About VPN devices and IPsec/IKE parameters for Site-to-Site VPN Gateway connections
Létesítmények közötti, VPN-átjárót használó S2S VPN-kapcsolat konfigurálásához VPN-eszközre van szükség. A helyek közötti kapcsolat segítségével hibrid megoldást hozhat létre, illetve biztonságossá teheti a kapcsolatot a helyszíni és a virtuális hálózatok között. Ez a cikk ellenőrzött VPN-eszközök listáját, valamint a VPN-átjárók IPsec-/IKE-paramétereinek listáját tartalmazza.
Fontos
Ha problémákat tapasztal a helyszíni VPN-eszközök és a VPN-átjárók közötti kapcsolatban, tekintse meg az ismert eszközkompatibilitási problémákkal kapcsolatos szakaszt.
A táblák megtekintésekor figyelembe veendő elemek:
- Az Azure VPN Gateway esetében terminológiai változás történt. Csak a nevek változtak. A funkciók nem változnak.
- Statikus útválasztás = Házirendalapú
- Dinamikus útválasztás = Útvonalalapú
- A nagy teljesítményű (HighPerformance) és az útvonalalapú (RouteBased) VPN-átjárók specifikációi azonosak, hacsak a szöveg másként nem jelzi. Például az útvonalalapú VPN-átjárókkal kompatibilis, ellenőrzött VPN-eszközök a nagy teljesítményű VPN-átjárókkal is kompatibilisek lesznek.
Ellenőrzött VPN-eszközök és eszközkonfigurációs útmutatók
Eszközszállítói partnereinkkel különböző standard VPN-eszközöket ellenőriztünk. Az alábbi listában szereplő eszközcsaládokban megtalálható összes eszköz kompatibilis a VPN-átjárókkal. Ezek az eszközkonfigurációhoz ajánlott algoritmusok.
| Ajánlott algoritmusok | Titkosítások | Integritás | DH-csoport |
|---|---|---|---|
| IKE | AES256 | SHA256 | DH2 |
| IPsec | AES256GCM | AES256GCM | None |
A VPN-eszköz konfigurálásához tekintse meg a megfelelő eszközcsaládnak megfelelő hivatkozásokat. A konfigurációs utasításokra mutató hivatkozások a legjobb munkamennyiség alapján vannak megadva, és a konfigurációs útmutatóban felsorolt alapértelmezett értékeknek nem kell tartalmazniuk a legjobb titkosítási algoritmusokat. A VPN-eszközök támogatásával kapcsolatban lépjen kapcsolatba az eszköze gyártójával.
| Szállító | Eszközcsalád | Operációs rendszer minimális verziója | Házirendalapú konfigurációs utasítások | Útválasztó-alapú konfigurációs utasítások |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | Nem kompatibilis | Konfigurációs útmutató |
| Ahnlab | TrusGuard | TG 2.7.6 TG 3.5.x |
Nincs tesztelve | Konfigurációs útmutató |
| Allied Telesis | AR sorozatú VPN-útválasztók | AR-Series 5.4.7+ | Konfigurációs útmutató | Konfigurációs útmutató |
| Arista | CloudEOS-útválasztó | vEOS 4.24.0FX | Nincs tesztelve | Konfigurációs útmutató |
| Barracuda Networks, Inc. | Barracuda CloudGen tűzfal | Házirendalapú: 5.4.3 Útvonalalapú: 6.2.0 |
Konfigurációs útmutató | Konfigurációs útmutató |
| Ellenőrzőpont | Biztonsági átjáró | R80.10 | Konfigurációs útmutató | Konfigurációs útmutató |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
Supported | Konfigurációs útmutató* |
| Cisco | ASR | Házirendalapú: IOS 15.1 Útvonalalapú: IOS 15.2 |
Támogatott | Támogatott |
| Cisco | CSR | RouteBased: IOS-XE 16.10 | Nincs tesztelve | Konfigurációs szkript |
| Cisco | ISR | Házirendalapú: IOS 15.0 Útvonalalapú*: IOS 15.1 |
Támogatott | Támogatott |
