Tentang perangkat VPN dan parameter IPsec/IKE untuk koneksi Gateway VPN Situs-ke-Situs
Perangkat VPN diperlukan untuk mengonfigurasi koneksi VPN lintas Site-to-Site (S2S) menggunakan gateway VPN. Koneksi site-to-site dapat digunakan untuk membuat solusi hibrid, atau kapan pun Anda menginginkan koneksi aman antara jaringan lokal Anda dan jaringan virtual Anda. Artikel ini menyediakan daftar perangkat VPN yang divalidasi dan daftar parameter IPsec/IKE untuk gateway VPN.
Penting
Jika Anda mengalami masalah konektivitas antara perangkat VPN lokal dan gateway VPN Anda, lihat Masalah kompatibilitas perangkat yang diketahui.
Item yang perlu diperhatikan saat menampilkan tabel:
- Ada perubahan terminologi gateway VPN Azure. Hanya nama-nama yang telah berubah. Tidak ada perubahan fungsionalitas.
- Perutean Statis = PolicyBased
- Perutean Dinamis = RouteBased
- Spesifikasi untuk gateway VPN HighPerformance dan gateway VPN RouteBased sama, kecuali dinyatakan lain. Misalnya, perangkat VPN yang divalidasi yang kompatibel dengan gateway VPN RouteBased juga kompatibel dengan gateway VPN HighPerformance.
Perangkat VPN yang divalidasi dan panduan konfigurasi perangkat
Dalam kemitraan dengan vendor perangkat, kami telah memvalidasi seperangkat perangkat VPN standar. Semua perangkat dalam keluarga perangkat dalam daftar berikut ini harus berfungsi dengan gateway VPN. Lihat Tentang Pengaturan VPN Gateway untuk memahami penggunaan tipe VPN (PolicyBased atau RouteBased) untuk solusi VPN Gateway yang ingin Anda konfigurasi.
Untuk membantu mengonfigurasi perangkat VPN Anda, lihat tautan yang sesuai dengan keluarga perangkat yang sesuai. Tautan ke instruksi konfigurasi disediakan berdasarkan upaya terbaik. Untuk dukungan perangkat VPN, hubungi produsen perangkat Anda.
| Vendor | Rangkaian perangkat | Versi OS minimum | Instruksi konfigurasi PolicyBased | Instruksi konfigurasi RouteBased |
|---|---|---|---|---|
| Jaringan A10, Inc. | Guntur CFW | ACOS 4.1.1 | Tidak kompatibel | Panduan konfigurasi |
| AhnLab | TrusGuard | TG 2.7.6 TG 3.5.x |
Tidak diuji | Panduan konfigurasi |
| Allied Telesis | Router VPN Seri AR | Seri AR 5.4.7+ | Panduan konfigurasi | Panduan konfigurasi |
| Arista | CloudEOS Router | vEOS 4.24.0FX | Tidak diuji | Panduan konfigurasi |
| Barracuda Networks, Inc. | Barracuda CloudGen Firewall | PolicyBased: 5.4.3 RouteBased: 6.2.0 |
Panduan konfigurasi | Panduan konfigurasi |
| Check Point | Gateway Keamanan | R80.10 | Panduan konfigurasi | Panduan konfigurasi |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
Didukung | Panduan konfigurasi* |
| Cisco | ASR | PolicyBased: IOS 15.1 RouteBased: IOS 15.2 |
Didukung | Didukung |
| Cisco | CSR | RouteBased: IOS 16.10 | Tidak diuji | Skrip konfigurasi |
| Cisco | ISR | PolicyBased: IOS 15.0 RouteBased*: IOS 15.1 |
Didukung | Didukung |
| Cisco | Meraki (MX) | MX v15.12 | Tidak kompatibel | Panduan konfigurasi |
| Cisco | vEdge (OS Viptela) | 18.4.0 (Mode Aktif/Pasif) 19.2 (Mode Aktif/Pasif) |
