VPN-устройства и параметры IPsec/IKE для подключений типа "сеть — сеть" через VPN-шлюз
Для настройки распределенного VPN-подключения типа "сеть — сеть" через VPN-шлюз требуется VPN-устройство. Подключения типа "сеть — сеть" можно использовать для создания гибридного решения, а также когда требуется безопасное подключение между локальной и виртуальной сетями. В этой статье перечислены проверенные VPN-устройства и параметры IPsec/IKE для VPN-шлюзов.
Внимание
Ознакомьтесь с известными проблемами совместимости устройств, если вы столкнулись с проблемами подключения между локальными VPN-устройствами и VPN-шлюзами.
На что следует обратите внимание при просмотре таблицы:
- Изменилась терминология, связанная с VPN-шлюзами Azure. Изменились только названия. Нет изменений в функциональных возможностях.
- Статическая маршрутизация — на основе политик (PolicyBased).
- Динамическая маршрутизация — на основе маршрутов (RouteBased).
- Спецификации высокопроизводительных VPN-шлюзов и VPN-шлюзов типа RouteBased одинаковы, если не указано иное. Например, проверенные VPN-устройства, совместимые с VPN-шлюзами RouteBased, также совместимы с высокопроизводительными VPN-шлюзами.
Проверенные VPN-устройства и руководства по конфигурации устройства
В сотрудничестве с поставщиками устройств мы утвердили набор стандартных VPN-устройств. Все устройства из приведенного ниже списка семейств должны работать с VPN-шлюзами. Это рекомендуемые алгоритмы для конфигурации устройства.
| Рекомендуемые алгоритмы | Кодировки | Целостность | Группа DH |
|---|---|---|---|
| IKE | AES256 | SHA256 | DH2 |
| IPsec; | AES256GCM | AES256GCM | нет |
Чтобы настроить VPN-устройство, перейдите по ссылкам, соответствующим семейству устройств. Ссылки на инструкции по настройке предоставляются на основе наилучших усилий и значения по умолчанию, перечисленные в руководстве по настройке, не должны содержать лучшие алгоритмы шифрования. За поддержкой VPN-устройства обратитесь к его изготовителю.
| поставщик | Семейство устройств | Минимальная версия ОС | Инструкции по настройке PolicyBased | Инструкции по настройке RouteBased |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | Не совместимо | Руководство по настройке |
| AhnLab | TrusGuard | TG 2.7.6 TG 3.5.x |
Не протестировано | Руководство по настройке |
| Allied Telesis | VPN-маршрутизаторы серии AR | Серии AR 5.4.7+ | Руководство по настройке | Руководство по настройке |
| Arista | CloudEOS Router | vEOS 4.24.0FX | Не протестировано | Руководство по настройке |
| Barracuda Networks, Inc. | Barracuda CloudGen Firewall | PolicyBased: 5.4.3 RouteBased: 6.2.0 |
Руководство по настройке | Руководство по настройке |
| Check Point | Security Gateway | R80.10 | Руководство по настройке | Руководство по настройке |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
Поддерживается | Руководство по настройке* |
| Cisco | ASR | PolicyBased: IOS 15.1 RouteBased: IOS 15.2 |
Поддерживается | Поддерживается |
| Cisco | CSR | RouteBased: IOS-XE 16.10 | Не протестировано | Скрипт настройки |
| Cisco | ISR | PolicyBased: IOS 15.0 RouteBased*: IOS 15.1 |
Поддерживается | Поддерживается |
| Cisco | Meraki (MX) | MX v15.12 | Не совместимо | Руководство по настройке |
| Cisco | vEdge (Viptela OS) | 18.4.0 (режим "активный — пассивный") | Не совместимо | Настройка вручную (режим "активный — пассивный") |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 и более поздних версий | Руководство по настройке | Не совместимо |
| F5 | Серия BIG-IP | 12,0 | Руководство по настройке | Руководство по настройке |
| Fortinet | FortiGate | FortiOS 5.6 | Не протестировано | Руководство по настройке |
| Fsas Technologies | Серии Si-R G | V04: V04.12 V20: V20.14 |
Руководство по настройке | Руководство по настройке |
| Hillstone Networks | Next-Gen Firewalls (NGFW) | 5.5R7 | Не протестировано | Руководство по настройке |
| HPE Aruba | Шлюз SDWAN EdgeConnect | Выпуск ECOS версии 9.2 Orchestrator OS версии 9.2 |
Руководство по настройке | Руководство по настройке |
| Internet Initiative Japan (IIJ) | Серия SEIL | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Руководство по настройке | Не совместимо |
| Juniper | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
Поддерживается | Скрипт настройки |
| Juniper | Серия J | PolicyBased: JunOS 10.4r9 RouteBased: JunOS 11.4 |
Поддерживается | Скрипт настройки |
| Juniper | ISG | ScreenOS 6.3 | Поддерживается | Скрипт настройки |
