Aracılığıyla paylaş


Siteler Arası VPN Ağ Geçidi bağlantıları için VPN cihazları ve IPsec/IKE parametreleri hakkında

Bir VPN ağ geçidi kullanılarak Siteden Siteye (S2S) şirketler arası VPN bağlantısı yapılandırmak için bir VPN cihazı gereklidir. Siteden siteye bağlantılar karma çözüm oluşturmak amacıyla ya da şirket içi ağlarınız ile sanal ağlarınız arasında güvenli bağlantılar istediğinizde kullanılabilir. Bu makalede, doğrulanmış VPN cihazlarının listesi ve VPN ağ geçitleri için IPsec/IKE parametrelerinin listesi verilmektedir.

Önemli

Şirket içi VPN cihazlarınızla VPN ağ geçitleri arasında bağlantı sorunları yaşıyorsanız lütfen Bilinen cihaz uyumluluk sorunları konusuna başvurun.

Tabloları görüntülerken dikkate alınacaklar:

  • Azure VPN ağ geçitleri terimlerinde bir değişiklik meydana gelmiştir. Yalnızca adlar değişmiştir. İşlevsel değişiklik yoktur.
    • Statik Yönlendirme = PolicyBased
    • Dinamik Yönlendirme = RouteBased
  • Yüksek Performanslı VPN ağ geçidi ve RouteBased VPN ağ geçidi özellikleri, aksi belirtilmedikçe aynıdır. Örneğin, RouteBased VPN ağ geçitleri ile uyumlu doğrulanmış VPN cihazları, Yüksek Performanslı VPN ağ geçidi ile de uyumludur.

Doğrulanmış VPN cihazları ve cihaz yapılandırma kılavuzları

Cihaz satıcılarıyla işbirliği yaparak bir grup standart VPN cihazını doğruladık. Aşağıdaki listede bulunan cihaz ailelerinde yer alan tüm cihazlar, VPN ağ geçitleriyle birlikte kullanılabilir. Bunlar, cihaz yapılandırmanız için önerilen algoritmalardır.

Önerilen Algoritmalar Şifreleme Bütünlük DH Grubu
IKE AES256 SHA256 DH2
IPSec AES256GCM AES256GCM Hiçbiri

VPN cihazınızı yapılandırmaya yardımcı olmak için uygun cihaz ailesine karşılık gelen bağlantılara bakın. Yapılandırma yönergelerine yönelik bağlantılar en iyi çaba temelinde sağlanır ve yapılandırma kılavuzunda listelenen varsayılanlar en iyi şifreleme algoritmalarını içermemelidir. VPN cihazı desteği için lütfen cihaz üreticinize başvurun.