| Cisco | Meraki (MX) | MX v15.12 | Nem kompatibilis | Konfigurációs útmutató |
| Cisco | vEdge (Viptela OS) | 18.4.0 (Aktív/passzív mód) | Nem kompatibilis | Manuális konfiguráció (aktív/passzív) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 és újabb verziók | Konfigurációs útmutató | Nem kompatibilis |
| F5 | BIG-IP sorozat | 12.0 | Konfigurációs útmutató | Konfigurációs útmutató |
| Fortinet | FortiGate | FortiOS 5.6 | Nincs tesztelve | Konfigurációs útmutató |
| Fujitsu | Si-R G sorozat | V04: V04.12 V20: V20.14 |
Konfigurációs útmutató | Konfigurációs útmutató |
| Hillstone Networks | Next-Gen tűzfalak (NGFW) | 5.5R7 | Nincs tesztelve | Konfigurációs útmutató |
| HPE Aruba | Edge Csatlakozás SDWAN-átjáró | ECOS Release v9.2 Orchestrator OS v9.2 |
Konfigurációs útmutató | Konfigurációs útmutató |
| Internet Initiative Japan (IIJ) | SEIL sorozat | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Konfigurációs útmutató | Nem kompatibilis |
| Juniper | SRX | Házirendalapú: JunOS 10.2 Útvonalalapú: JunOS 11.4 |
Supported | Konfigurációs szkript |
| Juniper | J sorozat | Házirendalapú: JunOS 10.4r9 Útvonalalapú: JunOS 11.4 |
Supported | Konfigurációs szkript |
| Juniper | ISG | ScreenOS 6.3 | Supported | Konfigurációs szkript |
| Juniper | SSG | ScreenOS 6.2 | Supported | Konfigurációs szkript |
| Juniper | MX | JunOS 12.x | Supported | Konfigurációs szkript |
| Microsoft | Útválasztás és távelérés szolgáltatás | Windows Server 2012 | Nem kompatibilis | Supported |
| Open Systems AG | Mission Control biztonsági átjáró | N/A | Supported | Nem kompatibilis |
| Palo Alto Networks | Az összes PAN-OS rendszert futtató eszköz | PAN-OS Házirendalapú: 6.1.5 vagy újabb Útvonalalapú: 7.1.4 |
Supported | Konfigurációs útmutató |
| Sentrium (fejlesztő) | VyOS | VyOS 1.2.2 | Nincs tesztelve | Konfigurációs útmutató |
| ShareTech | Következő generációs UTM (NU sorozat) | 9.0.1.3 | Nem kompatibilis | Konfigurációs útmutató |
| SonicWall | TZ sorozat, NSA sorozat SuperMassive sorozat E-Class NSA sorozat |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Nem kompatibilis | Konfigurációs útmutató |
| Sophos | XG Next Gen tűzfal | XG v17 | Nincs tesztelve | Konfigurációs útmutató Konfigurációs útmutató – Több SA |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Nincs tesztelve | Konfigurációs útmutató |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 | Nincs tesztelve | BGP IKEv2/IPsec-en keresztül VTI az IKEv2/IPsec protokollon keresztül |
| Ultra | 3E-636L3 | 5.2.0.T3 Build-13 | Nincs tesztelve | Konfigurációs útmutató |
| WatchGuard | Mind | Fireware XTM Házirendalapú: v11.11.x Útvonalalapú: v11.12.x |
Konfigurációs útmutató | Konfigurációs útmutató |
| Zyxel | ZyWALL USG sorozat ZyWALL ATP-sorozat ZyWALL VPN-sorozat |
ZLD v4.32+ | Nincs tesztelve | VTI az IKEv2/IPsec protokollon keresztül BGP IKEv2/IPsec-en keresztül |
Megjegyzés:
(*) A CISCO ASA 8.4 és újabb verziói biztosítják az IKEv2-támogatást, valamint képesek csatlakozni egy Azure VPN-átjáróhoz egyéni IPsec/Internetes kulcscsere-házirend és a „UsePolicyBasedTrafficSelectors” beállítás használatával. További információkat ebben a részletes útmutatóban olvashat.
