Sobre dispositivos VPN e os parâmetros IPsec/IKE para conexões do Gateway de VPN site a site
Um dispositivo VPN é necessário para configurar uma conexão de VPN Site a Site (S2S) entre locais usando um gateway de VPN. As conexões Site a Site podem ser usadas para criar uma solução híbrida, ou sempre que você quiser uma conexão segura entre suas redes locais e virtuais. Este artigo fornece uma lista dispositivos de VPN validados e uma lista de parâmetros IPsec/IKE para gateways de VPN.
Importante
Consulte Problemas conhecidos de compatibilidade de dispositivos se você estiver com problemas de conectividade entre os dispositivos VPN locais e os gateways de VPN.
Itens a ser observados ao exibir as tabelas:
- Houve uma mudança de terminologia para os gateways de VPN do Azure. Somente os nomes mudaram. Não há alteração de funcionalidade.
- Roteamento estático = PolicyBased
- Roteamento dinâmico = RouteBased
- As especificações de gateway de VPN de Alto Desempenho e de gateway de VPN RouteBased são as mesmas, salvo indicação em contrário. Por exemplo, os dispositivos VPN validados compatíveis com os gateways de VPN RouteBased também são compatíveis com o gateway de VPN de Alto Desempenho.
Dispositivos VPN validados e guias de configuração do dispositivo
Validamos um conjunto de dispositivos VPN padrão em parceria com fornecedores de dispositivos. Todos os dispositivos nas famílias de dispositivos na lista abaixo devem funcionar com os gateways de VPN. Esses são os algoritmos recomendados para sua configuração do dispositivo.
| Algoritmos Recomendados | Criptografias | Integridade | Grupo DH |
|---|---|---|---|
| IKE | AES256 | SHA256 | DH2 |
| IPsec | AES256GCM | AES256GCM | Nenhum |
Para ajudar a configurar seu dispositivo VPN, consulte os links que correspondem à família de dispositivos apropriada. Os links para instruções de configuração são fornecidos com base no melhor esforço e os padrões listados na guia de configuração não precisam conter os melhores algoritmos criptográficos. Para obter suporte ao dispositivo VPN, entre em contato com o fabricante do dispositivo.
| Fornecedor | Família de dispositivos | Versão mínima do SO | Instruções de configuração PolicyBased | Instruções de configuração RouteBased |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | Não compatível | Guia de configuração |
| AhnLab | TrusGuard | TG 2.7.6 TG 3.5.x |
Não testado | Guia de configuração |
| Allied Telesis | Série AR de roteadores VPN | Série AR 5.4.7 e superior | Guia de configuração | Guia de configuração |
| Arista | Roteador CloudEOS | vEOS 4.24.0FX | Não testado | Guia de configuração |
| Barracuda Networks, Inc. | Firewall do Barracuda CloudGen | PolicyBased: 5.4.3 RouteBased: 6.2.0 |
Guia de configuração | Guia de configuração |
| Ponto de Verificação | Gateway de segurança | R80.10 | Guia de configuração | Guia de configuração |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
Com suporte | Guia de configuração* |
| Cisco | ASR | PolicyBased: IOS 15.1 RouteBased: IOS 15.2 |
Com suporte | Com suporte |
| Cisco | CSR | RouteBased: IOS-XE 16.10 | Não testado | Script de configuração |
| Cisco | ISR | PolicyBased: IOS 15.0 RouteBased*: IOS 15.1 |
Com suporte | Com suporte |
| Cisco | Meraki (MX) | MX v15.12 | Não compatível | Guia de configuração |
| Cisco | vEdge (Viptela OS) | 18.4.0 (Modo Ativo/Passivo) | Não compatível | Configuração manual (Ativa/Passiva) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 e posterior | Guia de configuração | Não compatível |
| F5 | Série BIG-IP | 12.0 | Guia de configuração | Guia de configuração |
| Fortinet | FortiGate | FortiOS 5.6 | Não testado | Guia de configuração |
| Fujitsu | Série Si-R G | V04: V04.12 V20: V20.14 |
Guia de configuração | Guia de configuração |
| Hillstone Networks | Firewalls da Next-Gen (NGFW) | 5.5R7 | Não testado | Guia de configuração |
| HPE Aruba | Gateway SDWAN EdgeConnect | Versão do ECOS v9.2 Sistema operacional do Orchestrator v9.2 |
Guia de configuração | Guia de configuração |
| Internet Initiative Japan (IIJ) | Série SEIL | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Guia de configuração | Não compatível |
| Juniper | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
Com suporte | Script de configuração |
| Juniper | Série J | PolicyBased: JunOS 10.4r9 RouteBased: JunOS 11.4 |
Com suporte | Script de configuração |
| Juniper | ISG | ScreenOS 6.3 | Com suporte | Script de configuração |
| Juniper | SSG | ScreenOS 6.2 | Com suporte | Script de configuração |