Satıcı Cihaz ailesi En düşük işletim sistemi sürümü PolicyBased yapılandırma yönergeleri RouteBased yapılandırma yönergeleri
A10 Networks, Inc. Thunder CFW ACOS 4.1.1 Uyumlu değil Yapılandırma kılavuzu
AhnLab TrusGuard TG 2.7.6
TG 3.5.x
Test edilmedi Yapılandırma kılavuzu
Allied Telesis AR Serisi VPN Yönlendiricileri AR Serisi 5.4.7+ Yapılandırma kılavuzu Yapılandırma kılavuzu
Öz CloudEOS Yönlendiricisi vEOS 4.24.0FX Test edilmedi Yapılandırma kılavuzu
Barracuda Networks, Inc. Barracuda CloudGen Firewall PolicyBased: 5.4.3
RouteBased: 6.2.0
Yapılandırma kılavuzu Yapılandırma kılavuzu
Denetim Noktası Güvenlik Ağ Geçidi R80.10 Yapılandırma kılavuzu Yapılandırma kılavuzu
Cisco ASA 8.3
8.4+ (IKEv2*)
Desteklenir Yapılandırma kılavuzu*
Cisco ASR PolicyBased: IOS 15.1
RouteBased: IOS 15.2
Desteklenir Desteklenir
Cisco KSS RouteBased: IOS-XE 16.10 Test edilmedi Yapılandırma betiği
Cisco ISR PolicyBased: IOS 15.0
RouteBased*: IOS 15.1
Desteklenir Desteklenir
Cisco Meraki (MX) MX v15.12 Uyumlu değil Yapılandırma kılavuzu
Cisco vEdge (Viptela işletim sistemi) 18.4.0 (Etkin/Pasif Mod) Uyumlu değil El ile yapılandırma (Etkin/Pasif)
Citrix NetScaler MPX, SDX, VPX 10.1 ve üzeri Yapılandırma kılavuzu Uyumlu değil
F5 BIG-IP serisi 12.0 Yapılandırma kılavuzu Yapılandırma kılavuzu
Fortinet FortiGate FortiOS 5.6 Test edilmedi Yapılandırma kılavuzu
Fsas Technologies Si-R G serisi V04: V04.12
V20: V20.14
Yapılandırma kılavuzu Yapılandırma kılavuzu
Hillstone Networks Yeni Nesil Güvenlik Duvarları (NGFW) 5.5R7 Test edilmedi Yapılandırma kılavuzu
HPE Aruba EdgeConnect SDWAN Ağ Geçidi ECOS Sürüm v9.2
Orchestrator OS v9.2
Yapılandırma kılavuzu Yapılandırma kılavuzu
Internet Initiative Japan (IIJ) SEIL Serisi SEIL/X 4.60
SEIL/B1 4.60
SEIL/x86 3.20
Yapılandırma kılavuzu Uyumlu değil
Juniper SRX PolicyBased: JunOS 10.2
Routebased: JunOS 11.4
Desteklenir Yapılandırma betiği
Juniper J-Serisi PolicyBased: JunOS 10.4r9
RouteBased: JunOS 11.4
Desteklenir Yapılandırma betiği
Juniper ISG ScreenOS 6.3 Desteklenir Yapılandırma betiği
Juniper SSG ScreenOS 6.2 Desteklenir Yapılandırma betiği
Juniper MX JunOS 12.x Desteklenir Yapılandırma betiği
Microsoft Yönlendirme ve Uzaktan Erişim Hizmeti Windows Server 2012 Uyumlu değil Desteklenir
Open Systems AG Mission Control Security Ağ Geçidi Yok Desteklenir Uyumlu değil
Palo Alto Networks PAN-OS çalıştıran tüm cihazlar PAN-OS
PolicyBased: 6.1.5 veya üzeri
RouteBased: 7.1.4
Desteklenir Yapılandırma kılavuzu
Sentrium (Geliştirici) VyOS VyOS 1.2.2 Test edilmedi Yapılandırma kılavuzu
ShareTech Yeni Nesil UTM (NU serisi) 9.0.1.3 Uyumlu değil Yapılandırma kılavuzu
SonicWall TZ Series, NSA Series
SuperMassive Series
E-Class NSA Series
SonicOS 5.8.x
SonicOS 5.9.x
SonicOS 6.x
Uyumlu değil Yapılandırma kılavuzu
Sophos XG Yeni Nesil Güvenlik Duvarı XG v17 Test edilmedi Yapılandırma kılavuzu

Yapılandırma kılavuzu - Birden çok SA
Synology MR2200ac
RT2600ac
RT1900ac
SRM1.1.5/VpnPlusServer-1.2.0 Test edilmedi Yapılandırma kılavuzu
Ubiquiti EdgeRouter EdgeOS v1.10 Test edilmedi IKEv2/IPsec üzerinden BGP

IKEv2/IPsec üzerinden VTI
Ultra 3E-636L3 5.2.0.T3 Derleme-13 Test edilmedi Yapılandırma kılavuzu
WatchGuard Tümü Fireware XTM
PolicyBased: v11.11.x
RouteBased: v11.12.x
Yapılandırma kılavuzu Yapılandırma kılavuzu
Zyxel ZyWALL USG serisi
ZyWALL ATP serisi
ZyWALL VPN serisi
ZLD v4.32+ Test edilmedi IKEv2/IPsec üzerinden VTI

IKEv2/IPsec üzerinden BGP

Not

(*) Cisco ASA 8.4 ve üzeri sürümleri IKEv2 desteği ekler, "UsePolicyBasedTrafficSelectors" seçeneğiyle özel IPsec/IKE ilkesini kullanarak Azure VPN ağ geçidine bağlanabilir. Bu nasıl yapılır makalesine başvurun.

(**) ISR 7200 Serisi yönlendiriciler yalnızca PolicyBased VPN’leri destekler.

Azure'dan VPN cihazı yapılandırma betiklerini indirme

Bazı cihazlar için yapılandırma betiklerini doğrudan Azure'dan indirebilirsiniz. Daha fazla bilgi ve indirme yönergeleri için bkz . VPN cihazı yapılandırma betiklerini indirme.

Validated VPN cihazları

Cihazınızı Doğrulanmış VPN cihazları tablosunda görmüyorsanız, cihazınız siteden siteye bağlantıyla çalışmaya devam edebilir. Destek ve yapılandırma yönergeleri için cihaz üreticinize başvurun.