| Juniper | SSG | ScreenOS 6.2 | Поддерживается | Скрипт настройки |
| Juniper | MX | JunOS 12.x | Поддерживается | Скрипт настройки |
| Microsoft | Служба маршрутизации и удаленного доступа | Windows Server 2012 | Не совместимо | Поддерживается |
| Open Systems AG | Шлюз безопасности Mission Control | Н/П | Поддерживается | Не совместимо |
| Palo Alto Networks | Все устройства под управлением PAN-OS | PAN-OS PolicyBased: 6.1.5 или более поздней версии RouteBased: 7.1.4 |
Поддерживается | Руководство по настройке |
| Sentrium (Developer) | VyOS | VyOS 1.2.2 | Не протестировано | Руководство по настройке |
| ShareTech | UTM нового поколения (серия NU) | 9.0.1.3 | Не совместимо | Руководство по настройке |
| SonicWall | Серия TZ и NSA Серия SuperMassive Серия NSA класса E |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Не совместимо | Руководство по настройке |
| Sophos | Брандмауэр следующего поколения XG | XG версии 17 | Не протестировано | Руководство по настройке Руководство по настройке нескольких SA |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Не протестировано | Руководство по настройке |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 | Не протестировано | BGP через IKEv2 или IPsec VTI через IKEv2 или IPsec |
| Ультра | 3E-636L3 | 5.2.0.T3 Build-13 | Не протестировано | Руководство по настройке |
| WatchGuard | Все | Fireware XTM PolicyBased: 11.11.x RouteBased: 11.12.x |
Руководство по настройке | Руководство по настройке |
| Zyxel | Серия ZyWALL USG Серия ZyWALL ATP Серия ZyWALL VPN |
ZLD v4.32+ | Не протестировано | VTI через IKEv2 или IPsec BGP через IKEv2 или IPsec |
Примечание.
(*) Версии Cisco ASA 8.4+ с поддержкой IKEv2 могут подключаться к VPN-шлюзу Azure при помощи настраиваемой политики IPsec/IKE с параметром UsePolicyBasedTrafficSelectors. Дополнительные сведения см. в этой статье.
(\*\*) Маршрутизаторы ISR серии 7200 поддерживают только VPN типа PolicyBased.
Загрузка сценариев конфигурации VPN-устройства из Azure
Для некоторых устройств можно загрузить сценарии конфигурации непосредственно из Azure. Дополнительные сведения см. в статье Загрузка сценариев конфигурации VPN-устройств для VPN-подключений типа "сеть — сеть".
Неоцененные VPN-устройства
Если устройство не отображается в таблице проверенных VPN-устройств, устройство по-прежнему может работать с подключением типа "сеть — сеть". Чтобы получить поддержку и инструкции по настройке, обратитесь к изготовителю устройства.
Изменение примеров конфигурации устройств
После скачивания предоставленного примера конфигурации VPN-устройства некоторые значения необходимо заменить в соответствии с параметрами вашей среды.
Чтобы изменить образец, выполните описанные ниже действия
- Откройте пример с помощью блокнота.
- Найдите все строки <text> и замените их значениями, отражающими свойства вашей среды. Не забудьте добавить < и >. Если указывается имя, оно должно быть уникальным. Если команда не работает, обратитесь к документации изготовителя устройства.
| Пример текста | Изменить на |
|---|---|
| <RP_OnPremisesNetwork> | Выбранное имя для данного объекта. Пример: myOnPremisesNetwork. |
| <RP_AzureNetwork> | Выбранное имя для данного объекта. Пример: myAzureNetwork. |
| <RP_AccessList> | Выбранное имя для данного объекта. Пример: myAzureAccessList. |
| <RP_IPSecTransformSet> | Выбранное имя для данного объекта. Пример: myIPSecTransformSet. |
| <RP_IPSecCryptoMap> | Выбранное имя для данного объекта. Пример: myIPSecCryptoMap. |
| <SP_AzureNetworkIpRange> | Укажите диапазон. Пример: 192.168.0.0. |
| <SP_AzureNetworkSubnetMask> | Укажите маску подсети. Пример: 255.255.0.0. |
| <SP_AzureNetworkIpRange> | Укажите локальный диапазон. Пример: 10.2.1.0. |
| <SP_AzureNetworkSubnetMask> | Укажите локальную маску подсети. Пример: 255.255.255.0. |
| <SP_AzureGatewayIpAddress> | Эта информация относится к виртуальной сети и находится на портале управления в поле IP-адрес шлюза. |
| <SP_PresharedKey> | Эта информация относится к виртуальной сети и находится на портале управления в разделе «Управление ключами». |
Параметры IPsec/IKE по умолчанию
В следующих таблицах содержатся сочетания алгоритмов и параметров VPN-шлюзов Azure, используемых в конфигурации по умолчанию (политики по умолчанию). Для VPN-шлюзов на основе маршрутов, созданных с помощью модели развертывания на основе Azure Resource Management, можно указать пользовательскую политику для каждого отдельного подключения. Дополнительные сведения см. в разделе Настройка политик IPsec/IKE.
