Informationen zu VPN-Geräten und IPsec-/IKE-Parametern für VPN-Gatewayverbindungen zwischen Standorten.
Sie benötigen ein VPN-Gerät, um eine standortübergreifende S2S-VPN-Verbindung (Site-to-Site) per VPN Gateway zu konfigurieren. Standort-zu-Standort-Verbindungen können zum Erstellen einer Hybridlösung verwendet werden. Sie können sie auch zum Herstellen von sicheren Verbindungen zwischen Ihren lokalen Netzwerken und den virtuellen Netzwerken verwenden. Dieser Artikel enthält eine Liste mit überprüften VPN-Geräten und eine Liste mit IPsec-/IKE-Parametern für VPN-Gateways.
Wichtig
Bei Verbindungsproblemen zwischen Ihren lokalen VPN-Geräten und VPN-Gateways helfen Ihnen die Informationen unter Bekannte Probleme mit der Gerätekompatibilität weiter.
Was Sie beim Anzeigen der Tabellen beachten sollten:
- Die Terminologie für Azure-VPN-Gateways wurde geändert. Die Änderung betrifft nur die Namen. Es gibt keine Funktionsänderungen.
- Statisches Routing = Richtlinienbasiert (PolicyBased)
- Dynamisches Routing = Routenbasiert (RouteBased)
- Die Spezifikationen für Hochleistungs-VPN-Gateways und routenbasierte VPN-Gateways bleiben unverändert, sofern nicht anders angegeben. Beispielsweise sind die überprüften VPN-Geräte, die mit den routenbasierten VPN-Gateways kompatibel sind, auch mit dem Hochleistungs-VPN-Gateway kompatibel.
Überprüfte VPN-Geräte und Konfigurationshandbücher für Geräte
Wir haben in Zusammenarbeit mit Geräteherstellern eine Reihe von VPN-Standardgeräten getestet. Alle Geräte der in der folgenden Liste aufgeführten Gerätefamilien sollten mit VPN-Gateways kompatibel sein. Dies sind die empfohlenen Algorithmen für Ihre Gerätekonfiguration.
| Empfohlene Algorithmen | Verschlüsselungen | Integrität | DH-Gruppe |
|---|---|---|---|
| IKE | AES256 | SHA256 | DH2 |
| IPsec | AES256GCM | AES256GCM | None |
Hilfreiche Informationen zur Konfiguration des VPN-Geräts finden Sie unter den Links für die entsprechende Gerätefamilie. Die Links zu Konfigurationsanweisungen werden nach bestem Wissen und Gewissen bereitgestellt, und die im Konfigurationshandbuch aufgeführten Standardwerte müssen nicht die besten kryptografischen Algorithmen enthalten. Support für VPN-Geräte erhalten Sie vom jeweiligen Gerätehersteller.
| Hersteller | Gerätefamilie | Betriebssystemversion (Min.) | PolicyBased-Konfiguration – Anleitung | RouteBased-Konfiguration – Anleitung |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | Nicht kompatibel | Konfigurationshandbuch |
| AhnLab | TrusGuard | TG 2.7.6 TG 3.5.x |
Nicht getestet | Konfigurationshandbuch |
| Allied Telesis | VPN-Router der AR-Serie | AR-Serie 5.4.7+ | Konfigurationshandbuch | Konfigurationshandbuch |
| Arista | CloudEOS-Router | vEOS 4.24.0FX | Nicht getestet | Konfigurationshandbuch |
| Barracuda Networks, Inc. | Barracuda CloudGen Firewall | PolicyBased: 5.4.3 RouteBased: 6.2.0 |
Konfigurationshandbuch | Konfigurationshandbuch |
| Check Point | Sicherheitsgateway | R80.10 | Konfigurationshandbuch | Konfigurationshandbuch |
| Cisco | ASA | 8.3 8.4+ (IKEv2* ) |
Unterstützt | Konfigurationshandbuch * |
| Cisco | ASR | PolicyBased: IOS 15.1 RouteBased: IOS 15.2 |
Unterstützt | Unterstützt |
| Cisco | CSR | RouteBased: IOS-XE 16.10 | Nicht getestet | Konfigurationsskript |
| Cisco | ISR | PolicyBased: IOS 15.0 RouteBased*: IOS 15.1 |
Unterstützt | Unterstützt |
| Cisco | Meraki (MX) | MX v15.12 | Nicht kompatibel | Konfigurationshandbuch |
