Informazioni sui dispositivi VPN e sui parametri IPsec/IKE per connessioni del Gateway VPN da sito a sito

Per configurare una connessione VPN cross-premise da sito a sito usando un Gateway VPN, è necessario un dispositivo VPN. Le connessioni da sito a sito possono essere usate per creare una soluzione ibrida o se si vogliono stabilire connessioni sicure tra le reti locali e le reti virtuali. Questo documento offre un elenco di dispositivi VPN convalidati e un elenco di parametri IPsec/IKE per i gateway VPN.

Importante

Se si verificano problemi di connettività tra i gateway VPN e i dispositivi VPN locali, vedere Problemi noti di compatibilità del dispositivo.

Elementi da considerare quando si visualizzano le tabelle:

  • È stata eseguita una modifica della terminologia per i Gateway VPN di Azure. Sono stati modificati solo i nomi. Le funzionalità rimangono invariate.
    • Routing statico = PolicyBased
    • Routing dinamico = RouteBased
  • Se non indicato diversamente, le specifiche per i gateway VPN a prestazioni elevate e i gateway VPN RouteBased sono le stesse. Ad esempio, i dispositivi VPN convalidati e compatibili con i gateway VPN RouteBased sono compatibili anche con il gateway VPN a prestazioni elevate.

Dispositivi VPN convalidati e guide di configurazione per dispositivi

In collaborazione con i fornitori di dispositivi, è stato approvato un set di dispositivi VPN standard. Tutti i dispositivi nelle famiglie di dispositivi dell'elenco seguente funzioneranno con i gateway VPN. Per informazioni sull'uso del tipo di VPN (PolicyBased o RouteBased) per la soluzione del gateway VPN che si vuole configurare, vedere Informazioni sulle impostazioni del gateway VPN.

Per agevolare la configurazione del dispositivo VPN, vedere i collegamenti corrispondenti alla famiglia di dispositivi appropriata. I collegamenti alle istruzioni di configurazione vengono forniti nel modo più efficiente possibile. Per il supporto ai dispositivi VPN, contattare il produttore del dispositivo.

Fornitore Famiglia di dispositivi Versione minima del sistema operativo Istruzioni di configurazione di tipo PolicyBased Istruzioni di configurazione di tipo RouteBased
A10 Networks, Inc. Thunder CFW ACOS 4.1.1 Non compatibile Guida alla configurazione
Ahnlab TrusGuard TG 2.7.6TG 3.5.x Non testato Guida alla configurazione
Allied Telesis Router VPN serie AR AR-Series 5.4.7+ Guida alla configurazione Guida alla configurazione
Arista CloudEOS Router vEOS 4.24.0FX Non testato Guida alla configurazione
Barracuda Networks, Inc. Barracuda CloudGen Firewall PolicyBased: 5.4.3RouteBased: 6.2.0 Guida alla configurazione Guida alla configurazione
Punto di controllo Gateway di protezione R80.10 Guida alla configurazione Guida alla configurazione
Cisco ASA 8.38.4+ (IKEv2*) Supportato Guida alla configurazione*
Cisco ASR PolicyBased: IOS 15.1RouteBased: IOS 15.2 Supportato Supportato
Cisco Csr RouteBased: IOS-XE 16.10 Non testato Script di configurazione
Cisco ISR PolicyBased: IOS 15.0RouteBased*: IOS 15.1 Supportato Supportato
Cisco Meraki (MX) MX v15.12 Non compatibile Guida alla configurazione
Cisco vEdge (sistema operativo Viptela) 18.4.0 (modalità attiva/passiva)19.2 (modalità attiva/attiva) Non compatibile Configurazione manuale (Attiva/Passiva)Configurazione di Cloud Onramp (Attivo/Attivo)
Citrix NetScaler MPX, SDX, VPX 10.1 e versioni successive Guida alla configurazione Non compatibile
F5 Serie BIG-IP 12.0 Guida alla configurazione Guida alla configurazione
Fortinet FortiGate FortiOS 5.6 Non testato Guida alla configurazione
Fujitsu Serie Si-R G V04: V04.12V20: V20.14 Guida alla configurazione Guida alla configurazione
Hillstone Networks Firewall di nuova generazione (NGFW) 5.5R7 Non testato Guida alla configurazione
Internet Initiative Japan (IIJ) Serie SEIL SEIL/X 4.60SEIL/B1 4.60SEIL/x86 3.20 Guida alla configurazione Non compatibile
Juniper SRX PolicyBased: JunOS 10.2Routebased: JunOS 11.4 Supportato Script di configurazione
Juniper Serie J PolicyBased: JunOS 10.4r9RouteBased: JunOS 11.4 Supportato Script di configurazione
Juniper ISG ScreenOS 6.3 Supportato Script di configurazione
Juniper SSG ScreenOS 6.2 Supportato Script di configurazione
Juniper MX JunOS 12.x Supportato Script di configurazione
Microsoft Routing and Remote Access Service Windows Server 2012 Non compatibile Supportato
Open Systems AG Mission Control Security Gateway N/D Guida alla configurazione Non compatibile
Palo Alto Networks Tutti i dispositivi che eseguono PAN-OS PAN-OSPolicyBased: 6.1.5 o versioni successiveRouteBased: 7.1.4 Supportato Guida alla configurazione
Sentrium (sviluppatore) VyOS VyOS 1.2.2 Non testato Guida alla configurazione
ShareTech Next Generation UTM (serie NU) 9.0.1.3 Non compatibile Guida alla configurazione
SonicWALL Serie TZ, serie NSASuperMassive SeriesE-Class serie NSA SonicOS 5.8.xSonicOS 5.9.xSonicOS 6.x Non compatibile Guida alla configurazione
Sophos Firewall XG di nuova generazione XG v17 Non testato Guida alla configurazione della guidaalla configurazione - Più contratti di servizio
Synology MR2200ac RT2600ac RT1900ac SRM1.1.5/VpnPlusServer-1.2.0 Non testato Guida alla configurazione
Ubiquiti EdgeRouter EdgeOS versione 1.10 Non testato BGP su IKEv2/IPsecVTI su IKEv2/IPsec
Ultra 3E-636L3 5.2.0.T3 Build-13 Non testato Guida alla configurazione
WatchGuard Tutti Fireware XTM PolicyBased: v11.11.xRouteBased: v11.12.x Guida alla configurazione Guida alla configurazione
Zyxel Serie ZyWALL USGZyWALL ATP Serie VPNZyWALL ZLD v4.32+ Non testato VTI su IKEv2/IPsecBGP su IKEv2/IPsec

Nota

(*) Le versioni di Cisco ASA 8.4+ aggiungono il supporto IKEv2 e possono connettersi al gateway VPN di Azure usando criteri IPsec/IKE personalizzati con l'opzione "UsePolicyBasedTrafficSelectors". Vedere questa procedura dettagliata.

(\*\*) I router serie ISR 7200 supportano solo VPN PolicyBased.

Scaricare script di configurazione del dispositivo VPN da Azure

Per alcuni dispositivi è possibile scaricare script di configurazione direttamente da Azure. Per altre informazioni e per le istruzioni di download, vedere Scaricare gli script di configurazione del dispositivo VPN.

Dispositivi VPN non convalidati

Anche se il dispositivo non è elencato nella tabella dei dispositivi VPN convalidati, potrebbe comunque funzionare con una connessione da sito a sito. Contattare il produttore del dispositivo per assistenza e istruzioni di configurazione.

Esempi di modifica di configurazione dispositivo

Dopo aver scaricato l'esempio di configurazione di dispositivo VPN fornito, è necessario sostituire alcuni dei valori in base alle impostazioni per l'ambiente.

Per modificare un esempio:

  1. Aprire l'esempio utilizzando il blocco note.
  2. Cercare e sostituire tutte le < stringhe di testo> con i valori relativi all'ambiente. Accertarsi di includere < e >. Quando viene specificato un nome, il nome selezionato deve essere univoco. Se un comando non funziona, consultare la documentazione del produttore del dispositivo.
Testo di esempio Passare a
<RP_OnPremisesNetwork> Nome scelto per questo oggetto. Esempio: myOnPremisesNetwork
<RP_AzureNetwork> Nome scelto per questo oggetto. Esempio: myAzureNetwork
<RP_AccessList> Nome scelto per questo oggetto. Esempio: myAzureAccessList
<RP_IPSecTransformSet> Nome scelto per questo oggetto. Esempio: myIPSecTransformSet
<RP_IPSecCryptoMap> Nome scelto per questo oggetto. Esempio: myIPSecCryptoMap
<SP_AzureNetworkIpRange> Specificare l'intervallo. Esempio: 192.168.0.0
<SP_AzureNetworkSubnetMask> Specificare la subnet mask. Esempio: 255.255.0.0
<SP_OnPremisesNetworkIpRange> Specificare l'intervallo in locale. Esempio: 10.2.1.0
<SP_OnPremisesNetworkSubnetMask> Specificare la subnet mask locale. Esempio: 255.255.255.0
<SP_AzureGatewayIpAddress> Questa informazione è specifica per la rete virtuale ed è disponibile in Indirizzo IP gateway nel portale di gestione.
<SP_PresharedKey> Queste informazioni sono specifiche per la rete virtuale e si trovano nel portale di gestione in chiave di gestione.

Parametri IPsec/IKE predefiniti

Le tabelle seguenti contengono le combinazioni di algoritmi e parametri usati dai gateway VPN di Azure nella configurazione predefinita (criteri predefiniti). Per i gateway VPN basati su route creati usando il modello di distribuzione Azure Resource Management, è possibile specificare un criterio personalizzato in ogni singola connessione. Per istruzioni dettagliate, vedere Configurare i criteri IPsec/IKE .

Inoltre, è necessario bloccare TCP MSS a 1350. In alternativa, se i dispositivi VPN non supportano il blocco MSS, in alternativa è possibile impostare MTU sull'interfaccia del tunnel su 1400 byte.

Nelle tabelle seguenti:

  • SA = associazione di sicurezza
  • La Fase 1 di IKE viene definita anche "Modalità principale"
  • La Fase 2 di IKE viene definita anche "Modalità rapida"

Parametri della Fase 1 di IKE (Modalità principale)

Proprietà PolicyBased RouteBased
Versione IKE IKEv1 IKEv1 e IKEv2
Diffie-Hellman Group Gruppo 2 (1024 bit) Gruppo 2 (1024 bit)
Metodo di autenticazione Chiave precondivisa Chiave precondivisa
Algoritmi di hashing della crittografia & 1. AES256, SHA2562. AES256, SHA13. AES128, SHA14. 3DES, SHA1 1. AES256, SHA12. AES256, SHA2563. AES128, SHA14. AES128, SHA2565. 3DES, SHA16. 3DES, SHA256
Durata dell'associazione di sicurezza 28.800 secondi 28.800 secondi

Parametri della Fase 2 di IKE (Modalità rapida)

Proprietà PolicyBased RouteBased
Versione IKE IKEv1 IKEv1 e IKEv2
Algoritmi di hashing della crittografia & 1. AES256, SHA2562. AES256, SHA13. AES128, SHA14. 3DES, SHA1 Offerte per associazioni di sicurezza QM basate su route
Durata dell'associazione di sicurezza (tempo) 3.600 secondi 27.000 secondi
Durata dell'associazione di sicurezza (byte) 102.400.000 KB 102.400.000 KB
Perfect Forward Secrecy (PFS) No Offerte per associazioni di sicurezza QM basate su route
Rilevamento peer inattivo Non supportato Supportato

Offerte per associazioni di sicurezza IPsec VPN basate su route (associazione di sicurezza IKE Modalità rapida)

La tabella seguente elenca le offerte per associazioni di sicurezza IPsec (IKE Modalità rapida). Le offerte sono elencate nell'ordine di preferenza di presentazione o di accettazione dell'offerta.

Gateway Azure come iniziatore

- Crittografia autenticazione Gruppo PFS
1 GCM AES256 GCM (AES256) nessuno
2 AES256 SHA1 Nessuno
3 3DES SHA1 nessuno
4 AES256 SHA256 Nessuno
5 AES128 SHA1 nessuno
6 3DES SHA256 Nessuno

Gateway Azure come risponditore

- Crittografia autenticazione Gruppo PFS
1 GCM AES256 GCM (AES256) nessuno
2 AES256 SHA1 Nessuno
3 3DES SHA1 nessuno
4 AES256 SHA256 Nessuno
5 AES128 SHA1 nessuno
6 3DES SHA256 Nessuno
7 DES SHA1 nessuno
8 AES256 SHA1 1
9 AES256 SHA1 2
10 AES256 SHA1 14
11 AES128 SHA1 1
12 AES128 SHA1 2
13 AES128 SHA1 14
14 3DES SHA1 1
15 3DES SHA1 2
16 3DES SHA256 2
17 AES256 SHA256 1
18 AES256 SHA256 2
19 AES256 SHA256 14
20 AES256 SHA1 24
21 AES256 SHA256 24
22 AES128 SHA256 Nessuno
23 AES128 SHA256 1
24 AES128 SHA256 2
25 AES128 SHA256 14
26 3DES SHA1 14
  • È possibile specificare la crittografia NULL ESP IPsec con gateway VPN RouteBased e con prestazioni elevate. La crittografia basata su Null non fornisce protezione ai dati in transito e deve essere usata solo quando è necessaria la velocità effettiva massima e la latenza minima. I client possono scegliere di usare questa crittografia in scenari di comunicazione tra reti virtuali oppure quando la crittografia viene applicata in un'altra posizione nella soluzione.
  • Per la connettività cross-premise tramite Internet, usare le impostazioni del gateway VPN di Azure predefinite con algoritmi di crittografia e hash elencati nelle tabelle precedenti, per garantire la sicurezza delle comunicazioni critiche.

Problemi di compatibilità dei dispositivi noti

Importante

Si tratta dei problemi di compatibilità noti tra i dispositivi VPN di terze parti e i gateway VPN di Azure. Il team di Azure collabora attivamente con i fornitori per risolvere i problemi elencati di seguito. Dopo aver risolto i problemi, questa pagina verrà aggiornata con le informazioni più recenti. Controllarla periodicamente.

16 febbraio 2017

Palo Alto Networks dispositivi con versione precedente alla versione 7.1.4 per VPN basata su route di Azure: se si usano dispositivi VPN da Palo Alto Networks con versione PAN-OS prima della versione 7.1.4 e si verificano problemi di connettività ai gateway VPN basati su route di Azure, seguire questa procedura:

  1. Controllare la versione del firmware del dispositivo di Palo Alto Networks. Se la versione PAN-OS è antecedente alla versione 7.1.4, aggiornarla a questa versione.
  2. Nel dispositivo di Palo Alto Networks, modificare la durata della fase 2 SA (o SA in modalità rapida) impostandola su 28.800 secondi (8 ore) quando si esegue la connessione al gateway VPN di Azure.
  3. Se si verificano ancora problemi di connettività, aprire una richiesta di supporto dalla portale di Azure.