Configurare i criteri IPsec/IKE per le connessioni VPN da sito a sito
Questo articolo descrive i passaggi per configurare un criterio IPsec/IKE per le connessioni VPN da sito a sito (S2S) nell'hub di Azure Stack.
Parametri dei criteri IPsec e IKE per gateway VPN
Lo standard di protocollo IPsec e IKE supporta un'ampia gamma di algoritmi di crittografia in varie combinazioni. Per vedere quali parametri sono supportati nell'hub di Azure Stack in modo da poter soddisfare i requisiti di conformità o di sicurezza, vedere Parametri IPsec/IKE.
Questo articolo fornisce istruzioni su come creare e configurare un criterio IPsec/IKE e applicarlo a una connessione nuova o esistente.
Considerazioni
Si notino le importanti considerazioni seguenti quando si usano questi criteri:
I criteri IPsec/IKE funzionano solo negli SKU del gateway Standard e HighPerformance (basato su route).
Per una determinata connessione è possibile specificare solo una combinazione di criteri.
È necessario specificare tutti gli algoritmi e i parametri sia per IKE (modalità principale) che per IPsec (modalità rapida). Non è consentito specificare criteri parziali.
Consultare le specifiche del fornitore del dispositivo VPN per verificare che i criteri siano supportati dai dispositivi VPN locali. Le connessioni da sito a sito non possono essere stabilite se i criteri non sono compatibili.
Prerequisiti
Prima di iniziare, verificare di aver soddisfatto i prerequisiti seguenti:
Una sottoscrizione di Azure. Se non si ha già una sottoscrizione di Azure, è possibile attivare i vantaggi del sottoscrittore MSDN o iscriversi per un account gratuito.
Cmdlet di Azure Resource Manager PowerShell. Per altre informazioni sull'installazione dei cmdlet di PowerShell, vedere Installare PowerShell per l'hub di Azure Stack.
Parte 1 - Creare e impostare criteri IPsec/IKE
Questa sezione descrive i passaggi necessari per creare e aggiornare i criteri IPsec/IKE in una connessione VPN da sito a sito:
Creare una rete virtuale e un gateway VPN.
Creare un gateway di rete locale per la connessione cross-premise.
Creare un criterio IPsec/IKE con algoritmi e parametri selezionati.
Creare una connessione IPSec con i criteri IPsec/IKE.
Aggiungere/aggiornare/rimuovere un criterio IPsec/IKE per una connessione esistente.
Le istruzioni riportate in questo articolo consentono di configurare e configurare i criteri IPsec/IKE, come illustrato nella figura seguente:
Parte 2: Algoritmi di crittografia supportati e vantaggi chiave
Nella tabella seguente sono elencati gli algoritmi di crittografia supportati e i punti di forza chiave configurabili dall'hub di Azure Stack:
| IPsec/IKEv2 | Opzioni |
|---|---|
| Crittografia IKEv2 | AES256, AES192, AES128, DES3, DES |
| Integrità IKEv2 | SHA384, SHA256, SHA1, MD5 |
| Gruppo DH | ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256*, DHGroup24* |
| Crittografia IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None |
| Integrità IPsec | GCMAES256, GCMAES192, GCMAES128, SHA256 |
| Gruppo PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, Nessuno |
| Durata associazione di sicurezza in modalità rapida | (Facoltativo: se non diversamente specificato, vengono usati i valori predefiniti) Secondi (intero; min. 300/valore predefinito di 27000 secondi) Kilobyte (intero; min 1024/valore predefinito di 102400000 KB) |
| Selettore di traffico | I selettore del traffico basato su criteri non sono supportati nell'hub di Azure Stack. |
Nota
L'impostazione della durata di QM SA troppo bassa richiede la richiavi non necessaria, che può ridurre le prestazioni.
* Questi parametri sono disponibili solo nelle build 2002 e versioni successive.
La configurazione del dispositivo VPN locale deve contenere o corrispondere agli algoritmi e ai parametri seguenti specificati nei criteri IPsec/IKE di Azure:
- Algoritmo di crittografia IKE (modalità principale/fase 1).
- Algoritmo di integrità IKE (modalità principale/fase 1).
- Gruppo DH (modalità principale/fase 1).
- Algoritmo di crittografia IPsec (modalità rapida/fase 2).
- Algoritmo di integrità IPsec (modalità rapida/fase 2).
- Gruppo PFS (modalità rapida/fase 2).
- Le durata sa sono solo specifiche locali e non devono corrispondere.
Se GCMAES viene usato come algoritmo di crittografia IPsec, è necessario selezionare lo stesso algoritmo GCMAES e la lunghezza della chiave per l'integrità IPsec; ad esempio, usando GCMAES128 per entrambi.
Nella tabella precedente:
- IKEv2 corrisponde alla modalità principale o alla fase 1.
- IPsec corrisponde alla modalità rapida o alla fase 2.
- Il gruppo DH specifica il gruppo di Diffie-Hellmen usato in modalità principale o fase 1.
- Il gruppo PFS specifica il gruppo di Diffie-Hellmen usato in modalità rapida o fase 2.
La durata della modalità principale IKEv2 è fissa a 28.800 secondi nei gateway VPN dell'hub di Azure Stack.
La tabella seguente elenca i gruppi di Diffie-Hellman corrispondenti supportati dal criterio personalizzato:
| Diffie-Hellman Group | DHGroup | PFSGroup | Lunghezza chiave |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | MODP a 768 bit |
| 2 | DHGroup2 | PFS2 | MODP a 1024 bit |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | MODP a 2048 bit |
| 19 | ECP256* | ECP256 | ECP a 256 bit |
| 20 | ECP384 | ECP384 | ECP a 384 bit |
| 24 | DHGroup24* | PFS24 | MODP a 2048 bit |
* Questi parametri sono disponibili solo nelle build 2002 e successive.
