Informazioni sui dispositivi VPN e sui parametri IPsec/IKE per connessioni del Gateway VPN da sito a sito
Per configurare una connessione VPN cross-premise da sito a sito usando un Gateway VPN, è necessario un dispositivo VPN. Le connessioni da sito a sito possono essere usate per creare una soluzione ibrida o se si vogliono stabilire connessioni sicure tra le reti locali e le reti virtuali. Questo documento offre un elenco di dispositivi VPN convalidati e un elenco di parametri IPsec/IKE per i gateway VPN.
Importante
Se si verificano problemi di connettività tra i gateway VPN e i dispositivi VPN locali, vedere Problemi noti di compatibilità del dispositivo.
Elementi da considerare quando si visualizzano le tabelle:
- È stata eseguita una modifica della terminologia per i Gateway VPN di Azure. Sono stati modificati solo i nomi. Le funzionalità rimangono invariate.
- Routing statico = PolicyBased
- Routing dinamico = RouteBased
- Se non indicato diversamente, le specifiche per i gateway VPN a prestazioni elevate e i gateway VPN RouteBased sono le stesse. Ad esempio, i dispositivi VPN convalidati e compatibili con i gateway VPN RouteBased sono compatibili anche con il gateway VPN a prestazioni elevate.
Dispositivi VPN convalidati e guide di configurazione per dispositivi
In collaborazione con i fornitori di dispositivi, è stato approvato un set di dispositivi VPN standard. Tutti i dispositivi nelle famiglie di dispositivi dell'elenco seguente funzioneranno con i gateway VPN. Per informazioni sull'uso del tipo di VPN (PolicyBased o RouteBased) per la soluzione del gateway VPN che si vuole configurare, vedere Informazioni sulle impostazioni del gateway VPN.
Per agevolare la configurazione del dispositivo VPN, vedere i collegamenti corrispondenti alla famiglia di dispositivi appropriata. I collegamenti alle istruzioni di configurazione vengono forniti nel modo più efficiente possibile. Per il supporto ai dispositivi VPN, contattare il produttore del dispositivo.
| Fornitore | Famiglia di dispositivi | Versione minima del sistema operativo | Istruzioni di configurazione di tipo PolicyBased | Istruzioni di configurazione di tipo RouteBased |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | Non compatibile | Guida alla configurazione |
| Ahnlab | TrusGuard | TG 2.7.6 TG 3.5.x |
Non testato | Guida alla configurazione |
| Allied Telesis | Router VPN serie AR | AR-Series 5.4.7+ | Guida alla configurazione | Guida alla configurazione |
| Arista | CloudEOS Router | vEOS 4.24.0FX | Non testato | Guida alla configurazione |
| Barracuda Networks, Inc. | Barracuda CloudGen Firewall | PolicyBased: 5.4.3 RouteBased: 6.2.0 |
Guida alla configurazione | Guida alla configurazione |
| Punto di controllo | Gateway di protezione | R80.10 | Guida alla configurazione | Guida alla configurazione |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
Supportato | Guida alla configurazione* |
| Cisco | ASR | PolicyBased: IOS 15.1 RouteBased: IOS 15.2 |
Supportato | Supportato |
| Cisco | CSR | RouteBased: IOS-XE 16.10 | Non testato | Script di configurazione |
| Cisco | ISR | PolicyBased: IOS 15.0 RouteBased*: IOS 15.1 |
Supportato | Supportato |
| Cisco | Meraki (MX) | MX v15.12 | Non compatibile | Guida alla configurazione |
| Cisco | vEdge (sistema operativo Viptela) | 18.4.0 (modalità attiva/passiva) 19.2 (modalità attiva/attiva) |
Non compatibile | Configurazione manuale (Attivo/Passivo) Configurazione di Cloud Onramp (Active/Active) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 e versioni successive | Guida alla configurazione | Non compatibile |
| F5 | Serie BIG-IP | 12.0 | Guida alla configurazione | Guida alla configurazione |
| Fortinet | FortiGate | FortiOS 5.6 | Non testato | Guida alla configurazione |
| Fujitsu | Serie Si-R G | V04: V04.12 V20: V20.14 |
Guida alla configurazione | Guida alla configurazione |
| Hillstone Networks | Firewall di nuova generazione (NGFW) | 5.5R7 | Non testato | Guida alla configurazione |
| Internet Initiative Japan (IIJ) | Serie SEIL | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Guida alla configurazione | Non compatibile |
| Juniper | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
Supportato | Script di configurazione |
| Juniper | Serie J | PolicyBased: JunOS 10.4r9 RouteBased: JunOS 11.4 |
Supportato | Script di configurazione |
| Juniper | ISG | ScreenOS 6.3 | Supportato | Script di configurazione |
| Juniper | SSG | ScreenOS 6.2 | Supportato | Script di configurazione |
| Juniper | MX | JunOS 12.x | Supportato | Script di configurazione |
| Microsoft | Routing and Remote Access Service | Windows Server 2012 | Non compatibile | Supportato |
| Open Systems AG | Mission Control Security Gateway | N/D | Supportato | Non compatibile |
| Palo Alto Networks | Tutti i dispositivi che eseguono PAN-OS | PAN-OS PolicyBased: 6.1.5 o versione successiva RouteBased: 7.1.4 |
Supportato | Guida alla configurazione |
| Sentrium (sviluppatore) | VyOS | VyOS 1.2.2 | Non testato | Guida alla configurazione |
| ShareTech | Next Generation UTM (serie NU) | 9.0.1.3 | Non compatibile | Guida alla configurazione |
| SonicWALL | Serie TZ, serie NSA Serie SuperMassive Serie NSA classe E |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Non compatibile | Guida alla configurazione |
| Sophos | Firewall XG di nuova generazione | XG v17 | Non testato | Guida alla configurazione Guida alla configurazione - Più firme di accesso condiviso |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Non testato | Guida alla configurazione |
| Ubiquiti | EdgeRouter | EdgeOS versione 1.10 | Non testato | BGP su IKEv2/IPsec VTI su IKEv2/IPsec |
| Ultra | 3E-636L3 | 5.2.0.T3 Build-13 | Non testato | Guida alla configurazione |
| WatchGuard | Tutti | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
Guida alla configurazione | Guida alla configurazione |
| Zyxel | Serie ZyWALL USG Serie ZyWALL ATP Serie VPN ZyWALL |
ZLD v4.32+ | Non testato | VTI su IKEv2/IPsec BGP su IKEv2/IPsec |
Nota
(*) Le versioni di Cisco ASA 8.4+ aggiungono il supporto IKEv2 e possono connettersi al gateway VPN di Azure usando criteri IPsec/IKE personalizzati con l'opzione "UsePolicyBasedTrafficSelectors". Vedere questa procedura dettagliata.
(\*\*) I router serie ISR 7200 supportano solo VPN PolicyBased.
Scaricare script di configurazione del dispositivo VPN da Azure
Per alcuni dispositivi è possibile scaricare script di configurazione direttamente da Azure. Per altre informazioni e per le istruzioni di download, vedere Scaricare gli script di configurazione del dispositivo VPN.
Dispositivi VPN non convalidati
Anche se il dispositivo non è elencato nella tabella dei dispositivi VPN convalidati, potrebbe comunque funzionare con una connessione da sito a sito. Contattare il produttore del dispositivo per assistenza e istruzioni di configurazione.
Esempi di modifica di configurazione dispositivo
Dopo aver scaricato l'esempio di configurazione di dispositivo VPN fornito, è necessario sostituire alcuni dei valori in base alle impostazioni per l'ambiente.
Per modificare un esempio:
- Aprire l'esempio utilizzando il blocco note.
- Cercare e sostituire tutte le < stringhe di testo> con i valori relativi all'ambiente. Accertarsi di includere < e >. Quando viene specificato un nome, il nome selezionato deve essere univoco. Se un comando non funziona, consultare la documentazione del produttore del dispositivo.
| Testo di esempio | Modifica a |
|---|---|
| <RP_OnPremisesNetwork> | Nome scelto per questo oggetto. Esempio: myOnPremisesNetwork |
| <RP_AzureNetwork> | Nome scelto per questo oggetto. Esempio: myAzureNetwork |
| <RP_AccessList> | Nome scelto per questo oggetto. Esempio: myAzureAccessList |
| <RP_IPSecTransformSet> | Nome scelto per questo oggetto. Esempio: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | Nome scelto per questo oggetto. Esempio: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | Specificare l'intervallo. Esempio: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Specificare la subnet mask. Esempio: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Specificare l'intervallo in locale. Esempio: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | Specificare la subnet mask locale. Esempio: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Questa informazione è specifica per la rete virtuale ed è disponibile in Indirizzo IP gateway nel portale di gestione. |
| <SP_PresharedKey> | Queste informazioni sono specifiche per la rete virtuale e si trovano nel portale di gestione in chiave di gestione. |
Parametri IPsec/IKE predefiniti
Le tabelle seguenti contengono le combinazioni di algoritmi e parametri dei gateway VPN di Azure usati nella configurazione predefinita (criteri predefiniti). Per i gateway VPN basati su route creati usando il modello di distribuzione Azure Resource Management, è possibile specificare un criterio personalizzato in ogni singola connessione. Per istruzioni dettagliate, vedere Configurare i criteri IPsec/IKE .