Cihaz yapılandırma örneklerini düzenleme

Sağlanan VPN cihazı yapılandırma örneğini indirdikten sonra, ortamınıza ilişkin ayarları yansıtacak şekilde bazı değerleri değiştirmeniz gerekir.

Bir örneği düzenlemek için:

  1. Not Defteri'ni kullanarak örneği açın.
  2. Tüm <metin> dizelerini arayın ve ortamınızla ilgili değerlerle değiştirin. ve >eklemeyi < unutmayın. Bir ad belirtildiğinde, seçtiğiniz adın benzersiz olması gerekir. Bir komut işe yaramazsa cihaz üreticinizin belgelerine bakın.
Örnek metin Şununla değiştirin:
<RP_OnPremisesNetwork> Bu nesne için seçtiğiniz ad. Örnek: myOnPremisesNetwork
<RP_AzureNetwork> Bu nesne için seçtiğiniz ad. Örnek: myAzureNetwork
<RP_AccessList> Bu nesne için seçtiğiniz ad. Örnek: myAzureAccessList
<RP_IPSecTransformSet> Bu nesne için seçtiğiniz ad. Örnek: myIPSecTransformSet
<RP_IPSecCryptoMap> Bu nesne için seçtiğiniz ad. Örnek: myIPSecCryptoMap
<SP_AzureNetworkIpRange> Aralığı belirtin. Örnek: 192.168.0.0
<SP_AzureNetworkSubnetMask> Alt ağ maskesi belirtin. Örnek: 255.255.0.0
<SP_OnPremisesNetworkIpRange> Şirket içi aralığı belirtin. Örnek: 10.2.1.0
<SP_OnPremisesNetworkSubnetMask> Şirket içi alt ağ maskesini belirtin. Örnek: 255.255.255.0
<SP_AzureGatewayIpAddress> Bu bilgiler sanal ağınıza özeldir ve Ağ geçidi IP adresi olarak Yönetim Portalı’nda yer almaktadır.
<SP_PresharedKey> Bu bilgiler sanal ağınıza özeldir ve Yönetme Anahtarı olarak Yönetim Portalı’nda yer almaktadır.

Varsayılan IPsec/IKE parametreleri

Aşağıdaki tablolar, Azure VPN ağ geçitlerinin varsayılan yapılandırmada (Varsayılan ilkeler) kullandığı algoritma ve parametre birleşimlerini içerir. Azure Kaynak Yönetimi dağıtım modeli kullanılarak oluşturulan rota tabanlı VPN ağ geçitleri için, her ayrı bağlantı üzerinde özel bir ilke belirleyebilirsiniz. Ayrıntılı yönergeler için IPsec/IKE ilkesini yapılandırma bölümüne bakın.

Aşağıdaki tablolarda:

  • SA = Güvenlik İlişkisi
  • IKE Aşama 1 "Ana Mod" olarak da adlandırılır
  • IKE Aşama 2 "Hızlı Mod" olarak da adlandırılır

IKE Aşama 1 (Ana Mod) parametreleri

Özellik PolicyBased RouteBased
IKE Sürümü IKEv1 IKEv1 ve IKEv2
Diffie-Hellman Grubu Grup 2 (1024 bit) Grup 2 (1024 bit)
Kimlik Doğrulama Yöntemi Önceden Paylaşılan Anahtar Önceden Paylaşılan Anahtar
Şifreleme ve Karma Algoritmaları 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
1. AES256, SHA1
2. AES256, SHA256
3. AES128, SHA1
4. AES128, SHA256
5. 3DES, SHA1
6. 3DES, SHA256
SA Yaşam Süresi 28.800 saniye 28.800 saniye
Hızlı Mod SA'sı sayısı 100 100

IKE Aşama 2 (Hızlı Mod) parametreleri

Özellik PolicyBased RouteBased
IKE Sürümü IKEv1 IKEv1 ve IKEv2
Şifreleme ve Karma Algoritmaları 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
RouteBased QM SA Teklifleri
SA Yaşam Süresi (Zaman) 3.600 saniye 27.000 saniye
SA Yaşam Süresi (Bayt) 102.400.000 KB 102.400.000 KB
Kusursuz İletme Gizliliği (PFS) Hayır RouteBased QM SA Teklifleri
Kullanılmayan Eş Algılama (DPD) Desteklenmez Desteklenir

Azure VPN Gateway TCP MSS Bağlama

MSS bağlama, Azure VPN Gateway'de çift yönlü olarak gerçekleştirilir. Aşağıdaki tabloda paket boyutu farklı senaryolar altında listelemektedir.

