriptografi baru. Pastikan perangkat VPN lokal Anda juga dikonfigurasi dengan algoritma yang cocok dan kekuatan kunci untuk meminimalkan gangguan.
Bisakah saya menggunakan kebijakan yang berbeda pada koneksi yang berbeda?
Ya. Kebijakan kustom diterapkan berdasarkan per koneksi. Anda dapat membuat dan menerapkan kebijakan IPsec/IKE yang berbeda pada koneksi yang berbeda.
Anda juga dapat memilih untuk menerapkan kebijakan kustom pada subset koneksi. Sisanya menggunakan kumpulan kebijakan IPsec/IKE default Azure.
Dapatkah saya menggunakan kebijakan kustom pada koneksi VNet-ke-VNet?
Ya. Anda dapat menerapkan kebijakan kustom pada koneksi lintas lokasi IPsec dan koneksi VNet-ke-VNet.
Apakah saya perlu menentukan kebijakan yang sama pada sumber daya koneksi VNet-ke-VNet?
Ya. Tunnel VNet-ke-VNet terdiri dari dua sumber daya koneksi di Azure, satu untuk setiap arah. Pastikan kedua sumber daya koneksi memiliki kebijakan yang sama. Jika tidak, koneksi VNet-ke-VNet tidak akan dibuat.
Berapa nilai batas waktu habis DPD default? Bisakah saya menentukan batas waktu habis DPD yang berbeda?
Batas waktu DPD default adalah 45 detik pada gateway VPN. Anda dapat menentukan nilai batas waktu DPD yang berbeda pada setiap koneksi IPsec atau VNet-ke-VNet, dari 9 detik hingga 3.600 detik.
Catatan
Mengatur batas waktu ke periode yang lebih singkat menyebabkan IKE melakukan rekey lebih agresif. Koneksi kemudian dapat tampak terputus dalam beberapa instans. Situasi ini mungkin tidak diinginkan jika lokasi lokal Anda lebih jauh dari wilayah Azure tempat gateway VPN berada, atau jika kondisi tautan fisik dapat menyebabkan kehilangan paket. Kami umumnya menyarankan Agar Anda mengatur batas waktu menjadi antara 30 dan 45 detik.
Apakah kebijakan IPsec/IKE kustom berfungsi pada koneksi ExpressRoute?
Tidak. Kebijakan IPsec/IKE hanya berfungsi pada koneksi VPN S2S dan VNet-ke-VNet melalui gateway VPN.
Bagaimana cara membuat koneksi dengan jenis protokol IKEv1 atau IKEv2?
Anda dapat membuat koneksi IKEv1 pada semua SKU jenis VPN berbasis rute, kecuali SKU Dasar, SKU Standar, dan SKU sebelumnya lainnya.
Anda dapat menentukan jenis protokol koneksi IKEv1 atau IKEv2 saat membuat koneksi. Jika Anda tidak menentukan jenis protokol koneksi, IKEv2 digunakan sebagai opsi default jika berlaku. Untuk informasi selengkapnya, lihat dokumentasi cmdlet Azure PowerShell.
Untuk informasi tentang jenis dan dukungan SKU untuk IKEv1 dan IKEv2, lihat Menyambungkan gateway VPN ke beberapa perangkat VPN berbasis kebijakan lokal.
Apakah transit antara koneksi IKEv1 dan IKEv2 diizinkan?
Ya.
Dapatkah saya memiliki koneksi situs-ke-situs IKEv1 pada SKU Dasar untuk jenis VPN berbasis rute?
Tidak. SKU Dasar tidak mendukung konfigurasi ini.
Bisakah saya mengubah jenis protokol koneksi setelah koneksi dibuat (IKEv1 ke IKEv2 dan sebaliknya)?
Nomor. Setelah membuat koneksi, Anda tidak dapat mengubah protokol IKEv1 dan IKEv2. Anda harus menghapus dan membuat ulang koneksi baru dengan jenis protokol yang diinginkan.
Mengapa koneksi IKEv1 saya sering terhubung kembali?
Jika perutean statis atau koneksi IKEv1 berbasis rute Anda terputus pada interval rutin, kemungkinan karena gateway VPN Anda tidak mendukung kunci ulang di tempat. Ketika Mode Utama sedang di-rekey, terowongan IKEv1 Anda terputus dan membutuhkan waktu hingga 5 detik untuk terhubung kembali. Nilai batas waktu negosiasi Mode Utama Anda menentukan frekuensi kunci ulang. Untuk mencegah koneksi kembali ini, Anda dapat beralih menggunakan IKEv2, yang mendukung kunci ulang di tempat.
Jika koneksi Anda terhubung kembali pada waktu acak, ikuti panduan pemecahan masalah.
Di mana saya dapat menemukan informasi dan langkah-langkah selengkapnya untuk konfigurasi?
Lihat artikel berikut:
- Mengonfigurasi kebijakan koneksi IPsec/IKE kustom untuk VPN S2S dan VNet-ke-VNet: portal Azure
- Mengonfigurasi kebijakan koneksi IPsec/IKE kustom untuk VPN S2S dan VNet-ke-VNet: PowerShell
Langkah berikutnya
Lihat Mengonfigurasi kebijakan IPsec/IKE untuk petunjuk langkah demi langkah dalam mengonfigurasi kebijakan IPsec/IKE kustom pada koneksi.
Lihat juga Menghubungkan beberapa perangkat VPN berbasis kebijakan untuk mempelajari opsi UsePolicyBasedTrafficSelectors.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk