Informazioni sui dispositivi VPN e sui parametri IPsec/IKE per connessioni del Gateway VPN da sito a sito
Per configurare una connessione VPN cross-premise da sito a sito usando un Gateway VPN, è necessario un dispositivo VPN. Le connessioni da sito a sito possono essere usate per creare una soluzione ibrida o se si vogliono stabilire connessioni sicure tra le reti locali e le reti virtuali. Questo documento offre un elenco di dispositivi VPN convalidati e un elenco di parametri IPsec/IKE per i gateway VPN.
Importante
Se si verificano problemi di connettività tra i gateway VPN e i dispositivi VPN locali, vedere Problemi noti di compatibilità del dispositivo.
Elementi da considerare quando si visualizzano le tabelle:
- È stata eseguita una modifica della terminologia per i Gateway VPN di Azure. Sono stati modificati solo i nomi. Non sono state apportate modifiche alle funzionalità.
- Routing statico = PolicyBased
- Routing dinamico = RouteBased
- Se non indicato diversamente, le specifiche per i gateway VPN a prestazioni elevate e i gateway VPN RouteBased sono le stesse. Ad esempio, i dispositivi VPN convalidati e compatibili con i gateway VPN RouteBased sono compatibili anche con il gateway VPN a prestazioni elevate.
Dispositivi VPN convalidati e guide di configurazione per dispositivi
In collaborazione con i fornitori di dispositivi, è stato approvato un set di dispositivi VPN standard. Tutti i dispositivi nelle famiglie di dispositivi dell'elenco seguente funzioneranno con i gateway VPN. Questi sono gli algoritmi consigliati per la configurazione del dispositivo.
| Algoritmi consigliati | Crittografie | Integrità | Gruppo DH |
|---|---|---|---|
| IKE | AES256 | SHA256 | DH2 |
| IPsec | AES256GCM | AES256GCM | None |
Per agevolare la configurazione del dispositivo VPN, vedere i collegamenti corrispondenti alla famiglia di dispositivi appropriata. I collegamenti alle istruzioni di configurazione vengono forniti in base al massimo sforzo e le impostazioni predefinite elencate nella guida alla configurazione non devono contenere gli algoritmi di crittografia migliori. Per il supporto ai dispositivi VPN, contattare il produttore del dispositivo.
| Fornitore | Famiglia di dispositivi | Versione minima del sistema operativo | Istruzioni di configurazione di tipo PolicyBased | Istruzioni di configurazione di tipo RouteBased |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | Non compatibile | Guida alla configurazione |
| Ahnlab | TrusGuard | TG 2.7.6 TG 3.5.x |
Non testato | Guida alla configurazione |
| Allied Telesis | Router VPN serie AR | AR-Series 5.4.7+ | Guida alla configurazione | Guida alla configurazione |
| Arista | CloudEOS Router | vEOS 4.24.0FX | Non testato | Guida alla configurazione |
| Barracuda Networks, Inc. | Barracuda CloudGen Firewall | PolicyBased: 5.4.3 RouteBased: 6.2.0 |
Guida alla configurazione | Guida alla configurazione |
| Punto di controllo | Gateway di protezione | R80.10 | Guida alla configurazione | Guida alla configurazione |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
Supportata | Guida alla configurazione* |
| Cisco | ASR | PolicyBased: IOS 15.1 RouteBased: IOS 15.2 |
Supportata | Supportata |
| Cisco | CSR | RouteBased: IOS-XE 16.10 | Non testato | Script di configurazione |
| Cisco | ISR | PolicyBased: IOS 15.0 RouteBased*: IOS 15.1 |
Supportata | Supportata |
| Cisco | Meraki (MX) | MX v15.12 | Non compatibile | Guida alla configurazione |
| Cisco | vEdge (sistema operativo Viptela) | 18.4.0 (modalità attiva/passiva) | Non compatibile | Configurazione manuale (attivo/passivo) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 e versioni successive | Guida alla configurazione | Non compatibile |
| F5 | Serie BIG-IP | 12.0 | Guida alla configurazione | Guida alla configurazione |
| Fortinet | FortiGate | FortiOS 5.6 | Non testato | Guida alla configurazione |
| Fujitsu | Serie Si-R G | V04: V04.12 V20: V20.14 |
Guida alla configurazione | Guida alla configurazione |
| Hillstone Networks | Firewall di nuova generazione (NGFW) | 5.5R7 | Non testato | Guida alla configurazione |
| HPE Aruba | Gateway SDWAN edge Connessione | ECOS Release v9.2 Sistema operativo Orchestrator v9.2 |
Guida alla configurazione | Guida alla configurazione |
| Internet Initiative Japan (IIJ) | Serie SEIL | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Guida alla configurazione | Non compatibile |
| Juniper | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
Supportata | Script di configurazione |
| Juniper | Serie J | PolicyBased: JunOS 10.4r9 RouteBased: JunOS 11.4 |
Supportata | Script di configurazione |