Per altre informazioni, vedere RFC3526 e RFC5114.
Parte 3- Creare una nuova connessione VPN da sito a sito con i criteri IPsec/IKE
Questa sezione illustra i passaggi per creare una connessione VPN da sito a sito con un criterio IPsec/IKE. La procedura seguente consente di creare la connessione, come illustrato nella figura seguente:
Per istruzioni dettagliate sulla creazione di una connessione VPN da sito a sito, vedere Creare una connessione VPN da sito a sito.
Passaggio 1: Creare la rete virtuale, il gateway VPN e il gateway di rete locale
1. Dichiarare le variabili
Per questo esercizio, iniziare dichiarando le variabili seguenti. Assicurarsi di sostituire i segnaposto con valori personalizzati durante la configurazione per la produzione:
$Sub1 = "<YourSubscriptionName>"
$RG1 = "TestPolicyRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GW1IPName1 = "VNet1GWIP1"
$GW1IPconf1 = "gw1ipconf1"
$Connection16 = "VNet1toSite6"
$LNGName6 = "Site6"
$LNGPrefix61 = "10.61.0.0/16"
$LNGPrefix62 = "10.62.0.0/16"
$LNGIP6 = "131.107.72.22"
2. Connettersi alla sottoscrizione e creare un nuovo gruppo di risorse
Verificare di passare alla modalità PowerShell per usare i cmdlet di Gestione risorse. Per altre informazioni, vedere Connettersi all'hub di Azure Stack con PowerShell come utente.
Aprire la console di PowerShell e connettersi all'account; Per esempio:
Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1
3. Creare la rete virtuale, il gateway VPN e il gateway di rete locale
L'esempio seguente crea la rete virtuale TestVNet1, insieme a tre subnet e al gateway VPN. Quando si sostituiscono valori, è importante assegnare un nome specifico alla subnet del gateway GatewaySubnet. Se si assegnano altri nomi, la creazione del gateway ha esito negativo.
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" `
-VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 `
-Subnet $subnet1 -PublicIpAddress $gw1pip1
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku VpnGw1
New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 `
-Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix `
$LNGPrefix61,$LNGPrefix62
Passaggio 2: Creare una connessione VPN da sito a sito con un criterio IPsec/IKE
1. Creare un criterio IPsec/IKE
Questo script di esempio crea un criterio IPsec/IKE con gli algoritmi e i parametri seguenti:
- IKEv2: AES128, SHA1, DHGroup14
- IPsec: AES256, SHA256, nessuno, durata SA 14400 secondi e 10240000 KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup none -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
Se si usa GCMAES per IPsec, è necessario usare lo stesso algoritmo e la stessa lunghezza della chiave GCMAES per la crittografia e l'integrità IPsec.
2. Creare la connessione VPN da sito a sito con i criteri IPsec/IKE
Creare una connessione VPN da sito a sito e applicare i criteri IPsec/IKE creati in precedenza:
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'Azs123'
Importante
Dopo aver specificato un criterio IPsec/IKE in una connessione, il gateway VPN di Azure invia o accetta solo la proposta IPsec/IKE con algoritmi di crittografia e punti di forza delle chiavi specificati per tale connessione specifica. Assicurarsi che il dispositivo VPN locale per la connessione usi o accetti la combinazione esatta dei criteri. In caso contrario, non è possibile stabilire il tunnel VPN da sito a sito.
Parte 4 - Aggiornare i criteri IPsec/IKE per una connessione
La sezione precedente ha illustrato come gestire i criteri IPsec/IKE per una connessione da sito a sito esistente. In questa sezione vengono illustrate le operazioni seguenti su una connessione:
- Visualizzare i criteri IPsec/IKE di una connessione.
- Aggiungere o aggiornare i criteri IPsec/IKE a una connessione.
- Rimuovere i criteri IPsec/IKE da una connessione.
Nota
Il criterio IPsec/IKE è supportato solo nei gateway VPN Standard e Prestazioni elevate basati su route di Azure. Non funziona nello SKU del gateway Basic .
1. Visualizzare i criteri IPsec/IKE di una connessione
L'esempio seguente illustra come ottenere il criterio IPsec/IKE configurato su una connessione. Gli script continuano anche dagli esercizi precedenti.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
L'ultimo comando elenca i criteri IPsec/IKE correnti configurati nella connessione, se presenti. L'esempio seguente è un output di esempio per la connessione:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
Se non sono configurati criteri IPsec/IKE, il comando $connection6.policy ottiene un ritorno vuoto. Non significa che IPsec/IKE non sia configurato nella connessione; significa che non sono presenti criteri IPsec/IKE personalizzati. La connessione effettiva usa il criterio predefinito negoziato tra il dispositivo VPN locale e il gateway VPN di Azure.
2. Aggiungere o aggiornare un criterio IPsec/IKE per una connessione
I passaggi per aggiungere un nuovo criterio o aggiornare un criterio esistente in una connessione sono gli stessi: creare un nuovo criterio, quindi applicare il nuovo criterio alla connessione:
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$newpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
$connection6.SharedKey = "AzS123"
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6
È possibile ottenere di nuovo la connessione per verificare se il criterio è aggiornato:
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Verrà visualizzato l'output dell'ultima riga, come illustrato nell'esempio seguente:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
3. Rimuovere un criterio IPsec/IKE da una connessione
Dopo aver rimosso i criteri personalizzati da una connessione, il gateway VPN di Azure ripristina la proposta IPsec/IKE predefinita e rinegozia con il dispositivo VPN locale.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.SharedKey = "AzS123"
$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6
È possibile usare lo stesso script per verificare se il criterio è stato rimosso dalla connessione.