VPN-apparaten en IPSec-/IKE-parameters voor site-to-site-VPN-gateway-verbindingen
U hebt een VPN-apparaat nodig om een cross-premises site-naar-site-VPN-verbinding te configureren. Site-naar-site-verbindingen kunnen worden gebruikt om een hybride oplossing te maken of wanneer u beveiligde verbindingen wilt maken tussen uw on-premises netwerken en virtuele netwerken. Dit artikel bevat een lijst met gevalideerde VPN-apparaten en een lijst met IPSec-/IKE-parameters voor VPN-gateways.
Belangrijk
Raadpleeg Bekende compatibiliteitsproblemen als u problemen ondervindt met de connectiviteit tussen uw lokale VPN-apparaten en VPN-gateways.
Waar u op moet letten wanneer u de tabellen bekijkt:
- Er is een terminologiewijziging voor Azure VPN-gateways. Alleen de namen zijn gewijzigd. Er is geen wijziging in de functionaliteit.
- Statische routering = PolicyBased
- Dynamische routering = RouteBased
- De specificaties voor een HighPerformance-VPN-gateway en een RouteBased VPN-gateway zijn hetzelfde, tenzij anders wordt vermeld. Zo zijn de gevalideerde VPN-apparaten die compatibel zijn met RouteBased VPN-gateways, ook compatibel met de HighPerformance VPN-gateway.
Gevalideerde VPN-apparaten en apparaatconfiguratiehandleidingen
We hebben samen met apparaatleveranciers een reeks standaard VPN-apparaten gevalideerd. Alle apparaten in de apparaatfamilies in de volgende lijst kunnen met VPN-gateways worden gebruikt. Dit zijn de aanbevolen algoritmen voor de apparaatconfiguratie.
| Aanbevolen algoritmen | Versleuteling | Integriteit | DH-groep |
|---|---|---|---|
| IKE | AES256 | SHA256 | DH2 |
| IPsec | AES256GCM | AES256GCM | Geen |
Raadpleeg de koppelingen die overeenkomen met de juiste apparaatfamilie om uw VPN-apparaat te configureren. De koppelingen naar configuratie-instructies worden geleverd op basis van best effort en standaardwaarden die worden vermeld in de configuratiehandleiding hoeven niet de beste cryptografische algoritmen te bevatten. Voor ondersteuning van VPN-apparaten neemt u contact op met de fabrikant van uw apparaat.
| Leverancier | Apparaatfamilie | Minimale versie van het besturingssysteem | PolicyBased configuratie-instructies | RouteBased configuratie-instructies |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | Niet compatibel | Configuratiehandleiding |
| AhnLab | TrusGuard | TG 2.7.6 TG 3.5.x |
Niet getest | Configuratiehandleiding |
| Allied Telesis | VPN-routers uit AR-serie | AR-Serie 5.4.7+ | Configuratiehandleiding | Configuratiehandleiding |
| Arista | CloudEOS-router | vEOS 4.24.0FX | Niet getest | Configuratiehandleiding |
| Barracuda Networks, Inc. | Barracuda CloudGen-firewall | PolicyBased: 5.4.3 RouteBased: 6.2.0 |
Configuratiehandleiding | Configuratiehandleiding |
| Check Point | Security Gateway | R80.10 | Configuratiehandleiding | Configuratiehandleiding |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
Ondersteund | Configuratiehandleiding* |
| Cisco | ASR | PolicyBased: IOS 15.1 RouteBased: IOS 15.2 |
Ondersteund | Ondersteund |
| Cisco | CSR | RouteBased: IOS-XE 16.10 | Niet getest | Configuratiescript |
| Cisco | ISR | PolicyBased: IOS 15.0 RouteBased*: IOS 15.1 |
Ondersteund | Ondersteund |
| Cisco | Meraki (MX) | MX v15.12 | Niet compatibel | Configuratiehandleiding |
