À propos des exigences de chiffrement et des passerelles VPN Azure
Cet article explique comment configurer des passerelles VPN Azure pour satisfaire vos exigences de chiffrement pour les tunnels VPN S2S entre différents locaux et les connexions de réseau virtuel à réseau virtuel dans Azure.
À propos des protocoles IKEv1 et IKEv2 pour les connexions Azure VPN
Jusqu’à présent, nous autorisions les connexions IKEv1 uniquement pour les références SKU De base et nous autorisions les connexions IKEv2 pour toutes les autres références SKU de passerelle VPN. À cause de la limitation des références SKU De base à une seule connexion autorisée et à d’autres limitations comme les performances, les clients qui utilisaient des appareils d’ancienne génération prenant uniquement en charge les protocoles IKEv1 avaient une expérience limitée. Pour améliorer l’expérience des clients utilisant les protocoles IKEv1, nous autorisons maintenant les connexions IKEv1 pour toutes les références SKU de la passerelle VPN, à l’exception du SKU de base. Pour plus d’informations, consultez Références SKU de passerelle VPN. Notez que les passerelles VPN utilisant IKEv1 peuvent rencontrer des reconnexions de tunnel lors des recréations de clé du mode principal.
Lorsque des connexions IKEv1 et IKEv2 sont utilisées pour la même passerelle VPN, le transit entre ces deux connexions est activé automatiquement.
À propos des paramètres de stratégie IPsec et IKE pour les passerelles VPN Azure
La norme de protocole IPsec et IKE standard prend en charge un vaste éventail d’algorithmes de chiffrement dans différentes combinaisons. Si vous n’exigez pas une combinaison spécifique de paramètres et d’algorithmes de chiffrement, les passerelles VPN Azure utilisent un ensemble de propositions par défaut. Les jeux de stratégies par défaut ont été choisis pour optimiser l’interopérabilité avec un large éventail d’appareils VPN tiers dans des configurations par défaut. Par conséquent, les stratégies et le nombre de propositions ne peuvent pas couvrir toutes les combinaisons disponibles d’algorithmes de chiffrement et de puissance de la clé.
Stratégie par défaut
La stratégie par défaut définie pour la passerelle VPN Azure est listée dans l’article : À propos des périphériques VPN et des paramètres IPsec/IKE pour les connexions de passerelle VPN site à site.
Exigences de chiffrement
Pour les communications qui exigent des paramètres ou des algorithmes de chiffrement spécifiques, généralement en raison d’exigences de conformité ou de sécurité, vous pouvez désormais configurer leurs passerelles VPN Azure pour utiliser une stratégie IPsec/IKE personnalisée avec des algorithmes de chiffrement et des puissances de clé spécifiques, à la place des ensembles de stratégies Azure par défaut.
Par exemple, les stratégies du mode principal IKEv2 pour les passerelles VPN Azure utilisent uniquement Diffie-Hellman du groupe 2 (1024 bits), alors que vous devez peut-être spécifier des groupes plus puissants à utiliser dans IKE, tels que le groupe 14 (2048 bits), le groupe 24 (groupe MODP de 2048 bits) ou des groupes ECP (groupes à courbe elliptique) 256 ou 384 bits (groupe 19 et groupe 20, respectivement). Des exigences similaires s’appliquent également aux stratégies de mode rapide IPsec.
Stratégie IPsec/IKE personnalisée avec des passerelles VPN Azure
Les passerelles VPN Azure prennent désormais en charge la stratégie IPsec/IKE personnalisée par connexion. Vous pouvez choisir une combinaison spécifique d’algorithmes de chiffrement pour IPsec et IKE avec la force de clé souhaitée pour une connexion S2S ou de réseau virtuel à réseau virtuel, comme illustré dans l’exemple ci-dessous :
Vous pouvez créer une stratégie IPsec/IKE et l’appliquer à une connexion nouvelle ou existante.
Workflow
- Créer des réseaux virtuels, des passerelles VPN ou des passerelles de réseau local pour votre topologie de connectivité, comme décrit dans d’autres documents de guide pratique.
- Créez une stratégie IPsec/IKE.
- Vous pouvez appliquer la stratégie lorsque vous créez une connexion S2S ou de réseau virtuel à réseau virtuel.
- Si la connexion est déjà créée, vous pouvez appliquer la stratégie ou la mettre à jour sur une connexion existante.