| Juniper | MX | JunOS 12.x | Com suporte | Script de configuração |
| Microsoft | Serviço de Roteamento e Acesso Remoto | Windows Server 2012 | Não compatível | Com suporte |
| AG de sistemas abertos | Gateway de Segurança de Controle de Missão | N/D | Com suporte | Não compatível |
| Redes Palo Alto | Todos os dispositivos executando PAN-OS | PAN-OS PolicyBased: 6.1.5 ou posterior RouteBased: 7.1.4 |
Com suporte | Guia de configuração |
| Sentrium (Desenvolvedor) | VyOS | VyOS 1.2.2 | Não testado | Guia de configuração |
| ShareTech | Próxima geração de UTM (série NU) | 9.0.1.3 | Não compatível | Guia de configuração |
| SonicWall | Série TZ, série NSA Série SuperMassive Série NSA E-Class |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Não compatível | Guia de configuração |
| Sophos | Firewall XG de última geração | XG v17 | Não testado | Guia de configuração Guia de configuração – Várias SAs |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Não testado | Guia de configuração |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 | Não testado | BGP em IKEv2/IPsec VTI em IKEv2/IPsec |
| Ultra | 3E-636L3 | 5.2.0.T3 Build-13 | Não testado | Guia de configuração |
| WatchGuard | Tudo | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
Guia de configuração | Guia de configuração |
| Zyxel | Série ZyWALL USG Série ZyWALL ATP Série de VPN ZyWALL |
ZLD v4.32+ | Não testado | VTI em IKEv2/IPsec BGP em IKEv2/IPsec |
Observação
(*) Adição de suporte a IKEv2 para do Cisco ASA versões 8.4+; pode se conectar ao gateway de VPN do Azure usando a política de IPsec/IKE personalizada com a opção "UsePolicyBasedTrafficSelectors". Consulte este artigo de instruções.
(\*\*) Os roteadores da Série ISR 7200 só oferecem suporte a VPNs PolicyBased.
Fazer o download de scripts de configuração do dispositivo VPN do Azure
Para determinados dispositivos, você pode fazer o download de scripts de configuração diretamente do Azure. Para saber mais e fazer download de instruções, confira Fazer o download dos scripts de configuração de dispositivo de VPN.
Dispositivos de VPN não validados
Se você não vir seu dispositivo listado na tabela de dispositivos VPN Validados, ele ainda pode funcionar com uma conexão Site a Site. Entre em contato com o fabricante do dispositivo para obter instruções de configuração e suporte.
Edição de exemplos de configuração de dispositivo
Depois de baixar o exemplo de configuração de dispositivo VPN fornecido, você precisará substituir alguns dos valores para refletir as configurações do seu ambiente.
Para editar um exemplo:
- Abra o exemplo usando o Bloco de Notas.
- Pesquise e substitua todas as cadeias de caracteres de <texto> por valores condizentes com seu ambiente. Verifique se incluiu < e >. Quando um nome é especificado, o nome que você selecionar deve ser exclusivo. Se um comando não funcionar, consulte a documentação do fabricante do dispositivo.
| Texto de exemplo | Alterar para |
|---|---|
| <RP_OnPremisesNetwork> | O nome que você escolheu para este objeto. Exemplo: myOnPremisesNetwork |
| <RP_AzureNetwork> | O nome que você escolheu para este objeto. Exemplo: myAzureNetwork |
| <RP_AccessList> | O nome que você escolheu para este objeto. Exemplo: myAzureAccessList |
| <RP_IPSecTransformSet> | O nome que você escolheu para este objeto. Exemplo: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | O nome que você escolheu para este objeto. Exemplo: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | Especifique o intervalo. Exemplo: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Especificar máscara de sub-rede. Exemplo: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Especifique o intervalo local. Exemplo: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | Especifique a máscara de sub-rede local. Exemplo: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Informações específicas à sua rede virtual e que estão localizadas no Portal de Gerenciamento como Endereço IP do Gateway. |
| <SP_PresharedKey> | Essas informações são específicas da sua rede virtual e estão localizadas no Portal de Gerenciamento como Gerenciar Chave. |
Parâmetros IKE/IPsec padrão
As tabelas abaixo contêm as combinações de algoritmos e parâmetros que os gateways de VPN do Azure usam na configuração padrão (Políticas padrão). Para gateways de VPN baseados em rota criados usando o modelo de implantação do Azure Resource Manager, você pode especificar uma política personalizada em cada conexão individual. Confira Configurar política de IPsec/IKE para obter instruções detalhadas.