| Juniper | ISG | ScreenOS 6.3 | Supportata | Script di configurazione |
| Juniper | SSG | ScreenOS 6.2 | Supportata | Script di configurazione |
| Juniper | MX | JunOS 12.x | Supportata | Script di configurazione |
| Microsoft | Servizio Routing e Accesso remoto | Windows Server 2012 | Non compatibile | Supportata |
| Open Systems AG | Mission Control Security Gateway | N/D | Supportata | Non compatibile |
| Palo Alto Networks | Tutti i dispositivi che eseguono PAN-OS | PAN-OS PolicyBased: 6.1.5 o versione successiva RouteBased: 7.1.4 |
Supportata | Guida alla configurazione |
| Sentrium (sviluppatore) | VyOS | VyOS 1.2.2 | Non testato | Guida alla configurazione |
| ShareTech | Next Generation UTM (serie NU) | 9.0.1.3 | Non compatibile | Guida alla configurazione |
| SonicWALL | Serie TZ, serie NSA Serie SuperMassive Serie NSA classe E |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Non compatibile | Guida alla configurazione |
| Sophos | Firewall XG di nuova generazione | XG v17 | Non testato | Guida alla configurazione Guida alla configurazione - Più firme di accesso condiviso |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Non testato | Guida alla configurazione |
| Ubiquiti | EdgeRouter | EdgeOS versione 1.10 | Non testato | BGP su IKEv2/IPsec VTI su IKEv2/IPsec |
| Ultra | 3E-636L3 | 5.2.0.T3 Build-13 | Non testato | Guida alla configurazione |
| WatchGuard | Tutte le date | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
Guida alla configurazione | Guida alla configurazione |
| Zyxel | Serie ZyWALL USG Serie ZyWALL ATP Serie VPN ZyWALL |
ZLD v4.32+ | Non testato | VTI su IKEv2/IPsec BGP su IKEv2/IPsec |
Nota
(*) Le versioni di Cisco ASA 8.4+ aggiungono il supporto IKEv2 e possono connettersi al gateway VPN di Azure usando criteri IPsec/IKE personalizzati con l'opzione "UsePolicyBasedTrafficSelectors". Vedere questa procedura dettagliata.
(\*\*) I router serie ISR 7200 supportano solo VPN PolicyBased.
Scaricare script di configurazione del dispositivo VPN da Azure
Per alcuni dispositivi è possibile scaricare script di configurazione direttamente da Azure. Per altre informazioni e per le istruzioni di download, vedere Scaricare gli script di configurazione del dispositivo VPN.
Dispositivi VPN non convalidati
Se il dispositivo non è elencato nella tabella Dispositivi VPN convalidati, il dispositivo potrebbe comunque funzionare con una connessione da sito a sito. Contattare il produttore del dispositivo per assistenza e istruzioni di configurazione.
Modifica degli esempi di configurazione di dispositivo
Dopo aver scaricato l'esempio di configurazione di dispositivo VPN fornito, è necessario sostituire alcuni dei valori in base alle impostazioni per l'ambiente.
Per modificare un esempio:
- Aprire l'esempio utilizzando il blocco note.
- Cercare e sostituire tutte le <stringhe di testo> con i valori relativi all'ambiente. Assicurarsi di includere < e >. Quando viene specificato un nome, il nome selezionato deve essere univoco. Se un comando non funziona, consultare la documentazione del produttore del dispositivo.
| Testo di esempio | Modificare in |
|---|---|
| <RP_OnPremisesNetwork> | Nome scelto per questo oggetto. Esempio: myOnPremisesNetwork |
| <RP_AzureNetwork> | Nome scelto per questo oggetto. Esempio: myAzureNetwork |
| <RP_AccessList> | Nome scelto per questo oggetto. Esempio: myAzureAccessList |
| <RP_IPSecTransformSet> | Nome scelto per questo oggetto. Esempio: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | Nome scelto per questo oggetto. Esempio: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | Specificare l'intervallo. Esempio: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Specificare la subnet mask. Esempio: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Specificare l'intervallo in locale. Esempio: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | Specificare la subnet mask locale. Esempio: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Queste informazioni sono specifiche per la rete virtuale e si trovano nel portale di gestione in Indirizzo IP gateway. |
| <SP_PresharedKey> | Queste informazioni sono specifiche per la rete virtuale e si trovano nel portale di gestione in chiave di gestione. |
Parametri IPsec/IKE predefiniti
Le tabelle seguenti contengono le combinazioni di algoritmi e parametri usati dai gateway VPN di Azure nella configurazione predefinita (criteri predefiniti). Per i gateway VPN basati su route creati usando il modello di distribuzione Azure Resource Management, è possibile specificare un criterio personalizzato in ogni singola connessione. Per istruzioni dettagliate, vedere Configurare i criteri IPsec/IKE.