(**) Az ISR 7200 sorozatba tartozó útválasztók csak a házirendalapú VPN-eket támogatják.
VPN-eszközkonfigurációs szkriptek letöltése az Azure-ból
Bizonyos eszközök esetében a konfigurációs szkripteket közvetlenül az Azure-ból töltheti le. További információkért és a letöltési utasításokért tekintse meg a VPN-eszközök konfigurációs szkriptjeinek letöltését ismertető cikket.
Nem megbízható VPN-eszközök
Ha nem látja az eszközét az Érvényesített VPN-eszközök táblában, előfordulhat, hogy az eszköz továbbra is működik helyek közötti kapcsolattal. Támogatási és konfigurációs utasításokért forduljon az eszköz gyártójához.
Az eszköz konfigurációs mintáinak szerkesztése
A megadott VPN-eszközkonfigurációs minta letöltését követően egyes értékeket a környezeti beállításoknak megfelelően le kell cserélni.
A minta szerkesztéséhez tegye a következőket:
- Nyissa meg a mintát a Jegyzettömb alkalmazásban.
- Keressen és cserélje le az összes <szöveges> sztringet a környezetére vonatkozó értékekre. Ügyeljen arra, hogy belefoglalja < és >. A név megadásakor a kiválasztott névnek egyedinek kell lennie. Ha egy parancs nem működik, tekintse meg az eszköz gyártójának dokumentációját.
| Szövegminta | Módosítsa a következőre: |
|---|---|
| <RP_OnPremisesNetwork> | Az objektum választott neve. Például: myOnPremisesNetwork |
| <RP_AzureNetwork> | Az objektum választott neve. Például: myAzureNetwork |
| <RP_AccessList> | Az objektum választott neve. Például: myAzureAccessList |
| <RP_IPSecTransformSet> | Az objektum választott neve. Például: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | Az objektum választott neve. Például: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | Adja meg a tartományt. Példa: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Adja meg az alhálózati maszkot. Példa: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Adja meg a helyszíni tartományt. Példa: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | Adja meg a helyszíni alhálózati maszkot. Példa: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Ez az információ kifejezetten az Ön virtuális hálózatára vonatkozik, és a felügyeleti portálon az átjáró IP-címe név alatt található meg. |
| <SP_PresharedKey> | Ez az információ kifejezetten az Ön virtuális hálózatára vonatkozik, és a felügyeleti portálon a Kulcskezelés cím alatt található meg. |
Alapértelmezett IPsec/IKE-paraméterek
Az alábbi táblázatok az Azure VPN-átjárók által az alapértelmezett konfigurációban (alapértelmezett szabályzatokban) használt algoritmusok és paraméterek kombinációját tartalmazzák. Az Azure Resource Management üzembehelyezési modelljének használatával létrehozott, útvonalalapú VPN-átjárók esetében minden egyes kapcsolathoz külön egyéni szabályzatok adhatók meg. Részletes útmutatásért tekintse meg az IPsec/IKE-szabályzat konfigurálását.
Emellett a TCP MSS-t 1350-nél kell rögzítenie. Vagy ha a VPN-eszközök nem támogatják az MSS-befogást, az alagút interfészén lévő MTU-t is beállíthatja 1400 bájtra.