Adicionalmente, você deve fixar TCP MSS em 1350. Ou, se os dispositivos VPN não suportarem a fixação de MSS, como alternativa, você poderá definir o MTU na interface de túnel como 1400 bytes em vez disso.
Nas tabelas a seguir:
- SA = Associação de segurança
- Fase 1 de IKE também é chamada de "Modo Principal"
- Fase 2 de IKE também é chamada de "Modo Rápido"
Parâmetros da Fase 1 de IKE (Modo Principal)
| Propriedade | PolicyBased | RouteBased |
|---|---|---|
| Versão IKE | IKEv1 | IKEv1 e IKEv2 |
| Grupo Diffie-Hellman | Grupo 2 (1024 bits) | Grupo 2 (1024 bits) |
| Método de autenticação | Chave Pré-Compartilhada | Chave Pré-Compartilhada |
| Criptografia e algoritmos de hash | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| Tempo de vida da SA | 28.800 segundos | 28.800 segundos |
| Número de SA do Modo Rápido | 100 | 100 |
Parâmetros da Fase 2 de IKE (Modo Rápido)
| Propriedade | PolicyBased | RouteBased |
|---|---|---|
| Versão IKE | IKEv1 | IKEv1 e IKEv2 |
| Criptografia e algoritmos de hash | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
Ofertas QM SA RouteBased |
| Tempo de vida da SA (Tempo) | 3.600 segundos | 27.000 segundos |
| Tempo de vida da SA (Bytes) | 102.400.000 KB | 102.400.000 KB |
| PFS (Perfect Forward Secrecy) | Não | Ofertas QM SA RouteBased |
| Detecção de par inativo (DPD) | Sem suporte | Com suporte |
Ofertas de associação de segurança de VPN RouteBased (SA IKE Modo Rápido)
A tabela a seguir lista as ofertas de SA do IPsec (IKE Modo Rápido). Ofertas estão listadas na ordem de preferência que a oferta é apresentada ou aceita.
Gateway do Azure como iniciador
| - | Criptografia | Autenticação | Grupo PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Nenhum |
| 2 | AES256 | SHA1 | Nenhum |
| 3 | 3DES | SHA1 | Nenhum |
| 4 | AES256 | SHA256 | Nenhum |
| 5 | AES128 | SHA1 | Nenhum |
| 6 | 3DES | SHA256 | Nenhum |
Gateway do Azure como respondente
| - | Criptografia | Autenticação | Grupo PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Nenhum |
| 2 | AES256 | SHA1 | Nenhum |
| 3 | 3DES | SHA1 | Nenhum |
| 4 | AES256 | SHA256 | Nenhum |
| 5 | AES128 | SHA1 | Nenhum |
| 6 | 3DES | SHA256 | Nenhum |
| 7 | DES | SHA1 | Nenhum |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | Nenhum |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- Você pode especificar a criptografia NULL de IPsec ESP com gateways de VPN RouteBased e de Alto Desempenho. A criptografia com base em nulo não oferece proteção para dados em trânsito e deve ser usada apenas quando for exigido o máximo de taxa de transferência com o mínimo de latência mínima. Os clientes podem optar por usar isso nos cenários de comunicação entre VNets ou quando a criptografia estiver sendo aplicada em outro lugar na solução.
- Para a conectividade entre locais através da Internet, use as configurações padrão de gateway de VPN do Azure com criptografia e algoritmos de hash listados nas tabelas acima para garantir a segurança de comunicações críticas.
Problemas conhecidos de compatibilidade de dispositivos
Importante
Estes são os problemas conhecidos de compatibilidade entre dispositivos VPN de terceiros e gateways de VPN do Azure. A equipe do Azure está trabalhando ativamente com os fornecedores para resolver os problemas listados aqui. Depois que os problemas forem resolvidos, esta página será atualizada com as informações mais recentes. Verifique periodicamente.
16 de fevereiro de 2017
Dispositivos Palo Alto Networks com versão anterior à 7.1.4 para VPN do Azure baseada em rota: se você estiver usando dispositivos VPN da Palo Alto Networks com versão do PAN-OS anterior à 7.1.4 e estiver com problemas de conectividade com os gateways de VPN do Azure baseados em rota, execute as seguintes etapas:
- Verifique a versão do firmware do dispositivo Palo Alto Networks. Se a versão do PAN-OS for anterior à 7.1.4, atualize para a 7.1.4.
- No dispositivo Palo Alto Networks, altere o tempo de vida da SA da Fase 2 (ou SA de Modo Rápido) para 28.800 segundos (8 horas) ao conectar-se com o gateway de VPN do Azure.
- Se você ainda estiver com problemas de conectividade, abra uma solicitação de suporte no portal do Azure.