| Cisco | vEdge (Viptela OS) | 18.4.0 (actieve/passieve modus) | Niet compatibel | Handmatige configuratie (actief/passief) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 en hoger | Configuratiehandleiding | Niet compatibel |
| F5 | BIG-IP-serie | 12.0 | Configuratiehandleiding | Configuratiehandleiding |
| Fortinet | FortiGate | FortiOS 5.6 | Niet getest | Configuratiehandleiding |
| Fsas Technologies | Si-R G serie | V04: V04.12 V20: V20.14 |
Configuratiehandleiding | Configuratiehandleiding |
| Hillstone Networks | Next-Gen Firewalls (NGFW) | 5.5R7 | Niet getest | Configuratiehandleiding |
| HPE Aruba | EdgeConnect SDWAN-gateway | ECOS Release v9.2 Orchestrator OS v9.2 |
Configuratiehandleiding | Configuratiehandleiding |
| Internet Initiative Japan (IIJ) | SEIL-serie | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Configuratiehandleiding | Niet compatibel |
| Juniper | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
Ondersteund | Configuratiescript |
| Juniper | J-serie | PolicyBased: JunOS 10.4r9 RouteBased: JunOS 11.4 |
Ondersteund | Configuratiescript |
| Juniper | ISG | ScreenOS 6.3 | Ondersteund | Configuratiescript |
| Juniper | SSG | ScreenOS 6.2 | Ondersteund | Configuratiescript |
| Juniper | MX | JunOS 12.x | Ondersteund | Configuratiescript |
| Microsoft | Routering en Remote Access-Service | Windows Server 2012 | Niet compatibel | Ondersteund |
| Open Systems AG | Mission Control Security Gateway | N.v.t. | Ondersteund | Niet compatibel |
| Palo Alto Networks | Alle apparaten waarop PAN-OS wordt uitgevoerd | PAN-OS PolicyBased: 6.1.5 of hoger RouteBased: 7.1.4 |
Ondersteund | Configuratiehandleiding |
| Sentrium (ontwikkelaar) | VyOS | VyOS 1.2.2 | Niet getest | Configuratiehandleiding |
| ShareTech | Next Generation UTM (NU-serie) | 9.0.1.3 | Niet compatibel | Configuratiehandleiding |
| SonicWall | TZ-serie, NSA-serie SuperMassive-serie E-Class NSA-serie |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Niet compatibel | Configuratiehandleiding |
| Sophos | XG Firewall van de volgende generatie | XG v17 | Niet getest | Configuratiehandleiding Configuratiehandleiding - Meerdere CA's |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Niet getest | Configuratiehandleiding |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 | Niet getest | BGP via IKEv2/IPsec VTI via IKEv2/IPsec |
| Ultra | 3E-636L3 | 5.2.0.T3 build-13 | Niet getest | Configuratiehandleiding |
| WatchGuard | Alle | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
Configuratiehandleiding | Configuratiehandleiding |
| Zyxel | ZyWALL USG-serie ZyWALL ATP-serie ZyWALL VPN-serie |
ZLD v4.32+ | Niet getest | VTI via IKEv2/IPsec BGP via IKEv2/IPsec |
Notitie
(*) Met Cisco ASA versie 8.4 en hoger wordt IKEv2-ondersteuning toegevoegd en kan verbinding worden gemaakt met Azure VPN-gateways met behulp van een aangepast IPsec/IKE-beleid met de optie UsePolicyBasedTrafficSelectors. Raadpleeg dit artikel met instructies.
(**) Routers uit de ISR 7200-serie bieden alleen ondersteuning voor PolicyBased VPN's.
Configuratiescripts voor VPN-apparaten downloaden van Azure
Voor bepaalde apparaten kunt u configuratiescripts rechtstreeks vanuit Azure downloaden. Zie Configuratiescripts voor VPN-apparaten downloaden voor meer informatie en downloadinstructies.
