O zařízeních VPN a o parametrech protokolu IPsec/IKE pro připojení typu Site-to-Site ke službě VPN Gateway
Pro konfiguraci připojení VPN typu Site-to-Site (S2S) mezi různými místy pomocí brány VPN Gateway je potřeba zařízení VPN. Připojení typu Site-to-Site lze použít k vytvoření hybridního řešení, nebo kdykoli chcete zabezpečit připojení mezi místními a virtuálními sítěmi. Tento článek obsahuje seznam ověřených zařízení VPN a seznam parametrů protokolu IPsec/IKE pro brány VPN.
Důležité
Pokud mezi místními zařízeními VPN a bránami VPN dochází k problémům s připojením, vyhledejte informace v části Známé problémy s kompatibilitou zařízení.
Při procházení tabulek si všimněte:
- Došlo ke změně terminologie pro služby Azure VPN Gateway. Změnily se pouze názvy. Nedošlo k žádné změně funkce.
- Statické směrování = PolicyBased
- Dynamické směrování = RouteBased
- Specifikace pro vysokovýkonné brány VPN a brány VPN typu RouteBased jsou stejné, není-li uvedeno jinak. Například ověřená zařízení VPN, která jsou kompatibilní s bránami VPN typu RouteBased, budou kompatibilní také s vysokovýkonnou bránou VPN.
Ověřená zařízení VPN a průvodci konfigurací zařízení
Ve spolupráci s dodavateli zařízení jsme ověřili sadu standardních zařízení VPN. Všechna zařízení v řadách zařízení v následujícím seznamu by měla fungovat s bránami VPN. V tématu Informace o nastavení služby VPN Gateway zjistíte, jaký typ sítě VPN (PolicyBased nebo RouteBased) použít pro řešení VPN Gateway, které chcete konfigurovat.
Informace o konfiguraci zařízení VPN najdete v odkazech odpovídajících příslušné rodině zařízení. Při poskytování odkazů na pokyny se snažíme maximálně vyhovět. Pro podporu zařízení VPN kontaktujte výrobce zařízení.
| Dodavatel | Řada zařízení | Minimální verze operačního systému | Pokyny ke konfiguraci PolicyBased | Pokyny ke konfiguraci RouteBased |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | Není kompatibilní | Průvodce konfigurací |
| Společnosti | TrusGuard | TG 2.7.6 TG 3.5. x |
Netestováno | Průvodce konfigurací |
| Allied Telesis | Směrovače VPN řady AR | AR-Series 5.4.7 + | Průvodce konfigurací | Průvodce konfigurací |
| Arista | CloudEOS směrovač | vEOS 4.24.0 FX | Netestováno | Průvodce konfigurací |
| Barracuda Networks, Inc. | Barracuda CloudGen Firewall | PolicyBased: 5.4.3 RouteBased: 6.2.0 |
Průvodce konfigurací | Průvodce konfigurací |
| Check Point | Security Gateway | 80.10 jazyka r | Průvodce konfigurací | Průvodce konfigurací |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
Podporováno | Průvodce konfigurací * |
| Cisco | ASR | PolicyBased: iOS 15.1 RouteBased: iOS 15.2 |
Podporováno | Podporováno |
| Cisco | MANAŽER | RouteBased: IOS – XE 16,10 | Netestováno | Konfigurační skript |
| Cisco | ISR | PolicyBased: iOS 15.0 RouteBased*: iOS 15.1 |
Podporováno | Podporováno |
| Cisco | Meraki (MX) | MX v 15.12 | Není kompatibilní | Průvodce konfigurací |
| Cisco | vEdge (Viptela OS) | 18.4.0 (aktivní/pasivní režim) 19,2 (aktivní/aktivní režim) |
Není kompatibilní | Ruční konfigurace (aktivní/pasivní) Konfigurace cloudu OnRamp (aktivní/aktivní) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 a vyšší | Průvodce konfigurací | Není kompatibilní |
| F5 | Řada BIG-IP | 12.0 | Průvodce konfigurací | Průvodce konfigurací |
| Fortinet | FortiGate | FortiOS 5.6 | Není otestováno | Průvodce konfigurací |
| Hillstone Networks | Brány firewall příští generace (NGFW) | 5.5R7 | Není otestováno | Průvodce konfigurací |
| Internet Initiative Japan (IIJ) | Řada SEIL | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Průvodce konfigurací | Není kompatibilní |
| Juniper | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
Podporováno | Konfigurační skript |
| Juniper | Řada J | PolicyBased: JunOS 10.4r9 RouteBased: JunOS 11.4 |
Podporováno | Konfigurační skript |
| Juniper | ISG | ScreenOS 6.3 | Podporováno | Konfigurační skript |
| Juniper | SSG | ScreenOS 6.2 | Podporováno | Konfigurační skript |
| Juniper | MX | JunOS 12.x | Podporováno | Konfigurační skript |
| Microsoft | Služba Směrování a vzdálený přístup | Windows Server 2012 | Není kompatibilní | Podporováno |
| Open Systems AG | Mission Control Security Gateway | – | Průvodce konfigurací | Není kompatibilní |
| Palo Alto Networks | Všechna zařízení se systémem PAN-OS | PAN-OS PolicyBased: 6.1.5 nebo novější RouteBased: 7.1.4 |
Podporováno | Průvodce konfigurací |
