Siteler Arası VPN Ağ Geçidi bağlantıları için VPN cihazları ve IPsec/IKE parametreleri hakkında
Bir VPN ağ geçidi kullanılarak Siteden Siteye (S2S) şirketler arası VPN bağlantısı yapılandırmak için bir VPN cihazı gereklidir. Siteden siteye bağlantılar karma çözüm oluşturmak amacıyla ya da şirket içi ağlarınız ile sanal ağlarınız arasında güvenli bağlantılar istediğinizde kullanılabilir. Bu makalede, doğrulanmış VPN cihazlarının listesi ve VPN ağ geçitleri için IPsec/IKE parametrelerinin listesi verilmektedir.
Önemli
Şirket içi VPN cihazlarınızla VPN ağ geçitleri arasında bağlantı sorunları yaşıyorsanız lütfen Bilinen cihaz uyumluluk sorunları konusuna başvurun.
Tabloları görüntülerken dikkate alınacaklar:
- Azure VPN ağ geçitleri terimlerinde bir değişiklik meydana gelmiştir. Yalnızca adlar değişmiştir. İşlevsel değişiklik yoktur.
- Statik Yönlendirme = PolicyBased
- Dinamik Yönlendirme = RouteBased
- Yüksek Performanslı VPN ağ geçidi ve RouteBased VPN ağ geçidi özellikleri, aksi belirtilmedikçe aynıdır. Örneğin, RouteBased VPN ağ geçitleri ile uyumlu doğrulanmış VPN cihazları, Yüksek Performanslı VPN ağ geçidi ile de uyumludur.
Doğrulanmış VPN cihazları ve cihaz yapılandırma kılavuzları
Cihaz satıcılarıyla işbirliği yaparak bir grup standart VPN cihazını doğruladık. Aşağıdaki listede bulunan cihaz ailelerinde yer alan tüm cihazlar, VPN ağ geçitleriyle birlikte kullanılabilir. Bunlar, cihaz yapılandırmanız için önerilen algoritmalardır.
| Önerilen Algoritmalar | Şifreleme | Bütünlük | DH Grubu |
|---|---|---|---|
| IKE | AES256 | SHA256 | DH2 |
| IPSec | AES256GCM | AES256GCM | Hiçbiri |
VPN cihazınızı yapılandırmaya yardımcı olmak için uygun cihaz ailesine karşılık gelen bağlantılara bakın. Yapılandırma yönergelerine yönelik bağlantılar en iyi çaba temelinde sağlanır ve yapılandırma kılavuzunda listelenen varsayılanlar en iyi şifreleme algoritmalarını içermemelidir. VPN cihazı desteği için lütfen cihaz üreticinize başvurun.
| Satıcı | Cihaz ailesi | En düşük işletim sistemi sürümü | PolicyBased yapılandırma yönergeleri | RouteBased yapılandırma yönergeleri |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | Uyumlu değil | Yapılandırma kılavuzu |
| Ahnlab | TrusGuard | TG 2.7.6 TG 3.5.x |
Test edilmedi | Yapılandırma kılavuzu |
| Allied Telesis | AR Serisi VPN Yönlendiricileri | AR Serisi 5.4.7+ | Yapılandırma kılavuzu | Yapılandırma kılavuzu |
| Öz | CloudEOS Yönlendiricisi | vEOS 4.24.0FX | Test edilmedi | Yapılandırma kılavuzu |
| Barracuda Networks, Inc. | Barracuda CloudGen Firewall | PolicyBased: 5.4.3 RouteBased: 6.2.0 |
Yapılandırma kılavuzu | Yapılandırma kılavuzu |
| Denetim Noktası | Güvenlik Ağ Geçidi | R80.10 | Yapılandırma kılavuzu | Yapılandırma kılavuzu |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
Desteklenir | Yapılandırma kılavuzu* |
| Cisco | ASR | PolicyBased: IOS 15.1 RouteBased: IOS 15.2 |
Desteklenir | Desteklenir |
| Cisco | KSS | RouteBased: IOS-XE 16.10 | Test edilmedi | Yapılandırma betiği |
| Cisco | ISR | PolicyBased: IOS 15.0 RouteBased*: IOS 15.1 |
Desteklenir | Desteklenir |