Niet-gevalideerde VPN-apparaten
Als uw apparaat niet wordt weergegeven in de tabel Gevalideerde VPN-apparaten, werkt uw apparaat mogelijk nog steeds met een site-naar-site-verbinding. Neem contact op met de fabrikant van uw apparaat voor ondersteuning en configuratie-instructies.
Voorbeelden van het bewerken van apparaatconfiguraties
Nadat u het bij het VPN-apparaat meegeleverde configuratievoorbeeld hebt gedownload, moet u enkele waarden veranderen zodat ze overeenkomen met de instellingen voor uw omgeving.
U bewerkt een voorbeeld als volgt:
- Open het voorbeeld met Kladblok.
- Zoek en vervang alle <tekenreeksen> door de waarden die betrekking hebben op uw omgeving. Zorg ervoor dat u deze opneemt < en >. Als u een naam opgeeft, moet deze uniek zijn. Als een opdracht niet werkt, raadpleegt u de documentatie van de fabrikant van uw apparaat.
| Voorbeeldtekst | Wijzig in |
|---|---|
| <RP_OnPremisesNetwork> | De naam die u voor dit object hebt gekozen. Voorbeeld: myOnPremisesNetwork |
| <RP_AzureNetwork> | De naam die u voor dit object hebt gekozen. Voorbeeld: myAzureNetwork |
| <RP_AccessList> | De naam die u voor dit object hebt gekozen. Voorbeeld: myAzureAccessList |
| <RP_IPSecTransformSet> | De naam die u voor dit object hebt gekozen. Voorbeeld: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | De naam die u voor dit object hebt gekozen. Voorbeeld: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | Geef het bereik op. Voorbeeld: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Geef het subnetmasker op. Voorbeeld: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Geef het on-premises bereik op. Voorbeeld: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | Geef het on-premises subnetmasker op. Voorbeeld: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Deze informatie is specifiek voor uw virtuele netwerk en u vindt deze in de beheerportal als IP-adres van gateway. |
| <SP_PresharedKey> | Deze informatie is specifiek voor uw virtuele netwerk en u vindt deze in de beheerportal onder Sleutel beheren. |
Standaard-IPsec-/IKE-parameters
De volgende tabellen bevatten de combinaties van algoritmen en parameters die Azure VPN-gateways gebruiken in de standaardconfiguratie (standaardbeleid). Voor op routes gebaseerde VPN-gateways die zijn gemaakt met het Azure Resource Management-implementatiemodel, kunt u voor elke afzonderlijke verbinding een aangepast beleid opgeven. Raadpleeg IPsec-/IKE-beleid configureren voor gedetailleerde instructies.
In de volgende tabellen:
- SA = Security Association
- IKE Phase 1 wordt ook 'Main Mode' genoemd
- IKE Phase 2 wordt ook 'Quick Mode' genoemd
Parameters voor IKE Phase 1 (Main Mode)
| Eigenschappen | PolicyBased | RouteBased |
|---|---|---|
| IKE-versie | IKEv1 | IKEv1 en IKEv2 |
| Diffie-Hellman-groep | Groep 2 (1024 bits) | Groep 2 (1024 bits) |
| Authenticatiemethode | Vooraf gedeelde sleutel | Vooraf gedeelde sleutel |
| Versleutelings- en hash-algoritmen | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| SA-levensduur | 28.800 seconden | 28.800 seconden |
| Aantal snelle modus-SA | 100 | 100 |
Parameters voor IKE Phase 2 (Quick Mode)
| Eigenschappen | PolicyBased | RouteBased |
|---|---|---|
| IKE-versie | IKEv1 | IKEv1 en IKEv2 |
| Versleutelings- en hash-algoritmen | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
RouteBased QM SA-aanbiedingen |
| SA-levensduur (tijd) | 3.600 seconden | 27.000 seconden |
| SA-levensduur (bytes) | 102.400.000 kB | 102.400.000 kB |
| Perfect Forward Secrecy (PFS) | Nee | RouteBased QM SA-aanbiedingen |
| Dead Peer Detection (DPD) | Niet ondersteund | Ondersteund |
AZURE VPN Gateway TCP MSS-klem
MSS-klem wordt bidirectioneel uitgevoerd op de Azure VPN Gateway. De volgende tabel bevat de pakketgrootte in verschillende scenario's.
