Tentang perangkat VPN dan parameter IPsec/IKE untuk koneksi Gateway VPN Situs-ke-Situs
Perangkat VPN diperlukan untuk mengonfigurasi koneksi VPN lintas Site-to-Site (S2S) menggunakan gateway VPN. Koneksi site-to-site dapat digunakan untuk membuat solusi hibrid, atau kapan pun Anda menginginkan koneksi aman antara jaringan lokal Anda dan jaringan virtual Anda. Artikel ini menyediakan daftar perangkat VPN yang divalidasi dan daftar parameter IPsec/IKE untuk gateway VPN.
Penting
Jika Anda mengalami masalah konektivitas antara perangkat VPN lokal dan gateway VPN Anda, lihat Masalah kompatibilitas perangkat yang diketahui.
Item yang perlu diperhatikan saat menampilkan tabel:
- Ada perubahan terminologi gateway VPN Azure. Hanya nama-nama yang telah berubah. Tidak ada perubahan fungsionalitas.
- Perutean Statis = PolicyBased
- Perutean Dinamis = RouteBased
- Spesifikasi untuk gateway VPN HighPerformance dan gateway VPN RouteBased sama, kecuali dinyatakan lain. Misalnya, perangkat VPN yang divalidasi yang kompatibel dengan gateway VPN RouteBased juga kompatibel dengan gateway VPN HighPerformance.
Perangkat VPN tervalidasi dan panduan konfigurasi perangkat
Dalam kemitraan dengan vendor perangkat, kami telah memvalidasi seperangkat perangkat VPN standar. Semua perangkat dalam keluarga perangkat dalam daftar berikut ini harus berfungsi dengan gateway VPN. Ini adalah algoritma yang direkomendasikan untuk konfigurasi perangkat Anda.
| Algoritma yang Direkomendasikan | Enkripsi | Integritas | Grup DH |
|---|---|---|---|
| IKE | AES256 | SHA256 | DH2 |
| IPSec | AES256GCM | AES256GCM | Tidak |
Untuk membantu mengonfigurasi perangkat VPN Anda, lihat tautan yang sesuai dengan keluarga perangkat yang sesuai. Tautan ke instruksi konfigurasi disediakan berdasarkan upaya terbaik dan default yang tercantum dalam panduan konfigurasi tidak perlu berisi algoritma kriptografi terbaik. Untuk dukungan perangkat VPN, hubungi produsen perangkat Anda.
| Vendor | Kelompok perangkat | Versi OS minimum | Instruksi konfigurasi PolicyBased | Instruksi konfigurasi RouteBased |
|---|---|---|---|---|
| Jaringan A10, Inc. | Guntur CFW | ACOS 4.1.1 | Tidak kompatibel | Panduan konfigurasi |
| AhnLab | TrusGuard | TG 2.7.6 TG 3.5.x |
Tidak diuji | Panduan konfigurasi |
| Allied Telesis | Router VPN Seri AR | Seri AR 5.4.7+ | Panduan konfigurasi | Panduan konfigurasi |
| Arista | CloudEOS Router | vEOS 4.24.0FX | Tidak diuji | Panduan konfigurasi |
| Barracuda Networks, Inc. | Barracuda CloudGen Firewall | PolicyBased: 5.4.3 RouteBased: 6.2.0 |
Panduan konfigurasi | Panduan konfigurasi |
| Check Point | Gateway Keamanan | R80.10 | Panduan konfigurasi | Panduan konfigurasi |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
Didukung | Panduan konfigurasi* |
| Cisco | ASR | PolicyBased: IOS 15.1 RouteBased: IOS 15.2 |
Didukung | Didukung |
| Cisco | CSR | RouteBased: IOS 16.10 | Tidak diuji | Skrip konfigurasi |
| Cisco | ISR | PolicyBased: IOS 15.0 RouteBased*: IOS 15.1 |
Didukung | Didukung |
| Cisco | Meraki (MX) | MX v15.12 | Tidak kompatibel | Panduan konfigurasi |
| Cisco | vEdge (OS Viptela) | 18.4.0 (Mode Aktif/Pasif) | Tidak kompatibel | Konfigurasi manual (Aktif/Pasif) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 dan yang lebih baru | Panduan konfigurasi | Tidak kompatibel |
| F5 | Seri BIG-IP | 12.0 | Panduan konfigurasi | Panduan konfigurasi |
| Fortinet | FortiGate | FortiOS 5.6 | Tidak diuji | Panduan konfigurasi |
| Fujitsu | Seri Si-R G | V04: V04.12 V20: V20.14 |
Panduan konfigurasi | Panduan konfigurasi |
| Jaringan Hillstone | Next-Gen Firewalls (NGFW) | 5.5R7 | Tidak diuji | Panduan konfigurasi |
| HPE Aruba | Edge Koneksi Gateway SDWAN | Rilis ECOS v9.2 Orchestrator OS v9.2 |
Panduan konfigurasi | Panduan konfigurasi |
| Internet Initiative Japan (IIJ) | Seri SEIL | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Panduan konfigurasi | Tidak kompatibel |
| Juniper | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
Didukung | Skrip konfigurasi |
| Juniper | Seri-J | PolicyBased: JunOS 10.4r9 Routebased: JunOS 11.4 |
Didukung | Skrip konfigurasi |
| Juniper | ISG | ScreenOS 6.3 | Didukung | Skrip konfigurasi |
| Juniper | SSG | ScreenOS 6.2 | Didukung | Skrip konfigurasi |
