Aangepast IPsec-/IKE-verbindingsbeleid configureren voor S2S VPN en VNet-naar-VNet: Azure Portal

  • Artikel
  • 9 minuten om te lezen

Dit artikel begeleidt u bij de stappen voor het configureren van IPsec/IKE-beleid voor VPN Gateway site-naar-site-VPN- of VNet-naar-VNet-verbindingen met behulp van de Azure Portal. De volgende secties helpen u bij het maken en configureren van een IPsec-/IKE-beleid en het toepassen van het beleid op een nieuwe of bestaande verbinding.

Werkstroom

De instructies in dit artikel helpen u bij het instellen en configureren van IPsec-/IKE-beleid, zoals wordt weergegeven in het volgende diagram.

Diagram met IPsec-/IKE-beleid.

  1. Maak een virtueel netwerk en een VPN-gateway.
  2. Maak een lokale netwerkgateway voor een cross-premises verbinding of een ander virtueel netwerk en een andere gateway voor een VNet-naar-VNet-verbinding.
  3. Maak een verbinding (IPsec of VNet2VNet).
  4. Configureer/update/verwijder het IPsec-/IKE-beleid voor de verbindingsresources.

Beleidsparameters

De IPsec- en IKE-protocolstandaard ondersteunt een breed scala aan cryptografische algoritmen in verschillende combinaties. Raadpleeg Over cryptografische vereisten en Azure VPN-gateways om te zien hoe u hiermee cross-premises en VNet-naar-VNet-connectiviteit kunt garanderen om te voldoen aan uw nalevings- of beveiligingsvereisten. Houd rekening met de volgende overwegingen:

  • IPsec-/IKE-beleid werkt alleen op de volgende gateway-SKU's:
    • VpnGw1~5 en VpnGw1AZ~5AZ
    • Standard en HighPerformance
  • U kunt slechts één beleidscombinatie opgeven voor een bepaalde verbinding.
  • U moet alle algoritmen en parameters opgeven voor zowel IKE (hoofdmodus) als IPsec (snelle modus). Gedeeltelijke beleidsspecificatie is niet toegestaan.
  • Neem contact op met de specificaties van de leverancier van uw VPN-apparaat om ervoor te zorgen dat het beleid wordt ondersteund op uw on-premises VPN-apparaten. S2S- of VNet-naar-VNet-verbindingen kunnen niet vaststellen of het beleid niet compatibel is.

Sterke punten van cryptografische algoritmen &

De volgende tabel bevat de ondersteunde configureerbare cryptografische algoritmen en belangrijke sterke punten.

IPsec/IKEv2 Opties
IKEv2-versleuteling GCMAES256, GCMAES128, AES256, AES192, AES128, DES3, DES
IKEv2-integriteit GCMAES256, GCMAES128, SHA384, SHA256, SHA1, MD5
DH-groep DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, Geen
IPsec-versleuteling GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, geen
IPsec-integriteit GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS-groep PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, geen
QM SA-levensduur (Optioneel: standaardwaarden worden gebruikt als deze niet zijn opgegeven)
Seconden (geheel getal; min. 300 /standaard 27000 seconden)
KB (geheel getal; min. 1024/standaard 102400000 KB)
Verkeersselector UsePolicyBasedTrafficSelectors** ($True/$False; Optioneel, standaard $False indien niet opgegeven)
Time-out voor DPD Seconden (geheel getal: min. 9/max. 3600; standaard 45 seconden)

  • De configuratie van uw on-premises VPN-apparaat moet overeenkomen met of de volgende algoritmen en parameters bevatten die u in het Azure IPsec/IKE-beleid opgeeft:

    • IKE-versleutelingsalgoritmen (hoofdmodus/fase 1)
    • IKE-integriteitsalgoritmen (hoofdmodus/fase 1)
    • DH-groep (hoofdmodus/ fase 1)
    • IPsec-versleutelingsalgoritmen (snelle modus/fase 2)
    • IPsec-integriteitsalgoritmen (snelle modus/fase 2)
    • PFS-groep (snelle modus/fase 2)
    • Traffic Selector (als UsePolicyBasedTrafficSelectors wordt gebruikt)
    • De SA-levensduur is alleen lokaal en hoeft niet overeen te komen.

  • Als GCMAES wordt gebruikt als voor IPsec-versleutelingsalgoritmen, moet u hetzelfde GCMAES-algoritme en dezelfde sleutellengte selecteren voor IPsec-integriteit; bijvoorbeeld GCMAES128 gebruiken voor beide.