| Pakketstroom | IPv4 | IPv6 |
|---|---|---|
| Via internet | 1340 bytes | 1360 bytes |
| Via Express Route Gateway | 1250 bytes | 1250 bytes |
Aanbiedingen RouteBased VPN IPsec Security Association (IKE Quick Mode SA)
De volgende tabel bevat aanbiedingen van IPSec-SA (IKE Quick Mode). De aanbiedingen staan in volgorde van voorkeur waarin de aanbieding is gepresenteerd of geaccepteerd.
Azure-gateway als initiator
| - | Versleuteling | Verificatie | PFS-groep |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Geen |
| 2 | AES256 | SHA1 | Geen |
| 3 | 3DES | SHA1 | Geen |
| 4 | AES256 | SHA256 | Geen |
| 5 | AES128 | SHA1 | Geen |
| 6 | 3DES | SHA256 | Geen |
Azure-gateway als antwoorder
| - | Versleuteling | Verificatie | PFS-groep |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Geen |
| 2 | AES256 | SHA1 | Geen |
| 3 | 3DES | SHA1 | Geen |
| 4 | AES256 | SHA256 | Geen |
| 5 | AES128 | SHA1 | Geen |
| 6 | 3DES | SHA256 | Geen |
| 7 | DES | SHA1 | Geen |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | Geen |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- U kunt IPsec ESP NULL-versleuteling opgeven met RouteBased VPN-gateways en HighPerformance VPN-gateways. Versleuteling op basis van null biedt geen beveiliging voor gegevens die onderweg zijn en mag alleen worden gebruikt wanneer maximale doorvoer en minimale latentie vereist zijn. Clients kunnen ervoor kiezen om dit te gebruiken in VNet-naar-VNet-communicatiescenario's of wanneer versleuteling ergens anders in de oplossing wordt toegepast.
- Voor cross-premises connectiviteit via internet gebruikt u de standaardinstellingen van de Azure VPN-gateway met versleutelings- en hash-algoritmen die in de voorgaande tabellen worden vermeld om de beveiliging van uw kritieke communicatie te garanderen.
Bekende compatibiliteitsproblemen
Belangrijk
Dit zijn de bekende compatibiliteitsproblemen tussen VPN-apparaten van derden en Azure VPN-gateways. Het team van Azure werkt samen met de leveranciers aan een oplossing voor de hier vermelde problemen. Zodra de problemen zijn opgelost, wordt deze pagina bijgewerkt met de meest actuele informatie. Bekijk deze pagina daarom regelmatig.
16 februari 2017
Palo Alto Networks-apparaten met versie vóór 7.1.4 voor op route gebaseerde VPN van Azure: Als u VPN-apparaten van Palo Alto Networks gebruikt met een PAN-OS-versie vóór 7.1.4 en verbindingsproblemen ondervindt met op route gebaseerde VPN-gateways van Azure, voert u de volgende stappen uit:
- Controleer de firmwareversie van uw Palo Alto Networks-apparaat. Als de PAN-OS-versie ouder is dan 7.1.4, voert u een upgrade uit naar 7.1.4.
- Op het Palo Alto Networks-apparaat wijzigt u de levensduur van de beveiligingskoppeling fase 2 (of de beveiligingskoppeling in snelle modus) in 28.800 seconden (8 uur) wanneer er verbinding met de Azure VPN-gateway wordt gemaakt.
- Als u nog steeds verbindingsproblemen ondervindt, opent u een ondersteuningsaanvraag vanuit Azure Portal.