| Sentrium (vývojář) | VyOS | VyOS 1.2.2 | Není otestováno | Průvodce konfigurací |
| ShareTech | UTM příští generace (řada NU) | 9.0.1.3 | Není kompatibilní | Průvodce konfigurací |
| SonicWall | Řada TZ, řada NSA Řada SuperMassive Řada E-Class NSA |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Není kompatibilní | Průvodce konfigurací |
| Sophos | XG Next Gen Firewall | XG v17 | Není otestováno | Průvodce konfigurací Průvodce konfigurací – Několik SA |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Není otestováno | Průvodce konfigurací |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 | Není otestováno | Protokol BGP přes protokol IKEv2/IPsec VTI přes protokol IKEv2/IPsec |
| Ultra | 3E-636L3 | 5.2.0.T3 Build-13 | Není otestováno | Průvodce konfigurací |
| WatchGuard | Vše | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
Průvodce konfigurací | Průvodce konfigurací |
| Zyxel | Řada ZyWALL USG Řada ZyWALL ATP Řada ZyWALL VPN |
ZLD v4.32+ | Není otestováno | VTI přes protokol IKEv2/IPsec Protokol BGP přes protokol IKEv2/IPsec |
Poznámka
(*) Cisco ASA verze 8.4+ přidávají podporu IKEv2 a umožňují připojení ke službě Azure VPN Gateway pomocí vlastních zásad IPsec/IKE s možností UsePolicyBasedTrafficSelectors. Další informace najdete v tomto článku s postupem.
(**) Směrovače řady ISR 7200 podporují jenom sítě VPN typu PolicyBased.
Stažení konfiguračních skriptů zařízení VPN z Azure
Pro určitá zařízení si můžete konfigurační skripty stáhnout přímo z Azure. Další informace a pokyny ke stažení najdete v tématu Stažení konfiguračních skriptů zařízení VPN.
Zařízení s dostupnými konfiguračními skripty
| Dodavatel | Řada zařízení | Verze firmwaru |
|---|---|---|
| Cisco | ISR | IOS 15,1 (Preview) |
| Cisco | ASA | ASA (*) RouteBased (IKEv2-No BGP) pro ASA pod 9,8 |
| Cisco | ASA | ASA RouteBased (IKEv2-No BGP) pro ASA 9.8 + |
| Juniper | SRX_GA | 12. x |
| Juniper | SSG_GA | ScreenOS 6.2. x |
| Juniper | JSeries_GA | JunOS 12. x |
| Juniper | SRX | JunOS 12. x RouteBased BGP |
| Ubiquiti | EdgeRouter | EdgeOS v 1.10 × RouteBased VTI |
| Ubiquiti | EdgeRouter | EdgeOS v 1.10 x RouteBased BGP |
Poznámka
( * ) Požadováno: NarrowAzureTrafficSelectors (povolit možnost UsePolicyBasedTrafficSelectors) a CustomAzurePolicies (IKE/IPsec)
Neověřená zařízení VPN
Nevidíte-li své zařízení v tabulce Ověřená zařízení VPN, stále je možné, že bude fungovat s připojením typu Site-to-Site. Kvůli další podpoře a pokynům ke konfiguraci se obraťte na výrobce zařízení.
Ukázky úpravy konfigurace zařízení
Po stažení ukázky konfigurace zařízení VPN budete muset nahradit některé hodnoty tak, aby odpovídaly nastavení vašeho prostředí.
Chcete-li upravit ukázku:
- Otevřete ukázku pomocí Poznámkového bloku.
- Vyhledejte všechny řetězce text a nahraďte je hodnotami, které odpovídají vašemu prostředí. Nezapomeňte zahrnout < a >. Zadané názvy by měly být jedinečné. Pokud příkaz nefunguje, obraťte se na dokumentaci výrobce zařízení.
| Text v ukázce | Změňte na |
|---|---|
| <RP_OnPremisesNetwork> | Zvolený název pro tento objekt. Příklad: myOnPremisesNetwork |
| <RP_AzureNetwork> | Zvolený název pro tento objekt. Příklad: myAzureNetwork |
| <RP_AccessList> | Zvolený název pro tento objekt. Příklad: myAzureAccessList |
| <RP_IPSecTransformSet> | Zvolený název pro tento objekt. Příklad: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | Zvolený název pro tento objekt. Příklad: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | Zadejte rozsah. Příklad: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Zadejte masku podsítě. Příklad: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Zadejte místní rozsah. Příklad: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | Zadejte masku místní podsítě. Příklad: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Tato informace je specifická pro vaši virtuální síť a najdete ji v Portálu pro správu jako IP adresa brány. |
| <SP_PresharedKey> | Tato informace je specifická pro vaši virtuální síť a najdete ji v Portálu pro správu jako Správa klíče. |
Výchozí parametry protokolu IPsec/IKE
Následující tabulky obsahují kombinace algoritmů a parametrů, které brány Azure VPN Gateway používají ve výchozí konfiguraci (výchozí zásady). Pro brány sítě VPN založené na trasách a vytvořené pomocí modelu nasazení správy prostředků Azure můžete zadat vlastní zásadu pro každé jednotlivé připojení. Podrobné pokyny najdete v tématu Konfigurace zásad IPsec/IKE.