Tidak kompatibel | Konfigurasi manual (Aktif/Pasif) Konfigurasi Cloud Onramp (Aktif/Aktif) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 ke atas | Panduan konfigurasi | Tidak kompatibel |
| F5 | Seri BIG-IP | 12.0 | Panduan konfigurasi | Panduan konfigurasi |
| Fortinet | FortiGate | FortiOS 5.6 | Tidak diuji | Panduan konfigurasi |
| Fujitsu | Seri Si-R G | V04: V04.12 V20: V20.14 |
Panduan konfigurasi | Panduan konfigurasi |
| Jaringan Hillstone | Next-Gen Firewalls (NGFW) | 5.5R7 | Tidak diuji | Panduan konfigurasi |
| Internet Initiative Japan (IIJ) | Seri SEIL | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Panduan konfigurasi | Tidak kompatibel |
| Juniper | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
Didukung | Skrip konfigurasi |
| Juniper | Seri-J | PolicyBased: JunOS 10.4r9 Routebased: JunOS 11.4 |
Didukung | Skrip konfigurasi |
| Juniper | ISG | ScreenOS 6.3 | Didukung | Skrip konfigurasi |
| Juniper | SSG | ScreenOS 6.2 | Didukung | Skrip konfigurasi |
| Juniper | MX | JunOS 12.x | Didukung | Skrip konfigurasi |
| Microsoft | Layanan Perutean dan Akses Jarak jauh | Windows Server 2012 | Tidak kompatibel | Didukung |
| Sistem Terbuka AG | Gateway Keamanan Kontrol Misi | T/A | Panduan konfigurasi | Tidak kompatibel |
| Jaringan Palo Alto | Semua perangkat yang menjalankan PAN-OS | PAN-OS PolicyBased: 6.1.5 atau yang lebih baru RouteBased: 7.1.4 |
Didukung | Panduan konfigurasi |
| Sentrium (Pengembang) | VyOS | Vyos 1.2.2 | Tidak diuji | Panduan konfigurasi |
| ShareTech | Next Generation UTM (seri NU) | 9.0.1.3 | Tidak kompatibel | Panduan konfigurasi |
| SonicWall | Seri TZ, Seri NSA Seri SuperMassive Seri NSA E-Class |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Tidak kompatibel | Panduan konfigurasi |
| Sophos | XG Next Gen Firewall | XG v17 | Tidak diuji | Panduan konfigurasi Panduan konfigurasi - Beberapa SAs |
| Sinologi | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Tidak diuji | Panduan konfigurasi |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 | Tidak diuji | BGP melalui IKEv2/IPsec VTI melalui IKEv2/IPsec |
| Ultra | 3E-636L3 | 5.2.0.T3 Build-13 | Tidak diuji | Panduan konfigurasi |
| WatchGuard | Semua | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
Panduan konfigurasi | Panduan konfigurasi |
| Zyxel | Seri USG ZyWALL Seri ATP ZyWALL Seri VPN ZyWALL |
ZLD v4.32+ | Tidak diuji | VTI melalui IKEv2/IPsec BGP melalui IKEv2/IPsec |
Catatan
(*) Cisco ASA versi 8.4+ menambahkan dukungan IKEv2, dapat terhubung ke gateway Azure VPN menggunakan kebijakan IPsec /IKE kustom dengan opsi "UsePolicyBasedTrafficSelectors". Lihat artikel cara ini.
(**) Rute ISR 7200 Series hanya mendukung VPN PolicyBased.
Unduh skrip konfigurasi perangkat VPN dari Azure
Untuk perangkat tertentu, Anda dapat mengunduh skrip konfigurasi langsung dari Azure. Untuk informasi selengkapnya dan petunjuk unduhan, lihat Mengunduh skrip konfigurasi perangkat VPN.