A következő táblázatokban:
- SA = Biztonsági társítás
- Az IKE 1. fázis másik elnevezése: „Main Mode” (Elsődleges mód)
- Az IKE 2. fázis másik elnevezése: „Quick Mode” (Gyors mód)
Az IKE 1. fázis (Elsődleges mód) paraméterei
| Property | Házirendalapú | Útvonalalapú |
|---|---|---|
| IKE verziószám | IKEv1 | IKEv1 és IKEv2 |
| Diffie-Hellman csoport | 2. csoport (1024 bites) | 2. csoport (1024 bites) |
| Authentication Method | Előre megosztott kulcs | Előre megosztott kulcs |
| Titkosító és kivonatoló algoritmus | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| SA élettartama | 28 800 másodperc | 28 800 másodperc |
| Gyors módú sa száma | 100 | 100 |
Az IKE 2. fázis (Gyors mód) paraméterei
| Property | Házirendalapú | Útvonalalapú |
|---|---|---|
| IKE verziószám | IKEv1 | IKEv1 és IKEv2 |
| Titkosító és kivonatoló algoritmus | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
Útvonalalapú QM SA ajánlatok |
| SA élettartama (Idő) | 3 600 másodperc | 27 000 másodperc |
| SA élettartama (bájt) | 102 400 000 kB | 102 400 000 kB |
| Sérülés utáni titkosságvédelem (PFS) | Nem | Útvonalalapú QM SA ajánlatok |
| Kapcsolat megszakadásának észlelése (DPD) | Nem támogatott | Támogatott |
Útvonalalapú VPN IPsec biztonsági társítás (IKE – gyors mód SA) ajánlatai
Az alábbi táblázat felsorolja az IPsec SA (IKE – gyors mód) ajánlatait. Az ajánlatok prioritási sorrendben vannak felsorolva a választáshoz.
Azure-átjáró, mint kezdeményező
| - | Titkosítás | Hitelesítés | PFS-csoport |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | None |
| 2 | AES256 | SHA1 | None |
| 3 | 3DES | SHA1 | None |
| 4 | AES256 | SHA256 | None |
| 5 | AES128 | SHA1 | None |
| 6 | 3DES | SHA256 | None |
Azure-átjáró, mint válaszadó
| - | Titkosítás | Hitelesítés | PFS-csoport |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | None |
| 2 | AES256 | SHA1 | None |
| 3 | 3DES | SHA1 | None |
| 4 | AES256 | SHA256 | None |
| 5 | AES128 | SHA1 | None |
| 6 | 3DES | SHA256 | None |
| 7 | DES | SHA1 | None |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | None |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- Az IPsec ESP NULL titkosítás útvonalalapú és nagy teljesítményű VPN-átjárók segítségével adható meg. A null alapú titkosítás nem nyújt védelmet az átvitt adatok számára, és csak akkor használható, ha maximális átviteli sebességre és minimális késésre van szükség. Az ügyfelek dönthetnek úgy, hogy ezt virtuális hálózatok közötti kommunikációs forgatókönyvekben használják, vagy ha a titkosítást a megoldás más részein alkalmazzák.
- Az interneten keresztüli helyszíni kapcsolatokhoz használja az Azure VPN Gateway alapértelmezett beállításait az előző táblázatokban felsorolt titkosítási és kivonatolási algoritmusokkal a kritikus kommunikáció biztonságának biztosítása érdekében.
Ismert eszközkompatibilitási problémák
Fontos
Ezek az ismert kompatibilitási problémák a külső gyártótól származó VPN-eszközök és az Azure VPN-átjárók között merülhetnek fel. Az Azure csapata folyamatosan együttműködik a szállítókkal az itt felsorolt problémák megoldása érdekében. A hibák kijavítása után ez az oldal frissül a legfrissebb információkkal. Kérjük, időnként látogasson vissza ide.
2017. február 16.
Palo Alto Networks-eszközök a 7.1.4-es verzió előtt az Azure-beli útvonalalapú VPN-hez: Ha a Palo Alto Networksből származó VPN-eszközöket a 7.1.4-es verzió előtti PAN-OS verzióval használja, és csatlakozási problémákat tapasztal az Azure útvonalalapú VPN-átjáróival, hajtsa végre az alábbi lépéseket:
- Ellenőrizze a Palo Alto Networks-eszköz belső vezérlőprogramjának verzióját. Ha a PAN-OS verziója a 7.1.4-esnél régebbi, frissítsen a 7.1.4-es verzióra.
- A Palo Alto Networks-eszközön módosítsa a 2. fázisú biztonsági társítás (Gyorsmódú biztonsági társítás) élettartamát 28 800 másodpercre (8 órára) az Azure-beli VPN-átjáróhoz való csatlakozáskor.
- Ha továbbra is csatlakozási problémákat tapasztal, nyisson meg egy támogatási kérést az Azure Portalról.