About VPN devices and IPsec/IKE parameters for Site-to-Site VPN Gateway connections(Acerca dos dispositivos VPN e dos parâmetros IPsec/IKE para ligações do Gateway da Rede de VPNs)
Precisa de um dispositivo VPN para configurar uma ligação de rede de VPNs (S2S) entre locais através de um gateway de VPN. As ligações Site a Site podem ser utilizadas para criar uma solução híbrida ou sempre que pretender ligações seguras entre redes no local e redes virtuais. Este artigo fornece uma lista de dispositivos VPN validados e uma lista de parâmetros de IPsec/IKE para gateways de VPN.
Importante
Se ocorrerem problemas de conectividade entre os dispositivos VPN no local e gateways de VPN, veja Problemas de compatibilidade de dispositivos conhecidos.
Itens a ter em atenção quando visualizar as tabelas:
- A terminologia para os gateways de VPN do Azure foi alterada. Apenas os nomes foram alterados. Não há alteração de funcionalidade.
- Encaminhamento Estático = PolicyBased
- Encaminhamento Dinâmico = RouteBased
- As especificações para o gateway de VPN HighPerformance e para o gateway de VPN RouteBased são as mesmas, salvo indicação em contrário. Por exemplo, os dispositivos VPN validados compatíveis com os gateways de VPN RouteBased também são compatíveis com o gateway de VPN HighPerformance.
Dispositivos VPN validados e guias de configuração de dispositivo
Em parceria com os fornecedores dos dispositivos, validámos uma série de dispositivos VPN padrão. Todos os dispositivos nas famílias de dispositivos na lista seguinte deverão funcionar com gateways de VPN. Estes são os algoritmos recomendados para a configuração do seu dispositivo.
| Algoritmos recomendados | Encriptações | Integridade | Grupo DH |
|---|---|---|---|
| IKE | AES256 | SHA256 | DH2 |
| IPsec | AES256GCM | AES256GCM | Nenhuma |
Para ajudar a configurar seu dispositivo VPN, consulte os links que correspondem à família de dispositivos apropriada. Os links para instruções de configuração são fornecidos com base no melhor esforço e os padrões listados no guia de configuração não precisam conter os melhores algoritmos criptográficos. Para obter suporte para dispositivos VPN, contacte o fabricante do dispositivo.
| Fornecedor | Família de dispositivos | Versão mínima do SO | Instruções de configuração PolicyBased | Instruções de configuração RouteBased |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | Não compatível | Guia de configuração |
| AhnLab | TrusGuard | TG 2.7.6 TG 3,5.x |
Não testado | Guia de configuração |
| Allied Telesis | Routers VPN Série AR | Série AR 5.4.7+ | Guia de configuração | Guia de configuração |
| Arista | Roteador CloudEOS | vEOS 4.24.0FX | Não testado | Guia de configuração |
| Barracuda Networks, Inc. | Barracuda CloudGen Firewall | PolicyBased: 5.4.3 RouteBased: 6.2.0 |
Guia de configuração | Guia de configuração |
| Check Point | Gateway de Segurança | R80,10 | Guia de configuração | Guia de configuração |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
Suportado | Guia de configuração* |
| Cisco | ASR | PolicyBased: IOS 15.1 RouteBased: IOS 15.2 |
Suportado | Suportado |
| Cisco | RSE | Baseado em rotas: IOS-XE 16.10 | Não testado | Script de configuração |
| Cisco | ISR | PolicyBased: IOS 15.0 RouteBased*: IOS 15.1 |
Suportado | Suportado |
| Cisco | Meraki (MX) | MX v15,12 | Não compatível | Guia de configuração |
| Cisco | vEdge (Viptela OS) | 18.4.0 (Modo Ativo/Passivo) | Não compatível | Configuração manual (Ativo/Passivo) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 e seguintes | Guia de configuração | Não compatível |
| F5 | Série BIG-IP | 12.0 | Guia de configuração | Guia de configuração |
| Fortinet | FortiGate | FortiOS 5.6 | Não testado | Guia de configuração |
| Tecnologias FSAS | Série Si-R G | V04: V04.12 V20: V20.14 |
Guia de configuração | Guia de configuração |
| Redes Hillstone | Firewalls de última geração (NGFW) | 5,5R7 | Não testado | Guia de configuração |
| HPE Aruba | EdgeConnect SDWAN Gateway | ECOS Versão v9.2 Orchestrator OS v9.2 |
Guia de configuração | Guia de configuração |
| Internet Initiative Japan (IIJ) | Série SEIL | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Guia de configuração | Não compatível |
| Juniper | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
Suportado | Script de configuração |
| Juniper | Série J | PolicyBased: JunOS 10.4r9 RouteBased: JunOS 11.4 |
Suportado | Script de configuração |
| Juniper | ISG | ScreenOS 6.3 | Suportado | Script de configuração |
