Acerca de los dispositivos VPN y los parámetros de IPsec/IKE para conexiones de VPN Gateway de sitio a sitio
Para configurar una conexión VPN entre locales de sitio a sitio (S2S) mediante una puerta de enlace de VPN se requiere un dispositivo VPN. Las conexiones de sitio a sitio pueden usarse para crear una solución híbrida o siempre que desee conexiones seguras entre su red local y la red virtual. Este artículo incluye la lista de dispositivos VPN validados y una lista de parámetros IPsec/IKE para las puertas de enlace de VPN.
Importante
Si tiene problemas de conectividad entre los dispositivos VPN locales y las puertas de enlace de VPN, consulte Problemas conocidos de compatibilidad de dispositivos.
Elementos que hay que tener en cuenta para consultar las tablas:
- Ha habido un cambio terminológico en las puertas de enlace de VPN de Azure. Solo han cambiado los nombres. No hay cambio de funcionalidad.
- Enrutamiento estático = PolicyBased
- Enrutamiento dinámico = RouteBased
- Las especificaciones de VPN Gateway HighPerformance y VPN Gateway RouteBased son las mismas, a menos que se indique lo contrario. Por ejemplo, los dispositivos VPN validados que son compatibles con las puertas de enlace de VPN RouteBased también son compatibles con las puertas de enlace de VPN HighPerformance.
Dispositivos VPN validados y guías de configuración de dispositivos
En colaboración con proveedores de dispositivos, hemos validado un conjunto de dispositivos VPN estándar. Todos los dispositivos de las familias de dispositivos en la lista siguiente deben trabajar con puertas de enlace de VPN. Estos son los algoritmos recomendados para la configuración del dispositivo.
| Algoritmos recomendados | Cifrado | Integridad | Grupo DH |
|---|---|---|---|
| IKE | AES256 | SHA256 | DH2 |
| IPSec | AES256GCM | AES256GCM | Ninguno |
Con el fin de configurar el dispositivo VPN, consulte los vínculos correspondientes a la familia de dispositivos apropiada. Los vínculos a las instrucciones de configuración se proporcionan de forma óptima y los valores predeterminados enumerados en la guía de configuración no necesitan contener los mejores algoritmos criptográficos. Para obtener soporte para los dispositivos VPN, póngase en contacto con el fabricante.
| Proveedor | Familia de dispositivos | Versión mínima de sistema operativo | Instrucciones de configuración PolicyBased | Instrucciones de configuración RouteBased |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | No compatible | Guía de configuración |
| AhnLab | TrusGuard | TG 2.7.6 TG 3.5.x |
No probado | Guía de configuración |
| Allied Telesis | Enrutadores VPN de la serie AR | Serie AR 5.4.7+ | Guía de configuración | Guía de configuración |
| Arista | Enrutador CloudEOS | vEOS 4.24.0FX | No probado | Guía de configuración |
| Barracuda Networks, Inc. | Barracuda CloudGen Firewall | PolicyBased: 5.4.3 RouteBased: 6.2.0 |
Guía de configuración | Guía de configuración |
| Punto de comprobación | Puerta de enlace de seguridad | R80.10 | Guía de configuración | Guía de configuración |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
Compatible | Guía de configuración* |
| Cisco | ASR | PolicyBased: IOS 15.1 RouteBased: IOS 15.2 |
Compatible | Compatible |
| Cisco | CSR | RouteBased: IOS-XE 16.10 | No probado | Script de configuración |
| Cisco | ISR | PolicyBased: IOS 15.0 RouteBased*: IOS 15.1 |
Compatible | Compatible |
| Cisco | Meraki (MX) | MX v15.12 | No compatible | Guía de configuración |
| Cisco | vEdge (SO Viptela) | 18.4.0 (modo Activo/Pasivo) | No compatible | Configuración manual (activa/pasiva) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 y versiones posteriores | Guía de configuración | No compatible |
| F5 | Serie BIG-IP | 12.0 | Guía de configuración | Guía de configuración |
| Fortinet | FortiGate | FortiOS 5.6 | No probado | Guía de configuración |
| Fujitsu | Serie Si-R G | V04: V04.12 V20: V20.14 |
Guía de configuración | Guía de configuración |
| Hillstone Networks | Next-Gen Firewalls (NGFW) | 5.5R7 | No probado | Guía de configuración |
| HPE Aruba | Puerta de enlace EdgeConnect SDWAN | Versión 9.2 de ECOS Orchestrator OS v9.2 |
Guía de configuración | Guía de configuración |
| Internet Initiative Japan (IIJ) | Serie SEIL | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Guía de configuración | No compatible |
| Juniper | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
Compatible | Script de configuración |
| Juniper | Serie J | PolicyBased: JunOS 10.4r9 RouteBased: JunOS 11.4 |
Compatible | Script de configuración |
| Juniper | ISG | ScreenOS 6.3 | Compatible | Script de configuración |
| Juniper | SSG | ScreenOS 6.2 | Compatible | Script de configuración |
