Configurare criteri di connessione IPsec/IKE personalizzati per VPN da sito a sito e da rete virtuale a rete virtuale: portale di Azure

  • Articolo

Questo articolo illustra la procedura per configurare i criteri IPsec/IKE per Gateway VPN connessioni VPN da sito a sito o da rete virtuale a rete virtuale usando il portale di Azure. Le sezioni seguenti consentono di creare e configurare un criterio IPsec/IKE e di applicare i criteri a una connessione nuova o esistente.

Flusso di lavoro

Le istruzioni contenute in questo articolo consentono di configurare e configurare i criteri IPsec/IKE, come illustrato nel diagramma seguente.

Diagramma che mostra i criteri IPsec/IKE per gateway VPN da rete virtuale a sito e da rete virtuale a sito.

  1. Creare una rete virtuale e un gateway VPN.
  2. Creare un gateway di rete locale per la connessione cross-premise o un'altra rete virtuale e un altro gateway per la connessione da rete virtuale a rete virtuale.
  3. Creare una connessione (IPsec o VNet2VNet).
  4. Configurare/aggiornare/rimuovere i criteri IPsec/IKE nelle risorse di connessione.

Parametri dei criteri

Lo standard di protocollo IPsec e IKE supporta un'ampia gamma di algoritmi di crittografia in varie combinazioni. Per informazioni sui requisiti di crittografia e sui gateway VPN di Azure, vedere Informazioni su come garantire la connettività cross-premise e da rete virtuale a rete virtuale per soddisfare i requisiti di conformità o sicurezza. Tenere presenti le considerazioni seguenti:

  • I criteri IPsec/IKE funzionano solo negli SKU del gateway seguenti:
    • VpnGw1~5 e VpnGw1AZ~5AZ
    • Standard e HighPerformance
  • Per una determinata connessione è possibile specificare una sola combinazione di criteri.
  • È necessario specificare tutti gli algoritmi e i parametri sia per IKE (modalità principale) che per IPsec (modalità rapida). La specifica parziale dei criteri non è consentita.
  • Consultare le specifiche del fornitore del dispositivo VPN per verificare che i criteri siano supportati dai dispositivi VPN locali. Le connessioni da sito a sito o da rete virtuale a rete virtuale non possono stabilire se i criteri non sono compatibili.

Algoritmi crittografici e punti di forza della chiave

Nella tabella seguente sono elencati gli algoritmi di crittografia configurabili supportati e i punti di forza della chiave.

IPsec/IKEv2 Opzioni
Crittografia IKEv2 GCMAES256, GCMAES128, AES256, AES192, AES128
Integrità IKEv2 SHA384, SHA256, SHA1, MD5
Gruppo DH DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
Crittografia IPsec GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
Integrità IPsec GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Gruppo PFS PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
Durata associazione di sicurezza in modalità rapida (Facoltativo: se non diversamente specificato, vengono usati i valori predefiniti)
Secondi (intero; min. 300/valore predefinito di 27000 secondi)
Kilobyte (intero; min 1024/valore predefinito di 102400000 KB)
Selettore di traffico UsePolicyBasedTrafficSelectors** ($True/$False; Optional, $False predefinito, se non diversamente specificato)
Timeout DPD Secondi (numero intero: min. 9/max. 3600; valore predefinito 45 secondi)

  • La configurazione del dispositivo VPN locale deve contenere o corrispondere agli algoritmi e ai parametri seguenti specificati nei criteri IPsec/IKE di Azure:

    • Algoritmo di crittografia IKE (modalità principale / fase 1)
    • Algoritmo di integrità IKE (modalità principale / fase 1)
    • Gruppo DH (modalità principale / fase 1)
    • Algoritmo di crittografia IPsec (modalità rapida / fase 2)
    • Algoritmo di integrità IPsec (modalità rapida / fase 2)
    • Gruppo PFS (modalità rapida / fase 2)
    • Selettore di traffico, se viene usato UsePolicyBasedTrafficSelectors
    • Le durate sa sono solo specifiche locali e non devono corrispondere.

  • Se GCMAES viene usato come per l'algoritmo di crittografia IPsec, è necessario selezionare lo stesso algoritmo GCMAES e la stessa lunghezza della chiave per l'integrità IPsec; ad esempio, usando GCMAES128 per entrambi.

  • Nella tabella Algoritmi e chiavi :

    • IKE corrisponde alla modalità principale o alla fase 1.
    • IPsec corrisponde alla modalità rapida o alla fase 2.
    • Il gruppo DH specifica il gruppo Diffie-Hellman usato nella modalità principale o nella fase 1.
    • Il gruppo PFS ha specificato il gruppo Diffie-Hellman usato in modalità rapida o fase 2.