| Juniper | SSG | ScreenOS 6.2 | Suportado | Script de configuração |
| Juniper | MX | JunOS 12.x | Suportado | Script de configuração |
| Microsoft | Serviço de Encaminhamento e Acesso Remoto | Windows Server 2012 | Não compatível | Suportado |
| Open Systems AG | Gateway de Segurança do Controlo da Missão | N/A | Suportado | Não compatível |
| Palo Alto Networks | Todos os dispositivos com o PAN-OS | PAN-OS PolicyBased: 6.1.5 ou posterior RouteBased: 7.1.4 |
Suportado | Guia de configuração |
| Sentrium (Desenvolvedor) | VyOS | VyOS 1.2.2 | Não testado | Guia de configuração |
| ShareTech | UTM de Próxima Geração (série NU) | 9.0.1.3 | Não compatível | Guia de configuração |
| SonicWall | Série TZ, Série NSA Série SuperMassive Série NSA Classe E |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Não compatível | Guia de configuração |
| Sophos | Firewall de Próxima Geração XG | XG v17 | Não testado | Guia de configuração Guia de configuração - Várias SAs |
| Sinologia | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Não testado | Guia de configuração |
| Ubiquiti | Roteador EdgeRouter | EdgeOS v1.10 | Não testado | BGP sobre IKEv2/IPsec VTI sobre IKEv2/IPsec |
| Ultra | 3E-636L3 | 5.2.0.T3 Construção-13 | Não testado | Guia de configuração |
| WatchGuard | Todos | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
Guia de configuração | Guia de configuração |
| Zyxel | Série ZyWALL USG Série ZyWALL ATP Série VPN ZyWALL |
ZLD v4.32+ | Não testado | VTI sobre IKEv2/IPsec BGP sobre IKEv2/IPsec |
Nota
(*) As versões 8.4+ do Cisco ASA adicionam suporte para IKEv2 e permitem ligar ao gateway de VPN do Azure através da política IPsec/IKE personalizada com a opção "UsePolicyBasedTrafficSelectors". Veja este artigo de procedimentos.
(**) Os routers da Série ISR 7200 só suportam VPNs PolicyBased.
Baixar scripts de configuração de dispositivo VPN do Azure
Para determinados dispositivos, você pode baixar scripts de configuração diretamente do Azure. Para obter mais informações e instruções de download, consulte Baixar scripts de configuração de dispositivo VPN.
Dispositivos VPN não validados
Se você não vir seu dispositivo listado na tabela Dispositivos VPN validados, seu dispositivo ainda poderá funcionar com uma conexão Site a Site. Entre em contato com o fabricante do dispositivo para obter instruções de suporte e configuração.
Editar os exemplos de configuração do dispositivo
Depois de transferir o exemplo de configuração do dispositivo VPN fornecido, terá de substituir alguns dos valores para que reflitam as definições do seu ambiente.
Para editar um exemplo:
- Abra o exemplo com o Bloco de Notas.
- Pesquise e substitua todas as <cadeias de texto> pelos valores que pertencem ao seu ambiente. Certifique-se de incluir < e >. O nome especificado deve ser exclusivo. Se um comando não funcionar, consulte a documentação do fabricante do dispositivo.
| Texto de exemplo | Alterar para |
|---|---|
| <RP_OnPremisesNetwork> | O nome que escolheu para este objeto. Exemplo: myOnPremisesNetwork |
| <RP_AzureNetwork> | O nome que escolheu para este objeto. Exemplo: myAzureNetwork |
| <RP_AccessList> | O nome que escolheu para este objeto. Exemplo: myAzureAccessList |
| <RP_IPSecTransformSet> | O nome que escolheu para este objeto. Exemplo: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | O nome que escolheu para este objeto. Exemplo: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | Especifique o intervalo. Exemplo: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Especifique a máscara de sub-rede. Exemplo: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Especifique o intervalo no local. Exemplo: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | Especifique a máscara de sub-rede no local. Exemplo: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Esta informação é específica da sua rede virtual e encontra-se no Portal de Gestão como Endereço IP do Gateway. |
| <SP_PresharedKey> | Esta informação é específicas da sua rede virtual e encontra-se no Portal de Gestão como Gerir Chave. |
Parâmetros IPsec/IKE padrão
As tabelas a seguir contêm as combinações de algoritmos e parâmetros que os gateways de VPN do Azure usam na configuração padrão (políticas padrão). Para gateways de VPN baseados em rota criados com o modelo de implementação da Gestão de Recursos do Azure, pode especificar uma política personalizada em cada ligação individual. Consulte Configurar política IPsec/IKE para obter instruções detalhadas.