| Juniper | MX | JunOS 12.x | Compatible | Script de configuración |
| Microsoft | Servicio de acceso remoto y enrutamiento | Windows Server 2012 | No compatible | Compatible |
| Open Systems AG | Mission Control Security Gateway | N/D | Compatible | No compatible |
| Palo Alto Networks | Todos los dispositivos que ejecutan PAN-OS | PAN-OS PolicyBased: 6.1.5 o posterior RouteBased: 7.1.4 |
Compatible | Guía de configuración |
| Sentrium (desarrollador) | VyOS | VyOS 1.2.2 | No probado | Guía de configuración |
| ShareTech | UTM de próxima generación (serie NU) | 9.0.1.3 | No compatible | Guía de configuración |
| SonicWall | Serie TZ, serie NSA Serie SuperMassive Serie E-Class NSA |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
No compatible | Guía de configuración |
| Sophos | Firewall de última generación XG | XG v17 | No probado | Guía de configuración Guía de configuración: varios SA |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | No probado | Guía de configuración |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 | No probado | BGP a través de IKEv2/IPsec VTI a través de IKEv2/IPsec |
| Ultra | 3E-636L3 | 5.2.0.T3, compilación 13 | No probado | Guía de configuración |
| WatchGuard | All | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
Guía de configuración | Guía de configuración |
| Zyxel | Serie ZyWALL USG Serie ZyWALL ATP Serie ZyWALL VPN |
ZLD v4.32+ | No probado | VTI a través de IKEv2/IPsec BGP a través de IKEv2/IPsec |
Nota:
(*) Las versiones de Cisco ASA 8.4 y posteriores incorporan compatibilidad con IKEv2, puede conectarse a la puerta de enlace de VPN de Azure mediante la directiva personalizada de IPsec/IKE con la opción "UsePolicyBasedTrafficSelectors". Puede consultar este artículo de procedimientos.
(\*\*) Los enrutadores de la serie ISR 7200 solo admiten VPN basadas en directivas.
Descarga de los scripts de configuración de dispositivos VPN desde Azure
Para determinados dispositivos, puede descargar los scripts de configuración directamente desde Azure. Para más información y las instrucciones de descarga, consulte Descarga de scripts de configuración de dispositivos VPN para conexiones VPN S2S.
Dispositivos VPN no validados
Si el dispositivo no aparece en la tabla de dispositivos VPN validados, es posible que todavía funcione con una conexión de sitio a sitio. Póngase en contacto con el fabricante del dispositivo para obtener instrucciones de soporte técnico y configuración.
Editar los ejemplos de configuración de dispositivos
Después de descargar el ejemplo de configuración del dispositivo VPN proporcionado, deberá reemplazar algunos de los valores para reflejar la configuración de su entorno.
Para editar una muestra:
- Abra el ejemplo con el Bloc de notas.
- Busque y reemplace todas las cadenas de <texto> por los valores que pertenezcan al entorno. Asegúrese de incluir < y >. Cuando se especifica un nombre, el nombre que seleccione debe ser único. Si un comando no funciona, consulte la documentación del fabricante del dispositivo.
| Texto de ejemplo | Cambiar a |
|---|---|
| <RP_OnPremisesNetwork> | Nombre elegido para este objeto. Ejemplo: miRedLocal |
| <RP_AzureNetwork> | Nombre elegido para este objeto. Ejemplo: miRedAzure |
| <RP_AccessList> | Nombre elegido para este objeto. Ejemplo: miListaAccesoAzure |
| <RP_IPSecTransformSet> | Nombre elegido para este objeto. Ejemplo: miConjuntoTransIPSec |
| <RP_IPSecCryptoMap> | Nombre elegido para este objeto. Ejemplo: miAsignCifradoIPSec |
| <SP_AzureNetworkIpRange> | Especifique el rango. Ejemplo: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Especifique la máscara de subred. Ejemplo: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Especifique el rango local. Ejemplo: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | Especifique la máscara de subred local. Ejemplo: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Esta información es específica de la red virtual y se encuentra en el Portal de administración como Dirección IP de puerta de enlace. |
| <SP_PresharedKey> | Esta información es específica de la red virtual y se encuentra en el Portal de administración, en Administrar clave. |
Parámetros de IPsec/IKE predeterminados
Las tablas siguientes contienen las combinaciones de algoritmos y parámetros que usan las puertas de enlace de VPN de Azure en la configuración predeterminada (Directivas predeterminadas). Para puertas de enlace de VPN basadas en enrutamiento creadas mediante el modelo de implementación de Azure Resource Management, puede especificar una directiva personalizada en cada conexión individual. Consulte Configuración de la directiva IPsec/IKE para obtener instrucciones detalladas.