В таблицах ниже приведены следующие сведения:
- SA — сопоставление безопасности.
- Этап 1 IKE также называется "Главный режим".
- Этап 2 IKE также называется "Быстрый режим".
Параметры этапа 1 IKE (основной режим)
| Свойство | PolicyBased | RouteBased |
|---|---|---|
| Версия IKE | IKEv1 | IKEv1 и IKEv2 |
| Группа Диффи-Хелмана | Группа 2 (1024 бита) | Группа 2 (1024 бита) |
| Метод проверки подлинности | Общий ключ | Общий ключ |
| Алгоритмы шифрования и хэширования | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| Срок действия SA | 28 800 сек | 28 800 сек |
| Количество sa в быстром режиме | 100 | 100 |
Параметры этапа 2 IKE (быстрый режим)
| Свойство | PolicyBased | RouteBased |
|---|---|---|
| Версия IKE | IKEv1 | IKEv1 и IKEv2 |
| Алгоритмы шифрования и хэширования | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
Предложения по сопоставлению безопасности в быстром режиме на основе маршрутизации |
| Срок действия SA (время) | 3600 секунд | 27 000 секунд |
| Срок действия SA (байты) | 102 400 000 КБ | 102 400 000 КБ |
| Полная безопасность пересылки (PFS) | No | Предложения по сопоставлению безопасности в быстром режиме на основе маршрутизации |
| Обнаружение неиспользуемых одноранговых узлов (DPD) | Не поддерживается | Поддерживается |
Зажимы TCP MSS в Azure VPN-шлюз
Зажим MSS выполняется двунаправленно в Azure VPN-шлюз. В следующей таблице перечислены размеры пакетов в разных сценариях.
| Поток пакетов | IРv4 | IPv6 |
|---|---|---|
| Через Интернет | 1340 байт | 1360 байт |
| Через шлюз Express Route | 1250 байт | 1250 байт |
Предложения по сопоставлению безопасности IPsec для VPN на основе маршрутов (в быстром режиме)
В следующей таблице перечислены предложения по сопоставлению безопасности IPsec (в быстром режиме). Предложения перечислены в порядке предпочтения представления или принятия предложения.
Шлюз Azure в качестве инициатора
| - | Шифрование | Аутентификация | Группа PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | нет |
| 2 | AES256 | SHA1 | нет |
| 3 | 3DES | SHA1 | нет |
| 4 | AES256 | SHA256 | нет |
| 5 | AES128 | SHA1 | нет |
| 6 | 3DES | SHA256 | нет |
Шлюз Azure в качестве ответчика
| - | Шифрование | Аутентификация | Группа PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | нет |
| 2 | AES256 | SHA1 | нет |
| 3 | 3DES | SHA1 | нет |
| 4 | AES256 | SHA256 | нет |
| 5 | AES128 | SHA1 | нет |
| 6 | 3DES | SHA256 | нет |
| 7 | DES | SHA1 | нет |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | нет |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- Вы можете указать NULL-шифрование ESP IPsec для высокопроизводительных VPN-шлюзов и VPN-шлюзов типа RouteBased. NULL-шифрование не защищает данные при передаче. Его следует использовать только в случаях, когда требуется максимальная пропускная способность и минимальная задержка. Клиенты могут использовать это в сценариях обмена данными между виртуальными сетями или при применении шифрования в другом месте решения.
- Для межсайтовых подключений через Интернет используйте параметры VPN-шлюза Azure по умолчанию с алгоритмами шифрования и хэширования, перечисленными в предыдущих таблицах, чтобы обеспечить безопасность критического взаимодействия.
Известные проблемы совместимости устройств
Внимание
Известно о нескольких проблемах совместимости между VPN-устройствами сторонних производителей и VPN-шлюзами Azure. Команда разработчиков Azure активно сотрудничает с поставщиками для устранения проблем, перечисленных ниже. По мере устранения проблем данная страница будет дополняться наиболее актуальными сведениями. Рекомендуется периодически просматривать ее.
16 февраля 2017 г.
Устройства Palo Alto Networks с версией PAN-OS, предшествующей 7.1.4, для VPN на основе маршрутов Azure: если используются VPN-устройства от Palo Alto Networks с версией PAN-OS, предшествующей 7.1.4, и возникают проблемы с подключением к VPN-шлюзам Azure на основе маршрутов, выполните приведенные ниже действия.
- Проверьте версию встроенного ПО устройства Palo Alto Networks. Если версия PAN-OS предшествует версии 7.1.4, выполните обновление до версии 7.1.4.
- На устройстве Palo Alto Networks измените время существования этапа 2 сопоставления безопасности (или быстрого режима сопоставления безопасности) на 28 800 секунд (8 часов) при подключении к VPN-шлюзу Azure.
- Если проблема с подключением не исчезнет, отправьте запрос в службу поддержки на портале Azure.