  • La durata della sicurezza della modalità principale IKE è fissa a 28.800 secondi nei gateway VPN di Azure.

  • 'UsePolicyBasedTrafficSelectors' è un parametro facoltativo nella connessione. Se si imposta UsePolicyBasedTrafficSelectors su $True in una connessione, il gateway VPN di Azure verrà configurato per connettersi al firewall VPN basato su criteri in locale. Se si abilita PolicyBasedTrafficSelectors, è necessario verificare che i selettori di traffico corrispondenti siano definiti nel dispositivo VPN con tutte le combinazioni dei prefissi della rete locale (gateway di rete locale) da/verso i prefissi della rete virtuale di Azure, anziché any-to-any. Il gateway VPN di Azure accetta qualsiasi selettore di traffico proposto dal gateway VPN remoto indipendentemente da ciò che è configurato nel gateway VPN di Azure.

    Se i prefissi della rete locale sono 10.1.0.0/16 e 10.2.0.0/16 e i prefissi della rete virtuale sono 192.168.0.0/16 e 172.16.0.0/16, ad esempio, è necessario specificare i selettori di traffico seguenti:

    • 10.1.0.0/16 <===> 192.168.0.0/16
    • 10.1.0.0/16 <===> 172.16.0.0/16
    • 10.2.0.0/16 <===> 192.168.0.0/16
    • 10.2.0.0/16 <===> 172.16.0.0/16

    Per altre informazioni sui selettori di traffico basati su criteri, vedere Connettere più dispositivi VPN basati su criteri locali.

  • Timeout DPD: il valore predefinito è 45 secondi nei gateway VPN di Azure. Se si imposta il timeout su periodi più brevi, IKE verrà reimpostata in modo più aggressivo, causando la disconnessione della connessione in alcune istanze. Ciò potrebbe non essere utile se le posizioni locali sono più lontane dall'area di Azure in cui risiede il gateway VPN o la condizione di collegamento fisico potrebbe comportare una perdita di pacchetti. La raccomandazione generale consiste nell'impostare il timeout compreso tra 30 e 45 secondi.

Nota

L'integrità IKEv2 viene usata sia per l'integrità che per la funzione pseudo-casuale.  Se l'algoritmo di crittografia IKEv2 specificato è GCM*, il valore passato in IKEv2 Integrity viene usato solo per PRF e in modo implicito l'integrità IKEv2 viene impostata su GCM*. In tutti gli altri casi, il valore passato in IKEv2 Integrity viene usato sia per L'integrità IKEv2 che per prf.

Gruppi di Diffie-Hellman

La tabella seguente elenca i gruppi Diffie-Hellman corrispondenti supportati dai criteri personalizzati:

Gruppo Diffie-Hellman DHGroup PFSGroup Lunghezza chiave
1 DHGroup1 PFS1 MODP a 768 bit
2 DHGroup2 PFS2 MODP a 1024 bit
14 DHGroup14
DHGroup2048		 PFS2048 MODP a 2048 bit
19 ECP256 ECP256 ECP a 256 bit
20 ECP384 ECP384 ECP a 384 bit
24 DHGroup24 PFS24 MODP a 2048 bit

Per altre informazioni, vedere RFC3526 e RFC5114.

Creare una connessione VPN da sito a sito con criteri personalizzati

Questa sezione illustra i passaggi per creare una connessione VPN da sito a sito con un criterio IPsec/IKE. La procedura seguente consente di creare la connessione come illustrato nel diagramma seguente. Il sito locale in questo diagramma rappresenta Site6.

Diagramma che mostra la connessione gateway VPN da sito a sito con criteri personalizzati.

Passaggio 1: Creare la rete virtuale, il gateway VPN e il gateway di rete locale per TestVNet1

Creare le risorse seguenti. Per la procedura, vedere Creare una connessione VPN da sito a sito.