  • In de tabel Algoritmen en sleutels :

    • IKE komt overeen met de hoofdmodus of fase 1.
    • IPsec komt overeen met snelle modus of fase 2.
    • DH-groep geeft de Diffie-Hellmen groep die wordt gebruikt in de hoofdmodus of fase 1.
    • PFS-groep heeft de Diffie-Hellmen groep opgegeven die wordt gebruikt in de snelle modus of fase 2.

  • De SA-levensduur van de IKE-hoofdmodus is vastgesteld op 28.800 seconden op de Azure VPN-gateways.

  • UsePolicyBasedTrafficSelectors is een optionele parameter voor de verbinding. Als u UsePolicyBasedTrafficSelectors instelt op $True op een verbinding, wordt de Azure VPN-gateway geconfigureerd om on-premises verbinding te maken met een op beleid gebaseerde VPN-firewall. Als u PolicyBasedTrafficSelectors inschakelt, moet u ervoor zorgen dat op uw VPN-apparaat de overeenkomende verkeersselectors zijn gedefinieerd met alle combinaties van uw on-premises netwerkvoorvoegsels (lokale netwerkgateway) naar/van de voorvoegsels van het virtuele Azure-netwerk, in plaats van any-to-any.

    Als uw lokale netwerkvoorvoegsels bijvoorbeeld 10.1.0.0/16 en 10.2.0.0/16 zijn, en de voorvoegsels van uw virtuele netwerk 192.168.0.0/16 en 172.16.0.0/16, moet u de volgende verkeersselectoren opgeven:

    • 10.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/16

    Zie Meerdere on-premises, op beleid gebaseerde VPN-apparaten verbinden voor meer informatie over op beleid gebaseerde verkeerskiezers.

  • DPD-time-out: de standaardwaarde is 45 seconden op Azure VPN-gateways. Als u de time-out instelt op kortere perioden, wordt IKE agressiever opnieuw versleuteld, waardoor de verbinding in sommige gevallen lijkt te zijn verbroken. Dit is mogelijk niet wenselijk als uw on-premises locaties verder verwijderd zijn van de Azure-regio waar de VPN-gateway zich bevindt, of als de fysieke koppeling mogelijk pakketverlies met zich meebrengt. De algemene aanbeveling is om de time-out in te stellen tussen 30 en 45 seconden.

Notitie

IKEv2-integriteit wordt gebruikt voor zowel integriteit als PRF (pseudo-willekeurige functie).  Als het opgegeven IKEv2-versleutelingsalgoritme GCM* is, wordt de waarde die is doorgegeven in IKEv2-integriteit alleen gebruikt voor PRF en wordt IKEv2-integriteit impliciet ingesteld op GCM*. In alle andere gevallen wordt de waarde die is doorgegeven in IKEv2-integriteit gebruikt voor zowel IKEv2-integriteit als PRF.

Diffie-Hellman groepen

De volgende tabel bevat de bijbehorende Diffie-Hellman groepen die worden ondersteund door het aangepaste beleid:

Diffie-Hellman-groep DHGroup PFSGroup Sleutellengte
1 DHGroup1 PFS1 768-bits MODP
2 DHGroup2 PFS2 1024-bits MODP
14 DHGroup14
DHGroup2048		 PFS2048 2048-bits MODP
19 ECP256 ECP256 256-bits ECP
20 ECP384 ECP384 384-bits ECP
24 DHGroup24 PFS24 2048-bits MODP

Raadpleeg RFC3526 en RFC5114 voor meer informatie.

Een S2S VPN-verbinding maken met aangepast beleid

In deze sectie wordt u begeleid bij de stappen voor het maken van een site-naar-site-VPN-verbinding met een IPsec-/IKE-beleid. Met de volgende stappen wordt de verbinding gemaakt, zoals wordt weergegeven in het volgende diagram:

Site-naar-site-beleid

Stap 1: maak het virtuele netwerk, de VPN-gateway en de lokale netwerkgateway voor TestVNet1

Maak de volgende resources. Zie Een site-naar-site-VPN-verbinding maken voor de stappen.

  1. Maak het virtuele netwerk TestVNet1 met behulp van de volgende waarden.

    • Resourcegroep: TestRG1
    • Naam: TestVNet1
    • Regio: (US) US - oost
    • IPv4-adresruimte: 10.1.0.0/16
    • Naam van subnet 1: Frontend
    • Subnet 1 adresbereik: 10.1.0.0/24
    • Naam van subnet 2: Backend
    • Subnet 2-adresbereik: 10.1.1.0/24