| Juniper | MX | JunOS 12.x | Didukung | Skrip konfigurasi |
| Microsoft | Layanan Perutean dan Akses Jarak jauh | Windows Server 2012 | Tidak kompatibel | Didukung |
| Sistem Terbuka AG | Gateway Keamanan Kontrol Misi | T/A | Didukung | Tidak kompatibel |
| Jaringan Palo Alto | Semua perangkat yang menjalankan PAN-OS | PAN-OS PolicyBased: 6.1.5 atau yang lebih baru RouteBased: 7.1.4 |
Didukung | Panduan konfigurasi |
| Sentrium (Pengembang) | VyOS | Vyos 1.2.2 | Tidak diuji | Panduan konfigurasi |
| ShareTech | Next Generation UTM (seri NU) | 9.0.1.3 | Tidak kompatibel | Panduan konfigurasi |
| SonicWall | Seri TZ, Seri NSA Seri SuperMassive Seri NSA E-Class |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Tidak kompatibel | Panduan konfigurasi |
| Sophos | XG Next Gen Firewall | XG v17 | Tidak diuji | Panduan konfigurasi Panduan konfigurasi - Beberapa SAs |
| Sinologi | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Tidak diuji | Panduan konfigurasi |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 | Tidak diuji | BGP melalui IKEv2/IPsec VTI melalui IKEv2/IPsec |
| Ultra | 3E-636L3 | 5.2.0.T3 Build-13 | Tidak diuji | Panduan konfigurasi |
| WatchGuard | Semua | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
Panduan konfigurasi | Panduan konfigurasi |
| Zyxel | Seri USG ZyWALL Seri ATP ZyWALL Seri VPN ZyWALL |
ZLD v4.32+ | Tidak diuji | VTI melalui IKEv2/IPsec BGP melalui IKEv2/IPsec |
Catatan
(*) Cisco ASA versi 8.4+ menambahkan dukungan IKEv2, dapat terhubung ke gateway Azure VPN menggunakan kebijakan IPsec /IKE kustom dengan opsi "UsePolicyBasedTrafficSelectors". Lihat artikel cara ini.
(**) Rute ISR 7200 Series hanya mendukung VPN PolicyBased.
Unduh skrip konfigurasi perangkat VPN dari Azure
Untuk perangkat tertentu, Anda dapat mengunduh skrip konfigurasi langsung dari Azure. Untuk informasi selengkapnya dan petunjuk unduhan, lihat Mengunduh skrip konfigurasi perangkat VPN.
Perangkat VPN yang tidak valid
Jika Anda tidak melihat perangkat Anda tercantum dalam tabel Perangkat VPN tervalidasi, perangkat Anda mungkin masih berfungsi dengan koneksi Situs-ke-Situs. Hubungi produsen perangkat untuk mendapatkan dukungan dan petunjuk konfigurasi.
Mengedit sampel konfigurasi perangkat
Setelah Mengunduh sampel konfigurasi perangkat VPN yang disediakan, Anda harus mengganti beberapa nilai untuk mencerminkan pengaturan untuk lingkungan Anda.
Untuk mengedit sampel:
- Buka sampel menggunakan Notepad.
- Cari dan ganti semua untai <teks> dengan nilai yang berkaitan dengan lingkungan Anda. Pastikan untuk menyertakan < dan >. Ketika nama ditentukan, nama yang Anda pilih harus unik. Jika perintah tidak berfungsi, lihat dokumentasi produsen perangkat.
| Contoh teks | Mengubah |
|---|---|
| <RP_OnPremisesNetwork> | Nama yang Anda pilih untuk obyek ini. Contoh: myOnPremisesNetwork |
| <RP_AzureNetwork> | Nama yang Anda pilih untuk obyek ini. Contoh: myAzureNetwork |
| <RP_AccessList> | Nama yang Anda pilih untuk obyek ini. Contoh: myAzureAccessList |
| <RP_IPSecTransformSet> | Nama yang Anda pilih untuk obyek ini. Contoh: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | Nama yang Anda pilih untuk obyek ini. Contoh: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | Tentukan rentang. Contoh: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Tentukan subnet mask. Contoh: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Tentukan rentang lokal. Contoh: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | Tentukan subnet mask lokal. Contoh: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Informasi ini khusus untuk jaringan virtual Anda dan terletak di Portal Manajemen sebagai alamat IP Gateway. |
| <SP_PresharedKey> | Informasi ini khusus untuk jaringan virtual Anda dan terletak di Portal Manajemen sebagai Kelola Kunci. |
Parameter IPsec/IKE default
Tabel berikut berisi kombinasi algoritma dan parameter yang digunakan gateway VPN Azure dalam konfigurasi default (Kebijakan default). Untuk gateway VPN berbasis rute yang dibuat menggunakan model penyebaran Azure Resource Management, Anda dapat menentukan kebijakan kustom pada setiap koneksi individual. Lihat Mengonfigurasi kebijakan IPsec/IKE untuk petunjuk terperinci.