Questions fréquentes (FAQ) relatives à la stratégie IPsec/IKE
La stratégie personnalisée IPsec/IKE est-elle prise en charge sur toutes les références de passerelle VPN Azure ?
La stratégie IPsec/IKE personnalisée est prise en charge sur toutes les références SKU Azure, à l’exception de la référence SKU De base.
Combien de stratégies puis-je spécifier pour une connexion ?
Vous pouvez uniquement spécifier une combinaison de stratégies pour une connexion donnée.
Puis-je spécifier une stratégie partielle pour une connexion ? (Par exemple, uniquement les algorithmes IKE, et non IPsec)
Non, vous devez spécifier tous les algorithmes et paramètres pour IKE (mode principal) et IPsec (mode rapide). Vous n’êtes pas en droit de spécifier de stratégie partielle.
Quels sont les algorithmes et les forces de clé pris en charge dans la stratégie personnalisée ?
Le tableau suivant liste les algorithmes de chiffrement et les puissances de clé pris en charge que vous pouvez configurer. Vous devez sélectionner une option pour chaque champ.
| IPsec/IKEv2 | Options |
|---|---|
| Chiffrement IKEv2 | GCMAES256, GCMAES128, AES256, AES192, AES128 |
| Intégrité IKEv2 | SHA384, SHA256, SHA1, MD5 |
| Groupe DH | DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, Aucun |
| Chiffrement IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Aucun |
| Intégrité IPsec | GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5 |
| Groupe PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Aucun |
| Durée de vie de l’AS en mode rapide | (Facultatif : les valeurs par défaut sont utilisées si aucun valeur n’est indiquée) Secondes (entier ; min 300 /par défaut 27 000 secondes) Kilo-octets (entier ; min 1024 /par défaut 102 400 000 Ko) |
| Sélecteur de trafic | UsePolicyBasedTrafficSelectors** ($True/$False ; facultatif, $False par défaut si aucune valeur n’est indiquée) |
| Expiration DPD | Secondes (entier ; min. 9/max. 3600 ; 45 secondes par défaut) |
La configuration de votre périphérique VPN local doit correspondre aux algorithmes et paramètres suivants, spécifiés dans la stratégie IPsec/IKE Azure ou les contenir :
- Algorithme de chiffrement IKE (Mode principal / Phase 1)
- Algorithme d’intégrité IKE (Mode principal / Phase 1)
- Groupe DH (Mode principal / Phase 1)
- Algorithme de chiffrement IPsec (Mode rapide / Phase 2)
- Algorithme d’intégrité IPsec (Mode rapide / Phase 2)
- Groupe PFS (Mode rapide / Phase 2)
- Sélecteur de trafic (si UsePolicyBasedTrafficSelectors est utilisé)
- Les durées de vie de l’AS sont uniquement des spécifications locales et elles n’ont pas besoin de correspondre.
Si GCMAES est utilisé pour l’algorithme de chiffrement IPsec, vous devez sélectionner le même algorithme GCMAES et la même longueur de clé pour l’intégrité IPsec. Par exemple, en utilisant GCMAES128 pour les deux.
Dans le tableau des algorithmes et des clés :
- IKE correspond au Mode principal ou à la Phase 1.
- IPsec correspond au Mode rapide ou à la Phase 2.
- Groupe DH spécifie le groupe Diffie-Hellman utilisé dans le Mode principal ou à la Phase 1.
- Le Groupe PFS spécifie le Groupe Diffie-Hellmen utilisé dans le Mode rapide ou la Phase 2.
La durée de vie de l’association de sécurité en mode principal IKE est fixée à 28 800 secondes pour les passerelles VPN Azure.
« UsePolicyBasedTrafficSelectors » est un paramètre facultatif sur la connexion. La définition du paramètre UsePolicyBasedTrafficSelectors sur $True sur une connexion a pour effet de configurer la passerelle VPN Azure pour se connecter à un pare-feu VPN basé sur une stratégie en local. Si vous activez UsePolicyBasedTrafficSelectors, vous devez vous assurer que votre périphérique VPN dispose des sélecteurs de trafic correspondant définis avec toutes les combinaisons de préfixes de réseau local (passerelle réseau locale) à destination et à partir des préfixes du réseau virtuel Azure, plutôt que de manière indifférenciée. La passerelle VPN Azure accepte le sélecteur de trafic proposé par la passerelle VPN distante indépendamment de ce qui est configuré sur la passerelle VPN Azure.