| Cisco | vEdge (Viptela-Betriebssystem) | 18.4.0 (Aktiv/Passiv-Modus) | Nicht kompatibel | Manuelle Konfiguration (aktiv/passiv) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 und höher | Konfigurationshandbuch | Nicht kompatibel |
| F5 | BIG-IP-Serie | 12.0 | Konfigurationshandbuch | Konfigurationshandbuch |
| Fortinet | FortiGate | FortiOS 5.6 | Nicht getestet | Konfigurationshandbuch |
| Fujitsu | Si-R G Serie | V04: V04.12 V20: V20.14 |
Konfigurationshandbuch | Konfigurationshandbuch |
| Hillstone Networks | Next-Gen Firewalls (NGFW) | 5.5R7 | Nicht getestet | Konfigurationshandbuch |
| HPE Aruba | EdgeConnect SDWAN Gateway | ECOS Release v9.2 Orchestrator-Betriebssystem v9.2 |
Konfigurationshandbuch | Konfigurationshandbuch |
| Internet Initiative Japan (IIJ) | SEIL-Serie | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Konfigurationshandbuch | Nicht kompatibel |
| Juniper | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
Unterstützt | Konfigurationsskript |
| Juniper | J-Serie | PolicyBased: JunOS 10.4r9 RouteBased: JunOS 11.4 |
Unterstützt | Konfigurationsskript |
| Juniper | ISG | ScreenOS 6.3 | Unterstützt | Konfigurationsskript |
| Juniper | SSG | ScreenOS 6.2 | Unterstützt | Konfigurationsskript |
| Juniper | MX | JunOS 12.x | Unterstützt | Konfigurationsskript |
| Microsoft | Routing- und RAS-Dienst | Windows Server 2012 | Nicht kompatibel | Unterstützt |
| Open Systems AG | Mission Control Security Gateway | – | Unterstützt | Nicht kompatibel |
| Palo Alto Networks | Alle Geräte mit PAN-OS 5.0 | PAN-OS PolicyBased: 6.1.5 oder höher RouteBased: 7.1.4 |
Unterstützt | Konfigurationshandbuch |
| Sentrium (Entwickler) | VyOS | VyOS 1.2.2 | Nicht getestet | Konfigurationshandbuch |
| ShareTech | UTM der nächsten Generation (NU-Serie) | 9.0.1.3 | Nicht kompatibel | Konfigurationshandbuch |
| SonicWall | TZ-Serie, NSA-Serie SuperMassive-Serie E-Class-NSA-Serie |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Nicht kompatibel | Konfigurationshandbuch |
| Sophos | XG-Firewall der nächsten Generation | XG v17 | Nicht getestet | Konfigurationshandbuch Configuration guide - Multiple SAs (Konfigurationshandbuch: Mehrere SAs) |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Nicht getestet | Konfigurationshandbuch |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 | Nicht getestet | BGP über IKEv2/IPsec VTI über IKEv2/IPsec |
| Ultra | 3E-636L3 | 5.2.0.T3 Build 13 | Nicht getestet | Konfigurationsleitfaden |
| WatchGuard | All | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
Konfigurationshandbuch | Konfigurationshandbuch |
| Zyxel | ZyWALL USG-Serie ZyWALL ATP-Serie ZyWALL VPN-Serie |
ZLD v4.32+ | Nicht getestet | VTI über IKEv2/IPsec BGP über IKEv2/IPsec |
Hinweis
( * ) Die Cisco ASA-Version 8.4 und höhere Versionen fügen IKEv2-Unterstützung hinzu und können mithilfe der benutzerdefinierten IPsec-/IKE-Richtlinie mit der Option „UsePolicyBasedTrafficSelectors“ eine Verbindung mit Azure VPN Gateway herstellen. Informationen finden Sie in diesem Artikel mit Anleitungen.
( ** ) Router der Serie ISR 7200 unterstützen nur richtlinienbasierte VPNs.
Herunterladen von Konfigurationsskripts für ein VPN-Gerät von Azure
Für bestimmte Geräte können direkt von Azure Konfigurationsskripts heruntergeladen werden. Weitere Informationen und Downloadanweisungen finden Sie unter Herunterladen von VPN-Gerätekonfigurationsskripts für S2S-VPN-Verbindungen.