Perangkat dengan skrip konfigurasi yang tersedia
| Vendor | Rangkaian perangkat | Versi firmware |
|---|---|---|
| Cisco | ISR | IOS 15.1 (Pratinjau) |
| Cisco | ASA | ASA ( * ) RouteBased (IKEv2- No BGP) untuk ASA di bawah 9,8 |
| Cisco | ASA | ASA RouteBased (IKEv2- No BGP) untuk ASA di atas 9,8 |
| Juniper | SRX_GA | 12.x |
| Juniper | SSG_GA | ScreenOS 6.2.x |
| Juniper | JSeries_GA | JunOS 12.x |
| Juniper | SRX | JunOS 12.x RuteBased BGP |
| Ubiquiti | EdgeRouter | EdgeOS v1.10x RouteBased VTI |
| Ubiquiti | EdgeRouter | EdgeOS v1.10x RouteBased BGP |
Catatan
( * ) Diperlukan: NarrowAzureTrafficSelectors (aktifkan opsi UsePolicyBasedTrafficSelectors) dan CustomAzurePolicies (IKE/IPsec)
Perangkat VPN yang tidak divalidasi
Jika Anda tidak melihat perangkat Anda tercantum dalam tabel Perangkat VPN yang divalidasi, perangkat Anda masih mungkin berfungsi dengan koneksi Site-to-Site. Hubungi produsen perangkat untuk mendapatkan petunjuk dukungan dan konfigurasi tambahan.
Mengedit sampel konfigurasi perangkat
Setelah Mengunduh sampel konfigurasi perangkat VPN yang disediakan, Anda harus mengganti beberapa nilai untuk mencerminkan pengaturan untuk lingkungan Anda.
Untuk mengedit sampel:
- Buka sampel menggunakan Notepad.
- Cari dan ganti semua untai <teks> dengan nilai yang berkaitan dengan lingkungan Anda. Pastikan untuk menyertakan < dan >. Ketika nama ditentukan, nama yang Anda pilih harus unik. Jika perintah tidak berfungsi, lihat dokumentasi produsen perangkat.
| Contoh teks | Mengubah |
|---|---|
| <RP_OnPremisesNetwork> | Nama yang Anda pilih untuk obyek ini. Contoh: myOnPremisesNetwork |
| <RP_AzureNetwork> | Nama yang Anda pilih untuk obyek ini. Contoh: myAzureNetwork |
| <RP_AccessList> | Nama yang Anda pilih untuk obyek ini. Contoh: myAzureAccessList |
| <RP_IPSecTransformSet> | Nama yang Anda pilih untuk obyek ini. Contoh: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | Nama yang Anda pilih untuk obyek ini. Contoh: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | Tentukan rentang. Contoh: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Tentukan subnet mask. Contoh: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Tentukan rentang lokal. Contoh: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | Tentukan subnet mask lokal. Contoh: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Informasi ini khusus untuk jaringan virtual Anda dan terletak di Portal Manajemen sebagai alamat IP Gateway. |
| <SP_PresharedKey> | Informasi ini khusus untuk jaringan virtual Anda dan terletak di Portal Manajemen sebagai Kelola Kunci. |
Parameter IPsec/IKE default
Tabel di bawah ini berisi kombinasi algoritma dan parameter yang digunakan gateway VPN Azure dalam konfigurasi default (Kebijakan default). Untuk gateway VPN berbasis rute yang dibuat menggunakan model penyebaran Azure Resource Management, Anda dapat menentukan kebijakan kustom pada setiap koneksi individual. Lihat Mengonfigurasi kebijakan IPsec/IKE untuk petunjuk terperinci.
Selain itu, Anda harus menjepit TCP MSS di 1350. Atau, jika perangkat VPN Anda tidak mendukung clamping MSS, Anda dapat mengatur MTU pada antarmuka terowongan ke 1400 byte sebagai gantinya.