Par exemple, si les préfixes de votre réseau local sont 10.1.0.0/16 et 10.2.0.0/16 et si les préfixes de votre réseau virtuel sont 192.168.0.0/16 et 172.16.0.0/16, vous devez spécifier les sélecteurs de trafic suivants :
- 10.1.0.0/16 <====> 192.168.0.0/16
- 10.1.0.0/16 <====> 172.16.0.0/16
- 10.2.0.0/16 <====> 192.168.0.0/16
- 10.2.0.0/16 <====> 172.16.0.0/16
Pour plus d’informations sur les sélecteurs de trafic basés sur une stratégie, voir Connecter plusieurs périphériques VPN basés sur une stratégie locale.
Expiration DPD – La valeur par défaut est de 45 secondes sur les passerelles VPN Azure. Le fait de définir le délai d’expiration sur des périodes plus courtes entraîne un renouvellement de clé IKE de manière plus agressive, qui a pour effet que la connexion apparaît déconnectée dans certains cas. Cela peut ne pas être souhaitable si vos emplacements locaux sont plus éloignés de la région Azure dans laquelle réside la passerelle VPN, ou si la condition de liaison physique risque d’entraîner une perte de paquet. La recommandation générale consiste à définir un délai d’expiration compris entre 30 et 45 secondes.
Pour en savoir plus, consultez la section relative à la connexion de plusieurs appareils VPN basés sur des stratégies locales.
Quels groupes Diffie-Hellman sont pris en charge ?
Le tableau suivant liste les groupes Diffie-Hellman correspondants pris en charge par la stratégie personnalisée :
| Groupe Diffie-Hellman | DHGroup | PFSGroup | Longueur de clé |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | MODP 768 bits |
| 2 | DHGroup2 | PFS2 | MODP 1 024 bits |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | MODP 2 048 bits |
| 19 | ECP256 | ECP256 | ECP 256 bits |
| 20 | ECP384 | ECP384 | ECP 384 bits |
| 24 | DHGroup24 | PFS24 | MODP 2 048 bits |
Reportez-vous à RFC3526 et RFC5114 pour plus d’informations.
La stratégie personnalisée remplace-t-elle les jeux de stratégie IPsec/IKE par défaut pour les passerelles VPN Azure ?
Oui, une fois qu’une stratégie personnalisée est spécifiée pour une connexion, la passerelle VPN Azure utilisera uniquement la stratégie pour la connexion, à la fois en tant qu’initiateur IKE et que répondeur IKE.
Si je supprime une stratégie IPsec/IKE personnalisée, la connexion devient-elle non protégée ?
Non, la connexion restera protégée par IPsec/IKE. Dès que vous supprimez la stratégie personnalisée d’une connexion, la passerelle VPN Azure revient à la liste par défaut de propositions IPsec/IKE et relance la négociation IKE avec votre appareil VPN local.
L’ajout ou la mise à jour d’une stratégie IPsec/IKE risquent-ils de perturber ma connexion VPN ?
Oui, cela pourrait entraîner une courte interruption (de quelques secondes), puisque la passerelle VPN Azure va éliminer la connexion existante et relancer la négociation IKE pour rétablir le tunnel IPsec avec les nouveaux algorithmes de chiffrement et paramètres. Vérifiez que votre appareil VPN local est également configuré avec les algorithmes et les puissances de clé correspondants pour réduire l’interruption.
Puis-je utiliser des stratégies différentes pour des connexions distinctes ?
Oui. Une stratégie personnalisée est appliquée sur une base par connexion. Vous pouvez créer et appliquer des stratégies IPsec/IKE différentes pour des connexions distinctes. Vous pouvez également choisir d’appliquer des stratégies personnalisées pour un sous-ensemble de connexions. Les autres connexions utiliseront les jeux de stratégie IPsec/IKE par défaut d’Azure.
Puis-je également utiliser la stratégie personnalisée pour une connexion entre des réseaux virtuels ?
Oui, vous pouvez appliquer la stratégie personnalisée pour des connexions IPsec entre différents sites locaux ou des connexions entre des réseaux virtuels.
Dois-je spécifier la même stratégie pour les ressources de connexion entre des réseaux virtuels ?