| Cisco | Meraki (MX) | MX v15.12 | Uyumlu değil | Yapılandırma kılavuzu |
| Cisco | vEdge (Viptela işletim sistemi) | 18.4.0 (Etkin/Pasif Mod) | Uyumlu değil | El ile yapılandırma (Etkin/Pasif) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 ve üzeri | Yapılandırma kılavuzu | Uyumlu değil |
| F5 | BIG-IP serisi | 12.0 | Yapılandırma kılavuzu | Yapılandırma kılavuzu |
| Fortinet | FortiGate | FortiOS 5.6 | Test edilmedi | Yapılandırma kılavuzu |
| Fujitsu | Si-R G serisi | V04: V04.12 V20: V20.14 |
Yapılandırma kılavuzu | Yapılandırma kılavuzu |
| Hillstone Networks | Yeni Nesil Güvenlik Duvarları (NGFW) | 5.5R7 | Test edilmedi | Yapılandırma kılavuzu |
| HPE Aruba | Edge Bağlan SDWAN Ağ Geçidi | ECOS Sürüm v9.2 Orchestrator OS v9.2 |
Yapılandırma kılavuzu | Yapılandırma kılavuzu |
| Internet Initiative Japan (IIJ) | SEIL Serisi | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Yapılandırma kılavuzu | Uyumlu değil |
| Juniper | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
Desteklenir | Yapılandırma betiği |
| Juniper | J-Serisi | PolicyBased: JunOS 10.4r9 RouteBased: JunOS 11.4 |
Desteklenir | Yapılandırma betiği |
| Juniper | ISG | ScreenOS 6.3 | Desteklenir | Yapılandırma betiği |
| Juniper | SSG | ScreenOS 6.2 | Desteklenir | Yapılandırma betiği |
| Juniper | MX | JunOS 12.x | Desteklenir | Yapılandırma betiği |
| Microsoft | Yönlendirme ve Uzaktan Erişim Hizmeti | Windows Server 2012 | Uyumlu değil | Desteklenir |
| Open Systems AG | Mission Control Security Ağ Geçidi | Yok | Desteklenir | Uyumlu değil |
| Palo Alto Networks | PAN-OS çalıştıran tüm cihazlar | PAN-OS PolicyBased: 6.1.5 veya üzeri RouteBased: 7.1.4 |
Desteklenir | Yapılandırma kılavuzu |
| Sentrium (Geliştirici) | VyOS | VyOS 1.2.2 | Test edilmedi | Yapılandırma kılavuzu |
| ShareTech | Yeni Nesil UTM (NU serisi) | 9.0.1.3 | Uyumlu değil | Yapılandırma kılavuzu |
| SonicWall | TZ Series, NSA Series SuperMassive Series E-Class NSA Series |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Uyumlu değil | Yapılandırma kılavuzu |
| Sophos | XG Yeni Nesil Güvenlik Duvarı | XG v17 | Test edilmedi | Yapılandırma kılavuzu Yapılandırma kılavuzu - Birden çok SA |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Test edilmedi | Yapılandırma kılavuzu |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 | Test edilmedi | IKEv2/IPsec üzerinden BGP IKEv2/IPsec üzerinden VTI |
| Ultra | 3E-636L3 | 5.2.0.T3 Derleme-13 | Test edilmedi | Yapılandırma kılavuzu |
| WatchGuard | Tümünü | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
Yapılandırma kılavuzu | Yapılandırma kılavuzu |
| Zyxel | ZyWALL USG serisi ZyWALL ATP serisi ZyWALL VPN serisi |
ZLD v4.32+ | Test edilmedi | IKEv2/IPsec üzerinden VTI IKEv2/IPsec üzerinden BGP |
Dekont
(*) Cisco ASA 8.4 ve üzeri sürümleri IKEv2 desteği ekler, "UsePolicyBasedTrafficSelectors" seçeneğiyle özel IPsec/IKE ilkesini kullanarak Azure VPN ağ geçidine bağlanabilir. Bu nasıl yapılır makalesine başvurun.
(**) ISR 7200 Serisi yönlendiriciler yalnızca PolicyBased VPN’leri destekler.