Nas seguintes tabelas:
- SA = Associação de Segurança
- IKE Fase 1 também é denominado "Modo Principal"
- IKE Fase 2 também é denominado "Modo Rápido"
Parâmetros de IKE Fase 1 (Modo Principal)
| Propriedade | PolicyBased | RouteBased |
|---|---|---|
| Versão do IKE | IKEv1 | IKEv1 e IKEv2 |
| Grupo Diffie-Hellman | Grupo 2 (1024 bits) | Grupo 2 (1024 bits) |
| Método de autenticação | Chave Pré-partilhada | Chave Pré-partilhada |
| Algoritmos de Encriptação e Hash | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| Duração de SA | 28 800 segundos | 28 800 segundos |
| Número de SA do Modo Rápido | 100 | 100 |
Parâmetros de IKE Fase 2 (Modo Rápido)
| Propriedade | PolicyBased | RouteBased |
|---|---|---|
| Versão do IKE | IKEv1 | IKEv1 e IKEv2 |
| Algoritmos de Encriptação e Hash | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
Ofertas de RouteBased QM SA |
| Duração de SA (Tempo) | 3600 segundos | 27,000 segundos |
| Duração de SA (Bytes) | 102 400 000 KB | 102 400 000 KB |
| Perfect Forward Secrecy (PFS) | Não | Ofertas de RouteBased QM SA |
| Deteção de Elemento Inutilizado (DPD) | Não suportado | Suportado |
Azure VPN Gateway TCP MSS Clamping
A fixação MSS é feita bidirecionalmente no Gateway de VPN do Azure. A tabela a seguir lista o tamanho do pacote em diferentes cenários.
| Fluxo de pacotes | IPv4 | IPv6 |
|---|---|---|
| Pela Internet | 1340 bytes | 1360 bytes |
| Sobre o gateway de rota expressa | 1250 bytes | 1250 bytes |
Ofertas de RouteBased VPN IPsec Security Association (SA do Modo Rápido de IKE)
A tabela seguinte apresenta as Ofertas de SA IPsec (Modo Rápido de IKE). As ofertas estão listadas pela ordem de preferência com que a oferta é apresentada ou aceite.
Gateway do Azure como iniciador
| - | Encriptação | Autenticação | Grupo PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Nenhuma |
| 2 | AES256 | SHA1 | Nenhuma |
| 3 | 3DES | SHA1 | Nenhuma |
| 4 | AES256 | SHA256 | Nenhuma |
| 5 | AES128 | SHA1 | Nenhuma |
| 6 | 3DES | SHA256 | Nenhuma |
Gateway do Azure como dispositivo de resposta
| - | Encriptação | Autenticação | Grupo PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Nenhuma |
| 2 | AES256 | SHA1 | Nenhuma |
| 3 | 3DES | SHA1 | Nenhuma |
| 4 | AES256 | SHA256 | Nenhuma |
| 5 | AES128 | SHA1 | Nenhuma |
| 6 | 3DES | SHA256 | Nenhuma |
| 7 | DES | SHA1 | Nenhuma |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | Nenhuma |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- Pode especificar a encriptação IPsec ESP NULL com gateways de VPN RouteBased e HighPerformance. A criptografia baseada em nulo não fornece proteção aos dados em trânsito e só deve ser usada quando a taxa de transferência máxima e a latência mínima são necessárias. Os clientes podem optar por usar isso em cenários de comunicação VNet-to-VNet ou quando a criptografia estiver sendo aplicada em outro lugar da solução.
- Para conectividade entre locais através da Internet, use as configurações padrão do gateway de VPN do Azure com algoritmos de criptografia e hash listados nas tabelas anteriores para garantir a segurança de sua comunicação crítica.
Problemas de compatibilidade de dispositivos conhecidos
Importante
Estes são os problemas de compatibilidade conhecidos entre dispositivos VPN de terceiros e gateways de VPN do Azure. A equipa do Azure está a trabalhar ativamente com os fornecedores para resolver os problemas aqui listados. Assim que os problemas são resolvidos, esta página será atualizada com as informações mais atualizadas. Volte a verificar periodicamente.
16 de fevereiro de 2017
Dispositivos Palo Alto Networks com versão anterior à 7.1.4 para VPN baseada em rota do Azure: se você estiver usando dispositivos VPN da Palo Alto Networks com a versão PAN-OS anterior à 7.1.4 e estiver enfrentando problemas de conectividade com gateways VPN baseados em rota do Azure, execute as seguintes etapas:
- Verifique a versão de firmware do seu dispositivo da Palo Alto Networks. Se a sua versão do SO PAN for anterior à 7.1.4, atualize para 7.1.4.
- No dispositivo da Palo Alto Networks, altere a duração da Fase 2 SA (ou SA de Modo Rápido) para 28,800 segundos (8 horas) quando ligar ao gateway de VPN do Azure.
- Se você ainda estiver enfrentando problemas de conectividade, abra uma solicitação de suporte no portal do Azure.