Oui. Un tunnel entre des réseaux virtuels se compose de deux ressources de connexion dans Azure, une pour chaque direction. Assurez-vous que les deux ressources de connexion ont la même stratégie, sinon la connexion de réseau virtuel à réseau virtuel ne pourra pas être établie.
Quelle est la valeur du délai d’expiration DPD par défaut ? Est-ce que je peux spécifier un autre délai d’expiration DPD ?
Le délai d’expiration DPD par défaut est de 45 secondes. Vous pouvez spécifier une autre valeur de délai d’expiration DPD entre 9 et 3 600 secondes sur chaque connexion IPsec ou VNet à VNet.
Notes
La valeur par défaut est de 45 secondes sur les passerelles VPN Azure. Le fait de définir le délai d’expiration sur des périodes plus courtes entraîne un renouvellement de clé IKE de manière plus agressive, qui a pour effet que la connexion apparaît déconnectée dans certains cas. Cela n’est peut-être pas souhaitable si vos emplacements locaux sont plus loin de la région Azure dans laquelle réside la passerelle VPN, ou quand la condition de liaison physique risque d’entraîner une perte de paquets. La recommandation générale est de définir le délai d’expiration entre 30 et 45 secondes.
La stratégie IPsec/IKE est-elle compatible avec une connexion ExpressRoute ?
Non. La stratégie IPsec/IKE est uniquement compatible avec les connexions S2S VPN et entre des réseaux virtuels via les passerelles VPN Azure.
Comment créer des connexions avec le type de protocole IKEv1 ou IKEv2 ?
Les connexions IKEv1 peuvent être créées sur toutes les références SKU de type VPN RouteBased, à l’exception de la référence SKU De base, la référence SKU Standard et autres références SKU héritées. Vous pouvez spécifier un type de protocole de connexion IKEv1 ou IKEv2 lors de la création de connexions. Si vous ne spécifiez pas de type de protocole de connexion, IKEv2 est utilisé comme option par défaut là où c’est applicable. Pour plus d’informations, consultez la documentation de l’applet de commande PowerShell. Pour les types SKU et la prise en charge de IKEv1/IKEv2, consultez Connecter des passerelles à des appareils VPN basés sur des stratégies.
Le transit entre les connexions IKEv1 et IKEv2 est-il autorisé ?
Oui. Le transit entre les connexions IKEv1 et IKEv2 est pris en charge.
Puis-je avoir des connexions de site à site IKEv1 sur les références SKU de base de type VPN RouteBased ?
Non. La référence SKU De base ne le prend pas en charge.
Puis-je changer le type de protocole de connexion une fois la connexion créée (IKEv1 en IKEv2 et vice versa) ?
Non. Une fois la connexion créée, les protocoles IKEv1/IKEv2 ne peuvent pas être changés. Vous devez supprimer et recréer une connexion avec le type de protocole souhaité.
Pourquoi ma connexion IKEv1 se reconnecte-t-elle fréquemment ?
Si votre connexion IKEv1 de routage statique ou basée sur la route est déconnectée à intervalles réguliers, cela est probablement dû au fait que les passerelles VPN ne prennent pas en charge les recréations de clé sur place. En cas de recréation de clé du mode principal, vos tunnels IKEv1 se déconnectent et leur reconnexion prend jusqu’à 5 secondes. La valeur d’expiration du délai d’attente de négociation du mode principal détermine la fréquence de recréation de clé. Pour empêcher ces reconnexions, vous pouvez passer à l’utilisation d’IKEv2, qui prend en charge les recréations de clé sur place.
Si votre connexion se reconnecte à des moments aléatoires, suivez notre guide de résolution des problèmes.
Où trouver les informations et les étapes de configuration ?
Pour plus d’informations et pour connaître les étapes de configuration, consultez les articles suivantes.
- Configurer la stratégie IPsec/IKE pour les connexions S2S ou VNet à VNet - Portail Azure
- Configurer la stratégie IPsec/IKE pour les connexions S2S ou VNet à VNet - Azure PowerShell
Étapes suivantes
Consultez Configurer la stratégie IPsec/IKE pour obtenir des instructions détaillées sur la configuration d’une stratégie IPsec/IKE personnalisée sur une connexion.
Consultez aussi Connecter plusieurs appareils VPN en fonction de stratégies pour en savoir plus sur l’option UsePolicyBasedTrafficSelectors.