Dalam tabel berikut ini:
- SA = Asosiasi Keamanan
- IKE Fase 1 juga disebut "Mode Utama"
- IKE Fase 2 juga disebut "Mode Cepat"
Parameter IKE Fase 1 (Mode Utama)
| Properti | PolicyBased | RouteBased |
|---|---|---|
| Versi IKE | IKEv1 | IKEv1 dan IKEv2 |
| Grup Diffie-Hellman | Grup 2 (1024 bit) | Grup 2 (1024 bit) |
| Metode autentikasi | Kunci Pra-Bagi | Kunci Pra-Bagi |
| Enkripsi & Algoritme Hash | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| Umur hidup SA | 28.800 detik | 28.800 detik |
Parameter IKE Fase 2 (Mode Cepat)
| Properti | PolicyBased | RouteBased |
|---|---|---|
| Versi IKE | IKEv1 | IKEv1 dan IKEv2 |
| Enkripsi & Algoritme Hash | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
Penawaran RouteBased QM SA |
| Umur Hidup SA (Waktu) | 3\.600 detik | 27.000 detik |
| Umur hidup SA (Byte) | 102,400,000 KB | 102,400,000 KB |
| Kerahasiaan Maju Sempurna (PFS) | Tidak | Penawaran RouteBased QM SA |
| Deteksi Sejawat Mati (DPD) | Tidak didukung | Didukung |
Penawaran Asosiasi Keamanan IPsec VPN RouteBased (Mode cepat IKE SA)
Tabel berikut ini mencantumkan Penawaran IPsec SA (Mode cepat IKE). Penawaran dicantumkan urutan preferensi penawaran disajikan atau diterima.
Azure Gateway sebagai inisiator
| - | Enkripsi | Autentikasi | Grup PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Tidak ada |
| 2 | AES256 | SHA1 | Tidak ada |
| 3 | 3DES | SHA1 | Tidak ada |
| 4 | AES256 | SHA256 | Tidak ada |
| 5 | AES128 | SHA1 | Tidak ada |
| 6 | 3DES | SHA256 | Tidak ada |
Azure Gateway sebagai responder
| - | Enkripsi | Autentikasi | Grup PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Tidak ada |
| 2 | AES256 | SHA1 | Tidak ada |
| 3 | 3DES | SHA1 | Tidak ada |
| 4 | AES256 | SHA256 | Tidak ada |
| 5 | AES128 | SHA1 | Tidak ada |
| 6 | 3DES | SHA256 | Tidak ada |
| 7 | DES | SHA1 | Tidak ada |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | Tidak ada |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- Anda dapat menentukan enkripsi IPsec ESP NULL dengan gateway VPN RouteBased dan HighPerformance. Enkripsi berbasis null tidak memberikan perlindungan pada data saat transit, dan hanya boleh digunakan ketika throughput maksimum dan latensi minimum diperlukan. Klien dapat memilih untuk menggunakan ini dalam skenario komunikasi VNet-to-VNet, atau ketika enkripsi diterapkan di tempat lain dalam solusi.
- Untuk konektivitas lintas lokasi melalui Internet, gunakan pengaturan gateway VPN Azure default dengan algoritme enkripsi dan hashing yang tercantum dalam tabel di atas untuk memastikan keamanan komunikasi penting Anda.
Masalah kompatibilitas perangkat yang diketahui
Penting
Ini adalah masalah kompatibilitas yang diketahui antara perangkat VPN pihak ketiga dan gateway VPN Azure. Tim Azure secara aktif bekerja sama dengan vendor untuk mengatasi masalah yang tercantum di sini. Setelah masalah diselesaikan, halaman ini akan diperbarui dengan informasi terbaru. Silakan periksa kembali secara berkala.
16 Feb 2017
Perangkat Palo Alto Networks dengan versi sebelum 7.1.4 untuk VPN berbasis rute Azure: Jika Anda menggunakan perangkat VPN dari Palo Alto Networks dengan versi PAN-OS sebelum 7.1.4 dan mengalami masalah konektivitas ke gateway VPN berbasis rute Azure, lakukan langkah-langkah berikut:
- Periksa versi firmware perangkat Palo Alto Networks Anda. Jika versi PAN-OS Anda lebih lama dari 7.1.4, tingkatkan ke 7.1.4.
- Pada perangkat Palo Alto Networks, ubah masa pakai Fase 2 SA (atau Quick Mode SA) menjadi 28.800 detik (8 jam) saat menyambungkan ke gateway VPN Azure.
- Jika Anda masih mengalami masalah konektivitas, buka permintaan dukungan dari portal Azure.