Azure'dan VPN cihazı yapılandırma betiklerini indirme
Bazı cihazlar için yapılandırma betiklerini doğrudan Azure'dan indirebilirsiniz. Daha fazla bilgi ve indirme yönergeleri için bkz . VPN cihazı yapılandırma betiklerini indirme.
Validated VPN cihazları
Cihazınızı Doğrulanmış VPN cihazları tablosunda görmüyorsanız, cihazınız siteden siteye bağlantıyla çalışmaya devam edebilir. Destek ve yapılandırma yönergeleri için cihaz üreticinize başvurun.
Cihaz yapılandırma örneklerini düzenleme
Sağlanan VPN cihazı yapılandırma örneğini indirdikten sonra, ortamınıza ilişkin ayarları yansıtacak şekilde bazı değerleri değiştirmeniz gerekir.
Bir örneği düzenlemek için:
- Not Defteri'ni kullanarak örneği açın.
- Tüm <metin> dizelerini arayın ve ortamınızla ilgili değerlerle değiştirin. ve >eklemeyi < unutmayın. Bir ad belirtildiğinde, seçtiğiniz adın benzersiz olması gerekir. Bir komut işe yaramazsa cihaz üreticinizin belgelerine bakın.
| Örnek metin | Şununla değiştirin: |
|---|---|
| <RP_OnPremisesNetwork> | Bu nesne için seçtiğiniz ad. Örnek: myOnPremisesNetwork |
| <RP_AzureNetwork> | Bu nesne için seçtiğiniz ad. Örnek: myAzureNetwork |
| <RP_AccessList> | Bu nesne için seçtiğiniz ad. Örnek: myAzureAccessList |
| <RP_IPSecTransformSet> | Bu nesne için seçtiğiniz ad. Örnek: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | Bu nesne için seçtiğiniz ad. Örnek: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | Aralığı belirtin. Örnek: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Alt ağ maskesi belirtin. Örnek: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Şirket içi aralığı belirtin. Örnek: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | Şirket içi alt ağ maskesini belirtin. Örnek: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Bu bilgiler sanal ağınıza özeldir ve Ağ geçidi IP adresi olarak Yönetim Portalı’nda yer almaktadır. |
| <SP_PresharedKey> | Bu bilgiler sanal ağınıza özeldir ve Yönetme Anahtarı olarak Yönetim Portalı’nda yer almaktadır. |
Varsayılan IPsec/IKE parametreleri
Aşağıdaki tablolar, Azure VPN ağ geçitlerinin varsayılan yapılandırmada (Varsayılan ilkeler) kullandığı algoritma ve parametre birleşimlerini içerir. Azure Kaynak Yönetimi dağıtım modeli kullanılarak oluşturulan rota tabanlı VPN ağ geçitleri için, her ayrı bağlantı üzerinde özel bir ilke belirleyebilirsiniz. Ayrıntılı yönergeler için IPsec/IKE ilkesini yapılandırma bölümüne bakın.
Ayrıca TCP MSS'yi 1350'de sıkıştırmanız gerekir. Vpn cihazlarınız MSS bağlamayı desteklemiyorsa alternatif olarak tünel arabirimindeki MTU'nun değerini 1400 bayt olarak ayarlayabilirsiniz.
Aşağıdaki tablolarda:
- SA = Güvenlik İlişkisi
- IKE Aşama 1 "Ana Mod" olarak da adlandırılır
- IKE Aşama 2 "Hızlı Mod" olarak da adlandırılır
IKE Aşama 1 (Ana Mod) parametreleri
| Özellik | PolicyBased | RouteBased |
|---|---|---|
| IKE Sürümü | IKEv1 | IKEv1 ve IKEv2 |
| Diffie-Hellman Grubu | Grup 2 (1024 bit) | Grup 2 (1024 bit) |
| Kimlik Doğrulama Yöntemi | Önceden Paylaşılan Anahtar | Önceden Paylaşılan Anahtar |
| Şifreleme ve Karma Algoritmaları | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| SA Yaşam Süresi | 28.800 saniye | 28.800 saniye |
| Hızlı Mod SA'sı sayısı | 100 | 100 |
IKE Aşama 2 (Hızlı Mod) parametreleri
| Özellik | PolicyBased | RouteBased |
|---|---|---|
| IKE Sürümü | IKEv1 | IKEv1 ve IKEv2 |
| Şifreleme ve Karma Algoritmaları | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
RouteBased QM SA Teklifleri |
| SA Yaşam Süresi (Zaman) | 3.600 saniye | 27.000 saniye |
| SA Yaşam Süresi (Bayt) | 102.400.000 KB | 102.400.000 KB |
| Kusursuz İletme Gizliliği (PFS) | No | RouteBased QM SA Teklifleri |
| Kullanılmayan Eş Algılama (DPD) | Desteklenmez | Desteklenir |
RouteBased VPN IPsec Güvenlik İlişkisi (IKE Hızlı Mod SA) Teklifleri
Aşağıdaki tabloda IPsec SA (IKE Hızlı Mod) Teklifleri listelenir. Teklifler, teklifin sunulduğu ya da kabul edildiği tercih sırasına göre listelenmiştir.