  2. Maak de virtuele netwerkgateway VNet1GW met behulp van de volgende waarden.

    • Naam: VNet1GW
    • Regio: VS - oost
    • Gatewaytype: VPN
    • VPN-type: Op route gebaseerd
    • SKU: VpnGw2
    • Generatie: Generatie 2
    • Virtueel netwerk: VNet1
    • Adresbereik gatewaysubnet: 10.1.255.0/27
    • Type openbaar IP-adres: Basic of Standard
    • Openbaar IP-adres: Nieuwe maken
    • Openbare IP-adresnaam: VNet1GWpip
    • De modus actief-actief inschakelen: Uitgeschakeld
    • BGP configureren: Uitgeschakeld

Stap 2: de lokale netwerkgateway en verbindingsresources configureren

  1. Maak de lokale netwerkgatewayresource Site6 met behulp van de volgende waarden.

    • Naam: Site6
    • Resourcegroep: TestRG1
    • Locatie: VS - oost
    • IP-adres van lokale gateway: 5.4.3.2 (alleen voorbeeldwaarde: gebruik het IP-adres van uw on-premises apparaat)
    • Adresruimten 10.61.0.0/16, 10.62.0.0/16 (alleen voorbeeldwaarde)

  2. Voeg vanuit de virtuele netwerkgateway een verbinding toe met de lokale netwerkgateway met behulp van de volgende waarden.

    • Verbindingsnaam: VNet1toSite6
    • Verbindingstype: Ipsec
    • Lokale netwerkgateway: Site6
    • Gedeelde sleutel: abc123 (voorbeeldwaarde - moet overeenkomen met de gebruikte on-premises apparaatsleutel)
    • IKE-protocol: IKEv2

Stap 3: een aangepast IPsec-/IKE-beleid configureren voor de S2S VPN-verbinding

Configureer een aangepast IPsec-/IKE-beleid met de volgende algoritmen en parameters:

  • IKE Fase 1: AES256, SHA384, DHGroup24
  • IKE Phase 2 (IPsec): AES256, SHA256, PFS None
  • IPsec SA-levensduur in kB: 102400000
  • IPsec SA-levensduur in seconden: 30000
  • DPD time-out: 45 seconden

  1. Ga naar de verbindingsresource die u hebt gemaakt, VNet1toSite6. Open de pagina Configuratie . Selecteer Aangepast IPsec-/IKE-beleid om alle configuratieopties weer te geven. In de volgende schermopname ziet u de configuratie volgens de lijst:

    Schermopname van de configuratie van de Site 6-verbinding.

    Als u GCMAES voor IPsec gebruikt, moet u hetzelfde GCMAES-algoritme en dezelfde sleutellengte gebruiken voor zowel IPsec-versleuteling als integriteit. In de volgende schermopname wordt bijvoorbeeld GCMAES128 opgegeven voor zowel IPsec-versleuteling als IPsec-integriteit:

    Schermopname van GCMAES voor IPsec.

  2. Als u de Azure VPN-gateway wilt inschakelen om verbinding te maken met on-premises VPN-apparaten op basis van beleid, kunt u Inschakelen selecteren voor de optie Verkeersselectors op basis van beleid gebruiken .

  3. Zodra alle opties zijn geselecteerd, selecteert u Opslaan om de wijzigingen door te voeren in de verbindingsresource. Het beleid wordt over ongeveer een minuut afgedwongen.

    Belangrijk

    • Zodra een IPsec-/IKE-beleid is opgegeven voor een verbinding, verzendt of accepteert de Azure VPN-gateway alleen het IPsec-/IKE-voorstel met opgegeven cryptografische algoritmen en belangrijke sterke punten voor die specifieke verbinding. Zorg ervoor dat uw on-premises VPN-apparaat voor de verbinding de exacte beleidscombinatie gebruikt of accepteert, anders wordt de S2S VPN-tunnel niet tot stand gebracht.

    • Op beleid gebaseerde verkeersselector en time-outopties voor DPD kunnen worden opgegeven met standaardbeleid , zonder het aangepaste IPsec/IKE-beleid.

VNet-naar-VNet-verbinding maken met aangepast beleid

De stappen voor het maken van een VNet-naar-VNet-verbinding met een IPsec-/IKE-beleid zijn vergelijkbaar met die van een S2S VPN-verbinding. U moet de vorige secties in Een S2S VPN-verbinding maken voltooien om TestVNet1 en de VPN-gateway te maken en te configureren.

Schermopname van het VNet-naar-VNet-beleidsdiagram.

Stap 1: maak het virtuele netwerk, de VPN-gateway en de lokale netwerkgateway voor TestVNet2

Gebruik de stappen in het artikel Een VNet-naar-VNet-verbinding maken om TestVNet2 te maken en een VNet-naar-VNet-verbinding met TestVNet1 te maken.