  1. Creare la rete virtuale TestVNet1 usando i valori seguenti.

    • Gruppo di risorse: TestRG1
    • Nome: TestVNet1
    • Area: (Stati Uniti) Stati Uniti orientali
    • Spazio indirizzi IPv4: 10.1.0.0/16
    • Nome subnet 1: FrontEnd
    • Intervallo di indirizzi subnet 1: 10.1.0.0/24
    • Nome subnet 2: BackEnd
    • Intervallo di indirizzi subnet 2: 10.1.1.0/24

  2. Creare il gateway di rete virtuale VNet1GW usando i valori seguenti.

    • Nome: VNet1GW
    • Area: Stati Uniti orientali
    • Tipo di gateway: VPN
    • Tipo VPN: Basato su route
    • SKU: VpnGw2
    • Generazione: Generazione 2
    • Rete virtuale: VNet1
    • Intervallo di indirizzi della subnet del gateway: 10.1.255.0/27
    • Tipo di indirizzo IP pubblico: Basic o Standard
    • Indirizzo IP pubblico: Crea nuovo
    • Nome indirizzo IP pubblico: VNet1GWpip
    • Abilitare la modalità attiva-attiva: Disabilitata
    • Configurare BGP: Disabilitato

Passaggio 2: Configurare il gateway di rete locale e le risorse di connessione

  1. Creare la risorsa gateway di rete locale Site6 usando i valori seguenti.

    • Nome: Site6
    • Gruppo di risorse: TestRG1
    • Località: Stati Uniti orientali
    • Indirizzo IP del gateway locale: 5.4.3.2 (solo valore di esempio: usare l'indirizzo IP del dispositivo locale)
    • Spazi indirizzi 10.61.0.0/16, 10.62.0.0/16 (solo valore di esempio)

  2. Dal gateway di rete virtuale aggiungere una connessione al gateway di rete locale usando i valori seguenti.

    • nome Connessione ion: VNet1toSite6
    • tipo di Connessione ion: Ipsec
    • Gateway di rete locale: Site6
    • Chiave condivisa: abc123 (valore di esempio: deve corrispondere alla chiave del dispositivo locale usata)
    • Protocollo IKE: IKEv2

Passaggio 3: Configurare un criterio IPsec/IKE personalizzato nella connessione VPN da sito a sito

Configurare un criterio IPsec/IKE personalizzato con gli algoritmi e i parametri seguenti:

  • Fase IKE 1: AES256, SHA384, DHGroup24
  • IKE Phase 2(IPsec): AES256, SHA256, PFS None
  • Durata sa IPsec in KB: 102400000
  • Durata sa IPsec in secondi: 30000
  • Timeout DPD: 45 secondi

  1. Passare alla risorsa Connessione ion creata, VNet1toSite6. Aprire la pagina Configurazione. Selezionare Criteri IPsec/IKE personalizzati per visualizzare tutte le opzioni di configurazione. Lo screenshot seguente mostra la configurazione in base all'elenco:

    Screenshot che mostra la configurazione della connessione sito 6.

    Se si usa GCMAES per IPsec, è necessario usare lo stesso algoritmo e la stessa lunghezza della chiave GCMAES per la crittografia e l'integrità IPsec. Ad esempio, lo screenshot seguente specifica GCMAES128 per la crittografia IPsec e l'integrità IPsec:

    Screenshot che mostra GCMAES per IPsec.

  2. Se si vuole abilitare il gateway VPN di Azure per connettersi ai dispositivi VPN locali basati su criteri, è possibile selezionare Abilita per l'opzione Usa selettori di traffico basati su criteri.

  3. Dopo aver selezionato tutte le opzioni, selezionare Salva per eseguire il commit delle modifiche nella risorsa di connessione. Il criterio verrà applicato in circa un minuto.

    Importante

    • Dopo aver specificato un criterio IPsec/IKE per una connessione, il gateway VPN di Azure invierà o accetterà la proposta IPsec/IKE con gli algoritmi di crittografia e i principali vantaggi specificati per una particolare connessione. Assicurarsi che il dispositivo VPN locale per la connessione usi o accetti l'esatta combinazione di criteri. In caso contrario, il tunnel VPN da sito a sito non verrà stabilito.

    • I criteri di selezione del traffico basati su criteri e le opzioni di timeout DPD possono essere specificati con i criteri predefiniti , senza i criteri IPsec/IKE personalizzati.

Creare una connessione da rete virtuale a rete virtuale con criteri personalizzati

La procedura per creare una connessione da rete virtuale a rete virtuale con un criterio IPsec/IKE è simile a quella di una connessione VPN da sito a sito. È necessario completare le sezioni precedenti in Creare una connessione VPN da sito a sito per creare e configurare TestVNet1 e il gateway VPN.

Diagramma che mostra il diagramma dei criteri da rete virtuale a rete virtuale per TestVNet1 e TestVNet2.

Passaggio 1: Creare la rete virtuale, il gateway VPN e il gateway di rete locale per TestVNet2

Usare la procedura descritta nell'articolo Creare una connessione da rete virtuale a rete virtuale per creare TestVNet2 e creare una connessione da rete virtuale a rete virtuale a TestVNet1.