Başlatıcı olarak Azure Ağ Geçidi
| - | Şifreleme | Kimlik Doğrulaması | PFS Grubu |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Hiçbiri |
| 2 | AES256 | SHA1 | Hiçbiri |
| 3 | 3DES | SHA1 | Hiçbiri |
| 4 | AES256 | SHA256 | Hiçbiri |
| 5 | AES128 | SHA1 | Hiçbiri |
| 6 | 3DES | SHA256 | Hiçbiri |
Yanıtlayıcı olarak Azure Ağ Geçidi
| - | Şifreleme | Kimlik Doğrulaması | PFS Grubu |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Hiçbiri |
| 2 | AES256 | SHA1 | Hiçbiri |
| 3 | 3DES | SHA1 | Hiçbiri |
| 4 | AES256 | SHA256 | Hiçbiri |
| 5 | AES128 | SHA1 | Hiçbiri |
| 6 | 3DES | SHA256 | Hiçbiri |
| 7 | DES | SHA1 | Hiçbiri |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | Hiçbiri |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- RouteBased ve Yüksek Performanslı VPN ağ geçitleri ile IPsec ESP NULL şifrelemesini belirtebilirsiniz. Null tabanlı şifreleme, aktarımdaki verilere koruma sağlamaz ve yalnızca maksimum aktarım hızı ve en düşük gecikme süresi gerektiğinde kullanılmalıdır. İstemciler bunu sanal ağdan sanal ağa iletişim senaryolarında veya şifreleme çözümün başka bir yerine uygulanırken kullanmayı tercih edebilir.
- İnternet üzerinden şirket içi çapraz bağlantı için, kritik iletişiminizin güvenliğini sağlamak için önceki tablolarda listelenen şifreleme ve karma algoritmalarıyla varsayılan Azure VPN ağ geçidi ayarlarını kullanın.
Bilinen cihaz uyumluluk sorunları
Önemli
Bunlar, üçüncü taraf VPN cihazları ile Azure VPN ağ geçitleri arasında bilinen uyumluluk sorunlarıdır. Azure ekibi, burada listelenen sorunların giderilmesi için satıcılarla etkin olarak çalışmaktadır. Sorunlar çözüldüğünde bu sayfada en güncel bilgilerle güncelleştirilecektir. Lütfen bu sayfayı düzenli aralıklarla kontrol edin.
16 Şubat 2017
Azure rota tabanlı VPN için 7.1.4'ten önceki sürüme sahip Palo Alto Networks cihazları: Palo Alto Networks'ten 7.1.4'ten önceki PAN-OS sürümüne sahip VPN cihazları kullanıyorsanız ve Azure rota tabanlı VPN ağ geçitleriyle bağlantı sorunları yaşıyorsanız aşağıdaki adımları gerçekleştirin:
- Palo Alto Networks cihazınızın üretici yazılımı sürümünü denetleyin. PAN-OS sürümünüz 7.1.4’ten eskiyse 7.1.4 sürümüne yükseltin
- Palo Alto Networks cihazında, Azure VPN Gateway’e bağlanırken kullanılan Phase 2 SA (veya Quick Mode SA) ömrünü 28.800 saniye (8 saat) olarak değiştirin.
- Bağlantı sorunları yaşamaya devam ediyorsanız Azure portalından bir destek isteği açın.