Paket Akışı IPv4 IPv6
İnternet üzerinden 1340 bayt 1360 bayt
Express Route Gateway üzerinden 1250 bayt 1250 bayt

RouteBased VPN IPsec Güvenlik İlişkisi (IKE Hızlı Mod SA) Teklifleri

Aşağıdaki tabloda IPsec SA (IKE Hızlı Mod) Teklifleri listelenir. Teklifler, teklifin sunulduğu ya da kabul edildiği tercih sırasına göre listelenmiştir.

Başlatıcı olarak Azure Ağ Geçidi

- Şifreleme Kimlik Doğrulaması PFS Grubu
1 GCM AES256 GCM (AES256) Hiçbiri
2 AES256 SHA1 Hiçbiri
3 3DES SHA1 Hiçbiri
4 AES256 SHA256 Hiçbiri
5 AES128 SHA1 Hiçbiri
6 3DES SHA256 Hiçbiri

Yanıtlayıcı olarak Azure Ağ Geçidi

- Şifreleme Kimlik Doğrulaması PFS Grubu
1 GCM AES256 GCM (AES256) Hiçbiri
2 AES256 SHA1 Hiçbiri
3 3DES SHA1 Hiçbiri
4 AES256 SHA256 Hiçbiri
5 AES128 SHA1 Hiçbiri
6 3DES SHA256 Hiçbiri
7 DES SHA1 Hiçbiri
8 AES256 SHA1 1
9 AES256 SHA1 2
10 AES256 SHA1 14
11 AES128 SHA1 1
12 AES128 SHA1 2
13 AES128 SHA1 14
14 3DES SHA1 1
15 3DES SHA1 2
16 3DES SHA256 2
17 AES256 SHA256 1
18 AES256 SHA256 2
19 AES256 SHA256 14
20 AES256 SHA1 24
21 AES256 SHA256 24
22 AES128 SHA256 Hiçbiri
23 AES128 SHA256 1
24 AES128 SHA256 2
25 AES128 SHA256 14
26 3DES SHA1 14
  • RouteBased ve Yüksek Performanslı VPN ağ geçitleri ile IPsec ESP NULL şifrelemesini belirtebilirsiniz. Null tabanlı şifreleme, aktarımdaki verilere koruma sağlamaz ve yalnızca maksimum aktarım hızı ve en düşük gecikme süresi gerektiğinde kullanılmalıdır. İstemciler bunu sanal ağdan sanal ağa iletişim senaryolarında veya şifreleme çözümün başka bir yerine uygulanırken kullanmayı tercih edebilir.
  • İnternet üzerinden şirket içi çapraz bağlantı için, kritik iletişiminizin güvenliğini sağlamak için önceki tablolarda listelenen şifreleme ve karma algoritmalarıyla varsayılan Azure VPN ağ geçidi ayarlarını kullanın.

Bilinen cihaz uyumluluk sorunları

Önemli

Bunlar, üçüncü taraf VPN cihazları ile Azure VPN ağ geçitleri arasında bilinen uyumluluk sorunlarıdır. Azure ekibi, burada listelenen sorunların giderilmesi için satıcılarla etkin olarak çalışmaktadır. Sorunlar çözüldüğünde bu sayfada en güncel bilgilerle güncelleştirilecektir. Lütfen bu sayfayı düzenli aralıklarla kontrol edin.

16 Şubat 2017

Azure rota tabanlı VPN için 7.1.4'ten önceki sürüme sahip Palo Alto Networks cihazları: Palo Alto Networks'ten 7.1.4'ten önceki PAN-OS sürümüne sahip VPN cihazları kullanıyorsanız ve Azure rota tabanlı VPN ağ geçitleriyle bağlantı sorunları yaşıyorsanız aşağıdaki adımları gerçekleştirin:

  1. Palo Alto Networks cihazınızın üretici yazılımı sürümünü denetleyin. PAN-OS sürümünüz 7.1.4’ten eskiyse 7.1.4 sürümüne yükseltin
  2. Palo Alto Networks cihazında, Azure VPN Gateway’e bağlanırken kullanılan Phase 2 SA (veya Quick Mode SA) ömrünü 28.800 saniye (8 saat) olarak değiştirin.
  3. Bağlantı sorunları yaşamaya devam ediyorsanız Azure portalından bir destek isteği açın.