Valori di esempio

TestVNet2 della rete virtuale

  • Gruppo di risorse: TestRG2
  • Nome: TestVNet2
  • Area: (Stati Uniti) Stati Uniti occidentali
  • Spazio indirizzi IPv4: 10.2.0.0/16
  • Nome subnet 1: FrontEnd
  • Intervallo di indirizzi subnet 1: 10.2.0.0/24
  • Nome subnet 2: BackEnd
  • Intervallo di indirizzi subnet 2: 10.2.1.0/24

Gateway VPN: VNet2GW

  • Nome: VNet2GW
  • Area: Stati Uniti occidentali
  • Tipo di gateway: VPN
  • Tipo VPN: Basato su route
  • SKU: VpnGw2
  • Generazione: Generazione 2
  • Rete virtuale: TestVNet2
  • Intervallo di indirizzi della subnet del gateway: 10.2.255.0/27
  • Tipo di indirizzo IP pubblico: Basic o Standard
  • Indirizzo IP pubblico: Crea nuovo
  • Nome indirizzo IP pubblico: VNet2GWpip
  • Abilitare la modalità attiva-attiva: Disabilitata
  • Configurare BGP: Disabilitato

Passaggio 2: Configurare la connessione da rete virtuale a rete virtuale

  1. Dal gateway VNet1GW aggiungere una connessione da rete virtuale a rete virtuale a VNet2GW denominata VNet1toVNet2.

  2. Successivamente, da VNet2GW, aggiungere una connessione da rete virtuale a rete virtuale a VNet1GW denominata VNet2toVNet1.

  3. Dopo aver aggiunto le connessioni, verranno visualizzate le connessioni da rete virtuale a rete virtuale, come illustrato nello screenshot seguente dalla risorsa VNet2GW:

    Screenshot che mostra le connessioni da rete virtuale a rete virtuale.

Passaggio 3: Configurare un criterio IPsec/IKE personalizzato in VNet1toVNet2

  1. Dalla risorsa di connessione VNet1toVNet2 passare alla pagina Configurazione.

  2. Per I criteri IPsec/IKE, selezionare Personalizzato per visualizzare le opzioni dei criteri personalizzate. Selezionare gli algoritmi di crittografia con la lunghezza della chiave corrispondente. Questo criterio non deve corrispondere ai criteri precedenti creati per la connessione VNet1toSite6.

    Valori di esempio

    • Fase IKE 1: AES128, SHA1, DHGroup14
    • IKE Phase 2(IPsec): GCMAES128, GCMAES128, PFS2048
    • Durata sa IPsec in KB: 102400000
    • Durata sa IPsec in secondi: 14400
    • Timeout DPD: 45 secondi

  3. Selezionare Salva nella parte superiore della pagina per applicare le modifiche ai criteri nella risorsa di connessione.

Passaggio 4: Configurare un criterio IPsec/IKE personalizzato in VNet2toVNet1

  1. Applicare lo stesso criterio alla connessione VNet2toVNet1, VNet2toVNet1. In caso contrario, il tunnel VPN IPsec/IKE non si connetterà a causa della mancata corrispondenza dei criteri.

    Importante

    Dopo aver specificato un criterio IPsec/IKE per una connessione, il gateway VPN di Azure invierà o accetterà la proposta IPsec/IKE con gli algoritmi di crittografia e i principali vantaggi specificati per una particolare connessione. Assicurarsi che i criteri IPsec per entrambe le connessioni siano gli stessi. In caso contrario, la connessione da rete virtuale a rete virtuale non verrà stabilita.

  2. Dopo aver completato questi passaggi, la connessione viene stabilita in pochi minuti e si avrà la topologia di rete seguente.

    Diagramma che mostra i criteri IPsec/IKE per la rete virtuale e la VPN da sito a sito.

Per rimuovere criteri personalizzati da una connessione

  1. Per rimuovere un criterio personalizzato da una connessione, passare alla risorsa di connessione.
  2. Nella pagina Configurazione modificare i criteri IP /IKE da Personalizzato a Predefinito. Questo rimuove tutti i criteri personalizzati specificati in precedenza nella connessione e ripristina le impostazioni IPsec/IKE predefinite in questa connessione.
  3. Selezionare Salva per rimuovere i criteri personalizzati e ripristinare le impostazioni IPsec/IKE predefinite nella connessione.

Domande frequenti sui criteri IPsec/IKE

Per visualizzare le domande frequenti, passare alla sezione criteri IPsec/IKE delle domande frequenti Gateway VPN.

Passaggi successivi

Per altre informazioni sui selettori di traffico basati su criteri, vedere Connessione più dispositivi VPN basati su criteri locali.