Voorbeeldwaarden:

Virtueel netwerk TestVNet2

  • Resourcegroep: TestRG2
  • Naam: TestVNet2
  • Regio: (US) VS - west
  • IPv4-adresruimte: 10.2.0.0/16
  • Naam van subnet 1: Frontend
  • Subnet 1-adresbereik: 10.2.0.0/24
  • Naam van subnet 2: Backend
  • Subnet 2-adresbereik: 10.2.1.0/24

VPN-gateway: VNet2GW

  • Naam: VNet2GW
  • Regio: VS - west
  • Gatewaytype: VPN
  • VPN-type: Op route gebaseerd
  • SKU: VpnGw2
  • Generatie: Generatie 2
  • Virtueel netwerk: TestVNet2
  • Adresbereik van gatewaysubnet: 10.2.255.0/27
  • Type openbaar IP-adres: Basic of Standard
  • Openbaar IP-adres: Nieuwe maken
  • Naam van openbaar IP-adres: VNet2GWpip
  • De modus actief-actief inschakelen: Uitgeschakeld
  • BGP configureren: Uitgeschakeld

Stap 2: de VNet-naar-VNet-verbinding configureren

  1. Voeg vanuit de VNet1GW-gateway een VNet-naar-VNet-verbinding toe aan VNet2GW, VNet1toVNet2.

  2. Voeg vervolgens vanuit VNet2GW een VNet-naar-VNet-verbinding toe met VNet1GW, VNet2toVNet1.

  3. Nadat u de verbindingen hebt toegevoegd, ziet u de VNet-naar-VNet-verbindingen, zoals wordt weergegeven in de volgende schermopname van de VNet2GW-resource:

    Schermopname van VNet-naar-VNet-verbindingen.

Stap 3: een aangepast IPsec-/IKE-beleid configureren op VNet1toVNet2

  1. Ga vanuit de verbindingsresource VNet1toVNet2 naar de pagina Configuratie .

  2. Voor IPsec-/IKE-beleid selecteert u Aangepast om de aangepaste beleidsopties weer te geven. Selecteer de cryptografische algoritmen met de bijbehorende sleutellengten. Dit beleid hoeft niet overeen te komen met het vorige beleid dat u hebt gemaakt voor de VNet1toSite6-verbinding.

    Voorbeeldwaarden:

    • IKE Fase 1: AES128, SHA1, DHGroup14
    • IKE Fase 2(IPsec): GCMAES128, GCMAES128, PFS2048
    • IPsec SA-levensduur in KB: 102400000
    • IPsec SA-levensduur in seconden: 14400
    • DPD time-out: 45 seconden

  3. Selecteer Opslaan bovenaan de pagina om de beleidswijzigingen toe te passen op de verbindingsresource.

Stap 4: een aangepast IPsec-/IKE-beleid configureren op VNet2toVNet1

  1. Pas hetzelfde beleid toe op de VNet2toVNet1-verbinding, VNet2toVNet1. Als u dat niet doet, maakt de IPsec/IKE VPN-tunnel geen verbinding vanwege niet-overeenkomende beleidsregels.

    Belangrijk

    Zodra een IPsec-/IKE-beleid is opgegeven voor een verbinding, verzendt of accepteert de Azure VPN-gateway alleen het IPsec-/IKE-voorstel met opgegeven cryptografische algoritmen en belangrijke sterke punten voor die specifieke verbinding. Zorg ervoor dat het IPsec-beleid voor beide verbindingen hetzelfde is, anders wordt de VNet-naar-VNet-verbinding niet tot stand gebracht.

  2. Nadat u deze stappen hebt voltooid, wordt de verbinding binnen enkele minuten tot stand gebracht en hebt u de volgende netwerktopologie.

    Diagram met IPsec-/IKE-beleid.

Aangepast beleid verwijderen uit een verbinding

  1. Als u een aangepast beleid uit een verbinding wilt verwijderen, gaat u naar de verbindingsresource.
  2. Wijzig op de pagina Configuratie het beleid IPPse/IKE van Aangepast in Standaard. Hiermee verwijdert u alle aangepaste beleidsregels die eerder zijn opgegeven voor de verbinding en worden de standaard-IPsec-/IKE-instellingen voor deze verbinding hersteld.
  3. Selecteer Opslaan om het aangepaste beleid te verwijderen en de standaard-IPsec-/IKE-instellingen voor de verbinding te herstellen.

Veelgestelde vragen over IPsec-/IKE-beleid

Als u veelgestelde vragen wilt bekijken, gaat u naar de sectie IPsec/IKE-beleid van de veelgestelde vragen over VPN Gateway.

Volgende stappen

Zie Meerdere on-premises, op beleid gebaseerde VPN-apparaten verbinden voor meer informatie over op beleid gebaseerde verkeerskiezers.