Nicht überprüfte VPN-Geräte
Falls Ihr Gerät nicht in der Tabelle „Überprüfte VPN-Geräte“ aufgeführt ist, kann es möglicherweise trotzdem für eine Site-to-Site-Verbindung verwendet werden. Unterstützung und Konfigurationsanweisungen erhalten Sie vom Gerätehersteller.
Bearbeiten der Gerätekonfigurationsvorlagen
Nachdem Sie die bereitgestellte Konfigurationsvorlage für das VPN-Gerät heruntergeladen haben, müssen Sie einige der Werte entsprechend den Einstellungen Ihrer Umgebung ersetzen.
So bearbeiten Sie eine Vorlage:
- Öffnen Sie die Vorlage im Editor.
- Suchen Sie alle <text>-Zeichenfolgen, und ersetzen Sie sie durch die Werte, die für Ihre Umgebung gelten. Achten Sie darauf, auch die spitzen Klammern < und > anzugeben. Wenn ein Name angegeben ist, sollte der ausgewählte Name eindeutig sein. Sehen Sie zuerst in der Dokumentation des Geräteherstellers nach, falls ein Befehl nicht funktioniert.
| Vorlagentext | Ändern in |
|---|---|
| <RP_OnPremisesNetwork> | Der von Ihnen gewählte Name für dieses Objekt. Beispiel: meinLokalesNetzwerk |
| <RP_AzureNetwork> | Der von Ihnen gewählte Name für dieses Objekt. Beispiel: meinAzureNetzwerk |
| <RP_AccessList> | Der von Ihnen gewählte Name für dieses Objekt. Beispiel: meineAzureZugriffsliste |
| <RP_IPSecTransformSet> | Der von Ihnen gewählte Name für dieses Objekt. Beispiel: meinIPSecTransformSet |
| <RP_IPSecCryptoMap> | Der von Ihnen gewählte Name für dieses Objekt. Beispiel: meineIPSecKryptoMap |
| <SP_AzureNetworkIpRange> | Geben Sie den Bereich an. Beispiel: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Geben Sie die Subnetzmaske an. Beispiel: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Geben Sie den lokalen Bereich an. Beispiel: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | Geben Sie die lokale Subnetzmaske an. Beispiel: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Diese Informationen gelten nur für Ihr virtuelles Netzwerk und befinden sich im Verwaltungsportal unter Gateway-IP-Adresse. |
| <SP_PresharedKey> | Diese Informationen gelten nur für Ihr virtuelles Netzwerk und befinden sich im Verwaltungsportal unter "Schlüssel verwalten". |
IPsec-/IKE-Standardparameter
Die folgenden Tabellen enthalten die Kombinationen aus Algorithmen und Parametern, die von Azure-VPN-Gateways in der Standardkonfiguration verwendet werden (Standardrichtlinien). Für routenbasierte VPN-Gateways, die mit dem Azure Resource Manager-Bereitstellungsmodell erstellt wurden, können Sie für jede einzelne Verbindung eine benutzerdefinierte Richtlinie angeben. Ausführliche Anweisungen finden Sie unter Konfigurieren der IPsec/IKE-Richtlinie.
Darüber hinaus müssen Sie TCP MSS mit 1350 verknüpfen. Wenn Ihre VPN-Geräte MSS-Clamping nicht unterstützen, können Sie stattdessen auch den MTU-Wert der Tunnelschnittstelle auf 1400 Bytes festlegen.
Für die folgenden Tabellen gilt:
- SA = Sicherheitszuordnung
- IKE-Phase 1 wird auch als „Hauptmodus“ bezeichnet.
- IKE-Phase 2 wird auch als „Schnellmodus“ bezeichnet.