Inoltre, è necessario bloccare TCP MSS a 1350. Oppure se i dispositivi VPN non supportano il blocco MSS, è possibile impostare in alternativa l'MTU sull'interfaccia del tunnel su 1400 byte.
Nelle tabelle seguenti:
- SA = associazione di sicurezza
- La Fase 1 di IKE viene definita anche "Modalità principale"
- La Fase 2 di IKE viene definita anche "Modalità rapida"
Parametri della Fase 1 di IKE (Modalità principale)
| Proprietà | PolicyBased | RouteBased |
|---|---|---|
| Versione IKE | IKEv1 | IKEv1 e IKEv2 |
| Diffie-Hellman Group | Gruppo 2 (1024 bit) | Gruppo 2 (1024 bit) |
| Metodo di autenticazione | Chiave precondivisa | Chiave precondivisa |
| Algoritmi di hashing della crittografia & | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| Durata dell'associazione di sicurezza | 28.800 secondi | 28.800 secondi |
Parametri della Fase 2 di IKE (Modalità rapida)
| Proprietà | PolicyBased | RouteBased |
|---|---|---|
| Versione IKE | IKEv1 | IKEv1 e IKEv2 |
| Algoritmi di hashing della crittografia & | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
Offerte per associazioni di sicurezza QM basate su route |
| Durata dell'associazione di sicurezza (tempo) | 3.600 secondi | 27.000 secondi |
| Durata dell'associazione di sicurezza (byte) | 102.400.000 KB | 102.400.000 KB |
| Perfect Forward Secrecy (PFS) | No | Offerte per associazioni di sicurezza QM basate su route |
| Rilevamento peer inattivo | Non supportato | Supportato |
Offerte per associazioni di sicurezza IPsec VPN basate su route (associazione di sicurezza IKE Modalità rapida)
La tabella seguente elenca le offerte per associazioni di sicurezza IPsec (IKE Modalità rapida). Le offerte sono elencate nell'ordine di preferenza di presentazione o di accettazione dell'offerta.
Gateway Azure come iniziatore
| - | Crittografia | autenticazione | Gruppo PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | nessuno |
| 2 | AES256 | SHA1 | Nessuno |
| 3 | 3DES | SHA1 | nessuno |
| 4 | AES256 | SHA256 | Nessuno |
| 5 | AES128 | SHA1 | nessuno |
| 6 | 3DES | SHA256 | Nessuno |
Gateway Azure come risponditore
| - | Crittografia | autenticazione | Gruppo PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | nessuno |
| 2 | AES256 | SHA1 | Nessuno |
| 3 | 3DES | SHA1 | nessuno |
| 4 | AES256 | SHA256 | Nessuno |
| 5 | AES128 | SHA1 | nessuno |
| 6 | 3DES | SHA256 | Nessuno |
| 7 | DES | SHA1 | nessuno |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | Nessuno |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- È possibile specificare la crittografia NULL ESP IPsec con gateway VPN RouteBased e con prestazioni elevate. La crittografia basata su Null non fornisce protezione ai dati in transito e deve essere usata solo quando è necessaria la velocità effettiva massima e la latenza minima. I client possono scegliere di usare questa crittografia in scenari di comunicazione tra reti virtuali oppure quando la crittografia viene applicata in un'altra posizione nella soluzione.
- Per la connettività cross-premise tramite Internet, usare le impostazioni del gateway VPN di Azure predefinite con algoritmi di crittografia e hash elencati nelle tabelle precedenti, per garantire la sicurezza delle comunicazioni critiche.
Problemi di compatibilità dei dispositivi noti
Importante
Si tratta dei problemi di compatibilità noti tra i dispositivi VPN di terze parti e i gateway VPN di Azure. Il team di Azure collabora attivamente con i fornitori per risolvere i problemi elencati di seguito. Dopo aver risolto i problemi, questa pagina verrà aggiornata con le informazioni più recenti. Controllarla periodicamente.
16 febbraio 2017
Palo Alto Networks dispositivi con versione precedente alla versione 7.1.4 per VPN basata su route di Azure: se si usano dispositivi VPN da Palo Alto Networks con versione PAN-OS prima della versione 7.1.4 e si verificano problemi di connettività ai gateway VPN basati su route di Azure, seguire questa procedura:
- Controllare la versione del firmware del dispositivo di Palo Alto Networks. Se la versione PAN-OS è antecedente alla versione 7.1.4, aggiornarla a questa versione.
- Nel dispositivo di Palo Alto Networks, modificare la durata della fase 2 SA (o SA in modalità rapida) impostandola su 28.800 secondi (8 ore) quando si esegue la connessione al gateway VPN di Azure.
- Se si verificano ancora problemi di connettività, aprire una richiesta di supporto dalla portale di Azure.