Selain itu, Anda harus menjepit TCP MSS di 1350. Atau, jika perangkat VPN Anda tidak mendukung clamping MSS, Anda dapat mengatur MTU pada antarmuka terowongan ke 1400 byte sebagai gantinya.
Dalam tabel berikut ini:
- SA = Asosiasi Keamanan
- IKE Fase 1 juga disebut "Mode Utama"
- IKE Fase 2 juga disebut "Mode Cepat"
Parameter IKE Fase 1 (Mode Utama)
| Properti | PolicyBased | RouteBased |
|---|---|---|
| Versi IKE | IKEv1 | IKEv1 dan IKEv2 |
| Grup Diffie-Hellman | Grup 2 (1024 bit) | Grup 2 (1024 bit) |
| Metode autentikasi | Kunci Pra-Bagi | Kunci Pra-Bagi |
| Enkripsi & Algoritma Hashing | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| Umur hidup SA | 28.800 detik | 28.800 detik |
| Jumlah Mode Cepat SA | 100 | 100 |
Parameter IKE Fase 2 (Mode Cepat)
| Properti | PolicyBased | RouteBased |
|---|---|---|
| Versi IKE | IKEv1 | IKEv1 dan IKEv2 |
| Enkripsi & Algoritma Hashing | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
Penawaran RouteBased QM SA |
| Umur Hidup SA (Waktu) | 3.600 detik | 27.000 detik |
| Umur hidup SA (Byte) | 102,400,000 KB | 102,400,000 KB |
| Kerahasiaan Maju Sempurna (PFS) | No | Penawaran RouteBased QM SA |
| Deteksi Sejawat Mati (DPD) | Tidak didukung | Didukung |
Penawaran Asosiasi Keamanan IPsec VPN RouteBased (Mode cepat IKE SA)
Tabel berikut ini mencantumkan Penawaran IPsec SA (Mode cepat IKE). Penawaran dicantumkan urutan preferensi penawaran disajikan atau diterima.
Azure Gateway sebagai inisiator
| - | Enkripsi | Autentikasi | Grup PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Tidak |
| 2 | AES256 | SHA1 | Tidak |
| 3 | 3DES | SHA1 | Tidak |
| 4 | AES256 | SHA256 | Tidak |
| 5 | AES128 | SHA1 | Tidak |
| 6 | 3DES | SHA256 | Tidak |
Azure Gateway sebagai responder
| - | Enkripsi | Autentikasi | Grup PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Tidak |
| 2 | AES256 | SHA1 | Tidak |
| 3 | 3DES | SHA1 | Tidak |
| 4 | AES256 | SHA256 | Tidak |
| 5 | AES128 | SHA1 | Tidak |
| 6 | 3DES | SHA256 | Tidak |
| 7 | DES | SHA1 | Tidak |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | Tidak |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- Anda dapat menentukan enkripsi IPsec ESP NULL dengan gateway VPN RouteBased dan HighPerformance. Enkripsi berbasis null tidak memberikan perlindungan pada data saat transit, dan hanya boleh digunakan ketika throughput maksimum dan latensi minimum diperlukan. Klien mungkin memilih untuk menggunakan ini dalam skenario komunikasi VNet-ke-VNet, atau ketika enkripsi diterapkan di tempat lain dalam solusi.
- Untuk konektivitas lintas lokasi melalui Internet, gunakan pengaturan gateway VPN Azure default dengan algoritma enkripsi dan hash yang tercantum dalam tabel sebelumnya untuk memastikan keamanan komunikasi penting Anda.
Masalah kompatibilitas perangkat yang diketahui
Penting
Ini adalah masalah kompatibilitas yang diketahui antara perangkat VPN pihak ketiga dan gateway VPN Azure. Tim Azure secara aktif bekerja sama dengan vendor untuk mengatasi masalah yang tercantum di sini. Setelah masalah diselesaikan, halaman ini akan diperbarui dengan informasi terbaru. Silakan periksa kembali secara berkala.
16 Feb 2017
Perangkat Palo Alto Networks dengan versi sebelum 7.1.4 untuk VPN berbasis rute Azure: Jika Anda menggunakan perangkat VPN dari Palo Alto Networks dengan versi PAN-OS sebelum 7.1.4 dan mengalami masalah konektivitas ke gateway VPN berbasis rute Azure, lakukan langkah-langkah berikut:
- Periksa versi firmware perangkat Palo Alto Networks Anda. Jika versi PAN-OS Anda lebih lama dari 7.1.4, tingkatkan ke 7.1.4.
- Pada perangkat Palo Alto Networks, ubah masa pakai Fase 2 SA (atau Quick Mode SA) menjadi 28.800 detik (8 jam) saat menyambungkan ke gateway VPN Azure.
- Jika Anda masih mengalami masalah konektivitas, buka permintaan dukungan dari portal Azure.