Parameter der IKE-Phase 1 (Hauptmodus)
| Eigenschaft | PolicyBased | RouteBased |
|---|---|---|
| IKE-Version | IKEv1 | IKEv1 und IKEv2 |
| Diffie-Hellman-Gruppe | Gruppe 2 (1024 Bit) | Gruppe 2 (1024 Bit) |
| Authentifizierungsmethode | Vorab ausgetauschter Schlüssel | Vorab ausgetauschter Schlüssel |
| Verschlüsselung und Hashalgorithmen | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| SA-Gültigkeitsdauer | 28.800 Sekunden | 28.800 Sekunden |
| Anzahl der Schnellmodus-SA | 100 | 100 |
Parameter der IKE-Phase 2 (Schnellmodus)
| Eigenschaft | PolicyBased | RouteBased |
|---|---|---|
| IKE-Version | IKEv1 | IKEv1 und IKEv2 |
| Verschlüsselung und Hashalgorithmen | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
SA-Angebote für RouteBased QM |
| SA-Gültigkeitsdauer (Zeit) | 3\.600 Sekunden | 27.000 Sekunden |
| SA-Gültigkeitsdauer (Bytes) | 102.400.000 KB | 102.400.000 KB |
| Perfect Forward Secrecy (PFS) | Nein | SA-Angebote für RouteBased QM |
| Dead Peer Detection (DPD) | Nicht unterstützt | Unterstützt |
RouteBased-VPN-Angebote der IPsec Security Association (IKE-Schnellmodus-SA)
Die folgende Tabelle enthält IPsec-SA-Angebote (IKE-Schnellmodus). Angebote werden in der Reihenfolge ihrer Priorität aufgeführt, in der das Angebot dargeboten oder akzeptiert wurde.
Azure-Gateway als Initiator
| - | Verschlüsselung | Authentifizierung | PFS-Gruppe |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Keine |
| 2 | AES256 | SHA1 | Keine |
| 3 | 3DES | SHA1 | Keine |
| 4 | AES256 | SHA256 | Keine |
| 5 | AES128 | SHA1 | Keine |
| 6 | 3DES | SHA256 | Keine |
Azure-Gateway als Antwortender
| - | Verschlüsselung | Authentifizierung | PFS-Gruppe |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Keine |
| 2 | AES256 | SHA1 | Keine |
| 3 | 3DES | SHA1 | Keine |
| 4 | AES256 | SHA256 | Keine |
| 5 | AES128 | SHA1 | Keine |
| 6 | 3DES | SHA256 | Keine |
| 7 | DES | SHA1 | Keine |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | Keine |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- Sie können IPsec-ESP-NULL-Verschlüsselung mit routenbasierten VPN-Gateways und Hochleistungs-VPN-Gateways angeben. Verschlüsselung auf Basis von NULL bietet keinen Schutz der Daten während der Übertragung und sollte nur verwendet werden, wenn maximaler Durchsatz und minimale Latenz erforderlich sind. Clients können dieses Gerät in Szenarien mit VNet-zu-VNet-Kommunikation verwenden, oder wenn die Verschlüsselung an einem anderen Ort in der Lösung angewendet wird.
- Verwenden Sie für standortübergreifende Konnektivität über das Internet die Standardeinstellungen für Azure-VPN-Gateways mit Verschlüsselung und Hashalgorithmen, die in der obigen Tabelle aufgelistet werden, um die Sicherheit Ihrer kritischen Kommunikation zu gewährleisten.
Bekannte Probleme mit der Gerätekompatibilität
Wichtig
Hier finden Sie bekannte Kompatibilitätsprobleme zwischen Drittanbieter-VPN-Geräten und Azure-VPN-Gateways. Das Azure-Team arbeitet zusammen mit den Anbietern aktiv an der Lösung der hier angegebenen Probleme. Nachdem die Probleme behoben wurden, wird diese Seite mit den neuesten Informationen aktualisiert. Es ist also ratsam, diese Seite regelmäßig aufzurufen.
16. Februar 2017
Palo Alto Networks-Geräte mit älteren Versionen als 7.1.4 für routenbasiertes Azure-VPN: Führen Sie die folgenden Schritte aus, wenn Sie VPN-Geräte von Palo Alto Networks mit einer älteren PAN-OS-Version als 7.1.4 verwenden und Konnektivitätsprobleme mit routenbasierten Azure-VPN-Gateways auftreten:
- Überprüfen Sie die Firmwareversion Ihres Palo Alto Networks-Geräts. Führen Sie ein Upgrade auf Version 7.1.4 durch, falls Ihre PAN-OS-Version älter als 7.1.4 ist.
- Ändern Sie auf dem Palo Alto Networks-Gerät die Phase 2 SA-Lebensdauer (bzw. Quick Mode SA) in 28.800 Sekunden (8 Stunden), wenn Sie die Verbindung mit dem Azure-VPN-Gateway herstellen.
- Erstellen Sie über das Azure-Portal eine Supportanfrage, falls weiterhin Probleme mit der Konnektivität auftreten.