Además, debe fijar el MSS de TCP en 1350. O bien, si los dispositivos VPN no admiten la fijación de MSS, también puede establecer la opción MTU en la interfaz de túnel en 1400 bytes.
En las tablas siguientes:
- SA = Asociación de seguridad
- La fase 1 de IKE también se denomina "Modo principal"
- La fase 2 de IKE también se denomina "Modo rápido"
Parámetros de la fase 1 de IKE (Modo principal)
| Propiedad | PolicyBased | RouteBased |
|---|---|---|
| Versión de IKE | IKEv1 | IKEv1 e IKEv2 |
| Grupo Diffie-Hellman | Grupo 2 (1024 bits) | Grupo 2 (1024 bits) |
| Método de autenticación | Clave previamente compartida | Clave previamente compartida |
| Algoritmos de cifrado y hash | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| Vigencia de SA | 28.800 segundos | 28.800 segundos |
| Número de SA de modo rápido | 100 | 100 |
Parámetros de la fase 2 de IKE (modo rápido)
| Propiedad | PolicyBased | RouteBased |
|---|---|---|
| Versión de IKE | IKEv1 | IKEv1 e IKEv2 |
| Algoritmos de cifrado y hash | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
Ofertas de SA de QM del tipo routebased |
| Vigencia de SA (tiempo) | 3\.600 segundos | 27 000 segundos |
| Vigencia de SA (bytes) | 102.400.000 KB | 102.400.000 KB |
| Confidencialidad directa perfecta (PFS) | No | Ofertas de SA de QM del tipo routebased |
| Dead Peer Detection (DPD) | No compatible | Compatible |
Ofertas de asociación de seguridad de IPsec (SA de modo rápido de IKE) de VPN del tipo routebased
En la tabla siguiente se enumeran las ofertas de SA de IPsec (modo rápido de IKE). Las ofertas se enumeran en el orden de preferencia en el que se presentan o se aceptan.
Puerta de enlace de Azure como iniciador
| - | Cifrado | Autenticación | Grupo PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | None |
| 2 | AES256 | SHA1 | None |
| 3 | 3DES | SHA1 | None |
| 4 | AES256 | SHA256 | None |
| 5 | AES128 | SHA1 | None |
| 6 | 3DES | SHA256 | None |
Puerta de enlace de Azure como respondedor
| - | Cifrado | Autenticación | Grupo PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | None |
| 2 | AES256 | SHA1 | None |
| 3 | 3DES | SHA1 | None |
| 4 | AES256 | SHA256 | None |
| 5 | AES128 | SHA1 | None |
| 6 | 3DES | SHA256 | None |
| 7 | DES | SHA1 | None |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | None |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- Puede especificar el cifrado IPsec ESP NULL con puertas de enlace de VPN RouteBased y HighPerformance. El cifrado basado en null no proporciona protección de datos en tránsito, solo se debe usar al máximo rendimiento y es necesaria la mínima latencia. Los clientes pueden elegir usarlo en escenarios de comunicación entre redes virtuales o cuando se aplique el cifrado en otra parte de la solución.
- Para la conectividad entre locales mediante Internet, use la configuración predeterminada de la puerta de enlace VPN de Azure con los algoritmos de cifrado y hash de las tablas anteriores para garantizar la seguridad de su comunicación crítica.
Problemas conocidos de compatibilidad de dispositivos
Importante
Estos son los problemas conocidos de compatibilidad entre dispositivos VPN de terceros y puertas de enlace de VPN de Azure. El equipo de Azure está trabajando activamente con los proveedores para solucionar los problemas enumerados aquí. Una vez que se resuelvan, esta página se actualizará con la información más reciente. Consúltela periódicamente.
16 de febrero de 2017
Dispositivos de Palo Alto Networks con una versión anterior a la 7.1.4 para VPN basada en rutas de Azure: si usa dispositivos VPN de Palo Alto Networks con una versión de PAN-OS anterior a la 7.1.4 y experimenta problemas de conectividad a las puertas de enlace de VPN basadas en rutas de Azure, realice los siguientes pasos:
- Compruebe la versión de firmware del dispositivo de Palo Alto Networks. Si su versión de PAN-OS es anterior a la 7.1.4, actualice a esta versión.
- En el dispositivo de Palo Alto Networks, cambie la duración de la fase 2 SA (o SA de modo rápido) a 28 800 segundos (8 horas) al conectarse a la puerta de enlace de VPN de Azure.
- Si sigue experimentando problemas de conectividad, presente una solicitud de soporte técnico desde Azure Portal.