Kromě toho musíte tcp MSS uchovat na 1350. Pokud vaše zařízení nepodporuje uchycení MSS, můžete místo toho nastavit MTU na rozhraní tunelu na 1400 bajtů.
V následujících tabulkách:
- SA je přidružení zabezpečení.
- IKE fáze 1 se také nazývá „hlavní režim“.
- IKE fáze 2 se také nazývá „rychlý režim“.
Parametry protokolu IKE fáze 1 (hlavní režim)
| Vlastnost | PolicyBased | RouteBased |
|---|---|---|
| Verze IKE | IKEv1 | IKEv1 a IKEv2 |
| Skupina Diffie-Hellman | Skupina 2 (1 024 bitů) | Skupina 2 (1 024 bitů) |
| Metoda ověřování | Předsdílený klíč | Předsdílený klíč |
| Algoritmy šifrování a hash | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| Životnost SA | 28 800 sekund | 28 800 sekund |
Parametry protokolu IKE fáze 2 (rychlý režim)
| Vlastnost | PolicyBased | RouteBased |
|---|---|---|
| Verze IKE | IKEv1 | IKEv1 a IKEv2 |
| Algoritmy šifrování a hash | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
Nabídky RouteBased QM SA |
| Životnost SA (čas) | 3 600 sekund | 27 000 sekund |
| Životnost SA (bajty) | 102 400 000 kB | 102 400 000 kB |
| Metoda Perfect Forward Secrecy (PFS) | No | Nabídky RouteBased QM SA |
| Detekce mrtvých partnerských zařízení (DPD) | Nepodporováno | Podporováno |
Nabídky RouteBased VPN IPsec Security Association (rychlý režim IKE SA)
Následující tabulka uvádí nabídky IPsec SA (rychlý režim IKE). Nabídky jsou uvedeny v pořadí podle preference jejich předávání nebo přijímání.
Služba Azure Gateway jako iniciátor
| - | Šifrování | Authentication | Skupina PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Žádné |
| 2 | AES256 | SHA1 | Žádné |
| 3 | 3DES | SHA1 | Žádné |
| 4 | AES256 | SHA256 | Žádné |
| 5 | AES128 | SHA1 | Žádné |
| 6 | 3DES | SHA256 | Žádné |
Služba Azure Gateway jako respondér
| - | Šifrování | Authentication | Skupina PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Žádné |
| 2 | AES256 | SHA1 | Žádné |
| 3 | 3DES | SHA1 | Žádné |
| 4 | AES256 | SHA256 | Žádné |
| 5 | AES128 | SHA1 | Žádné |
| 6 | 3DES | SHA256 | Žádné |
| 7 | DES | SHA1 | Žádné |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | Žádné |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- U vysokovýkonných bran VPN a bran VPN typu RouteBased můžete zadat šifrování protokolem IPsec s prázdným ESP. Prázdné šifrování neposkytuje ochranu přenášených dat a mělo by se používat pouze pokud je vyžadována maximální propustnost a minimální latence. Klienti toho mohou využít ve scénářích komunikace typu VNet-to-VNet nebo pokud k šifrování dochází jinde v rámci řešení.
- Pro připojení mezi různými místy prostřednictvím Internetu použijte výchozí nastavení služby Azure VPN Gateway s šifrováním a algoritmy hash uvedenými v tabulkách výše, abyste zajistili bezpečnost důležité komunikace.
Známé problémy s kompatibilitou zařízení
Důležité
Jsou známy problémy s kompatibilitou mezi zařízeními VPN třetích stran a bránami VPN Azure. Tým Azure aktivně spolupracuje s dodavateli na řešení problémů, které jsou zde uvedeny. Po vyřešení problémů bude tato stránka aktualizována, aby obsahovala nejnovější informace. Pravidelně se sem vracejte.
16. února 2017
Zařízení Palo Alto Networks s verzí dřívější než 7.1.4 pro síť VPN Azure založenou na trasách: Pokud používáte zařízení VPN z Palo Alto Networks s verzí PAN-OS dřívější než 7.1.4 a dochází k problémům s připojením k bránám sítě VPN Azure založené na směrování, proveďte následující kroky:
- Zkontrolujte verzi firmwaru zařízení Palo Alto Networks. Pokud je verze PAN-OS starší než 7.1.4, proveďte upgrade na verzi 7.1.4.
- Na zařízení Palo Alto Networks změňte při připojování k bráně VPN Azure životnost přidružení zabezpečení (SA) Fáze 2 (nebo přidružení zabezpečení rychlého režimu) na 28 800 sekund (8 hodin).
- Pokud i nadále dochází k problému s připojením, otevřete žádost o podporu na webu Azure Portal.