Inoltre, è necessario bloccare TCP MSS a 1350. In alternativa, se i dispositivi VPN non supportano il blocco MSS, è possibile impostare MTU sull'interfaccia del tunnel su 1400 byte.
Nelle tabelle seguenti:
- SA = associazione di sicurezza
- La Fase 1 di IKE viene definita anche "Modalità principale"
- La Fase 2 di IKE viene definita anche "Modalità rapida"
Parametri della Fase 1 di IKE (Modalità principale)
| Proprietà | PolicyBased | RouteBased |
|---|---|---|
| Versione IKE | IKEv1 | IKEv1 e IKEv2 |
| Diffie-Hellman Group | Gruppo 2 (1024 bit) | Gruppo 2 (1024 bit) |
| Metodo di autenticazione | Chiave precondivisa | Chiave precondivisa |
| Algoritmi di crittografia e di hash | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| Durata dell'associazione di sicurezza | 28.800 secondi | 28.800 secondi |
| Numero di sa in modalità rapida | 100 | 100 |
Parametri della Fase 2 di IKE (Modalità rapida)
| Proprietà | PolicyBased | RouteBased |
|---|---|---|
| Versione IKE | IKEv1 | IKEv1 e IKEv2 |
| Algoritmi di crittografia e di hash | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
Offerte per associazioni di sicurezza QM basate su route |
| Durata dell'associazione di sicurezza (tempo) | 3.600 secondi | 27.000 secondi |
| Durata dell'associazione di sicurezza (byte) | 102.400.000 KB | 102.400.000 KB |
| Perfect Forward Secrecy (PFS) | No | Offerte per associazioni di sicurezza QM basate su route |
| Rilevamento peer inattivo | Non supportato | Supportato |
Offerte per associazioni di sicurezza IPsec VPN basate su route (associazione di sicurezza IKE Modalità rapida)
La tabella seguente elenca le offerte per associazioni di sicurezza IPsec (IKE Modalità rapida). Le offerte sono elencate nell'ordine di preferenza di presentazione o di accettazione dell'offerta.
Gateway Azure come iniziatore
| - | Crittografia | Autenticazione | Gruppo PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | None |
| 2 | AES256 | SHA1 | None |
| 3 | 3DES | SHA1 | None |
| 4 | AES256 | SHA256 | None |
| 5 | AES128 | SHA1 | None |
| 6 | 3DES | SHA256 | None |
Gateway Azure come risponditore
| - | Crittografia | Autenticazione | Gruppo PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | None |
| 2 | AES256 | SHA1 | None |
| 3 | 3DES | SHA1 | None |
| 4 | AES256 | SHA256 | None |
| 5 | AES128 | SHA1 | None |
| 6 | 3DES | SHA256 | None |
| 7 | DES | SHA1 | None |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | None |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- È possibile specificare la crittografia NULL ESP IPsec con gateway VPN RouteBased e con prestazioni elevate. La crittografia basata su Null non fornisce protezione ai dati in transito e deve essere usata solo quando è necessaria la velocità effettiva massima e la latenza minima. I client possono scegliere di usarlo negli scenari di comunicazione da rete virtuale a rete virtuale o quando la crittografia viene applicata altrove nella soluzione.
- Per la connettività cross-premise tramite Internet, usare le impostazioni predefinite del gateway VPN di Azure con algoritmi di crittografia e hash elencati nelle tabelle precedenti per garantire la sicurezza delle comunicazioni critiche.
Problemi noti di compatibilità del dispositivo
Importante
Si tratta dei problemi di compatibilità noti tra i dispositivi VPN di terze parti e i gateway VPN di Azure. Il team di Azure collabora attivamente con i fornitori per risolvere i problemi elencati di seguito. Dopo aver risolto i problemi, questa pagina verrà aggiornata con le informazioni più recenti. Controllarla periodicamente.
16 febbraio 2017
Dispositivi Palo Alto Networks con versione precedente alla 7.1.4 per vpn basata su route di Azure: se si usano dispositivi VPN da Palo Alto Networks con versione PAN-OS precedente alla 7.1.4 e si verificano problemi di connettività ai gateway VPN basati su route di Azure, seguire questa procedura:
- Controllare la versione del firmware del dispositivo di Palo Alto Networks. Se la versione PAN-OS è antecedente alla versione 7.1.4, aggiornarla a questa versione.
- Nel dispositivo di Palo Alto Networks, modificare la durata della fase 2 SA (o SA in modalità rapida) impostandola su 28.800 secondi (8 ore) quando si esegue la connessione al gateway VPN di Azure.
- Se si verificano ancora problemi di connettività, aprire una richiesta di supporto dal portale di Azure.