Informazioni sui dispositivi VPN e sui parametri IPsec/IKE per connessioni del Gateway VPN da sito a sito

Per configurare una connessione VPN cross-premise da sito a sito usando un Gateway VPN, è necessario un dispositivo VPN. Le connessioni da sito a sito possono essere usate per creare una soluzione ibrida o se si vogliono stabilire connessioni sicure tra le reti locali e le reti virtuali. Questo documento offre l'elenco dei parametri IPsec/IKE per i gateway VPN di Azure e un elenco di dispositivi VPN convalidati che si connettono a tali gateway.

Importante

Se si verificano problemi di connettività tra i gateway VPN di Azure e i dispositivi VPN locali, consultare Problemi noti di compatibilità del dispositivo.

Elementi da considerare quando si visualizzano le tabelle:

  • È stata eseguita una modifica della terminologia per i Gateway VPN di Azure. Le funzionalità rimangono invariate. Vengono modificati solo i nomi.
    • Routing statico = PolicyBased
    • Routing dinamico = RouteBased
  • Se non indicato diversamente, le specifiche per i gateway VPN a prestazioni elevate e i gateway VPN RouteBased sono le stesse. Ad esempio, i dispositivi VPN convalidati e compatibili con i gateway VPN RouteBased sono compatibili anche con il gateway VPN a prestazioni elevate di Azure.
Nota

Quando si configura una connessione da sito a sito, è necessario un indirizzo IP IPv4 pubblico per il dispositivo VPN.

Dispositivi VPN convalidati e guide di configurazione per dispositivi

È stato approvato un set di dispositivi VPN standard in partnership con fornitori di dispositivi. Tutti i dispositivi nelle famiglie di dispositivi incluse nell'elenco seguente funzioneranno con i gateway VPN di Azure. Per verificare il tipo di gateway da creare per la soluzione che si vuole configurare, vedere Informazioni sul gateway VPN .

Per agevolare la configurazione del dispositivo VPN, vedere i collegamenti corrispondenti alla famiglia di dispositivi appropriata. I collegamenti alle istruzioni di configurazione vengono forniti nel modo più efficiente possibile. Per il supporto ai dispositivi VPN, contattare il produttore del dispositivo.

Fornitore Famiglia di dispositivi Versione minima del sistema operativo Istruzioni di configurazione di tipo PolicyBased Istruzioni di configurazione di tipo RouteBased
A10 Networks, Inc. Thunder CFW ACOS 4.1.1 Non compatibile Guida alla configurazione
Allied Telesis Router VPN serie AR 2.9.2 Presto disponibile Non compatibile
Barracuda Networks, Inc. Barracuda NextGen Firewall F-series PolicyBased: 5.4.3
RouteBased: 6.2.0
Guida alla configurazione Guida alla configurazione
Barracuda Networks, Inc. Barracuda NextGen Firewall X-series Barracuda Firewall 6.5 Guida alla configurazione Non compatibile
Brocade Vyatta 5400 vRouter Virtual Router 6.6R3 GA Guida alla configurazione Non compatibile
Punto di controllo Gateway di protezione R77.30 Guida alla configurazione Guida alla configurazione
Cisco ASA 8.3 Esempi di configurazione Non compatibile
Cisco ASR PolicyBased: IOS 15.1
RouteBased: IOS 15.2
Esempi di configurazione Esempi di configurazione
Cisco ISR PolicyBased: IOS 15.0
RouteBased*: IOS 15.1
Esempi di configurazione Esempi di configurazione*
Citrix NetScaler MPX, SDX, VPX 10.1 e versioni successive Guida alla configurazione Non compatibile
F5 Serie BIG-IP 12.0 Guida alla configurazione Guida alla configurazione
Fortinet FortiGate FortiOS 5.4.2 Guida alla configurazione
Internet Initiative Japan (IIJ) Serie SEIL SEIL/X 4.60
SEIL/B1 4.60
SEIL/x86 3.20
Guida alla configurazione Non compatibile
Juniper SRX PolicyBased: JunOS 10.2
Routebased: JunOS 11.4
Esempi di configurazione Esempi di configurazione
Juniper Serie J PolicyBased: JunOS 10.4r9
RouteBased: JunOS 11.4
Esempi di configurazione Esempi di configurazione
Juniper ISG ScreenOS 6.3 Esempi di configurazione Esempi di configurazione
Juniper SSG ScreenOS 6.2 Esempi di configurazione Esempi di configurazione
Microsoft Routing and Remote Access Service Windows Server 2012 Non compatibile Esempi di configurazione
Open Systems AG Mission Control Security Gateway N/D Guida alla configurazione Non compatibile
Openswan Openswan 2.6.32 (Presto disponibile) Non compatibile
Palo Alto Networks Tutti i dispositivi che eseguono PAN-OS PAN-OS
PolicyBased: 6.1.5 o versione successiva
RouteBased: 7.1.4
Guida alla configurazione Guida alla configurazione
SonicWALL Serie TZ, serie NSA
Serie SuperMassive
Serie NSA classe E
SonicOS 5.8.x
SonicOS 5.9.x
SonicOS 6.x
Guida alla configurazione di SonicOS 6.2
Guida alla configurazione di SonicOS 5.9
Guida alla configurazione di SonicOS 6.2
Guida alla configurazione di SonicOS 5.9
WatchGuard Tutti Fireware XTM
PolicyBased: v11.11.x
RouteBased: v11.12.x
Guida alla configurazione Guida alla configurazione

(*) I router serie ISR 7200 supportano solo VPN PolicyBased.

Dispositivi VPN non convalidati

Anche se il dispositivo non è elencato nella tabella dei dispositivi VPN convalidati, potrebbe comunque funzionare con una connessione da sito a sito. Contattare il produttore del dispositivo per assistenza e istruzioni di configurazione.

Modifica degli esempi di configurazione di dispositivo

Dopo aver scaricato l'esempio di configurazione di dispositivo VPN fornito, è necessario sostituire alcuni dei valori in base alle impostazioni per l'ambiente.

Per modificare un esempio:

  1. Aprire l'esempio utilizzando il blocco note.
  2. Cercare e sostituire tutti le stringhe <text> con i valori pertinenti all'ambiente. Assicurarsi di includere < e >. Quando viene specificato un nome, il nome selezionato deve essere univoco. Se un comando non funziona, consultare la documentazione del produttore del dispositivo.
Testo di esempio Modificare in
<RP_OnPremisesNetwork> Nome scelto per questo oggetto. Esempio: myOnPremisesNetwork
<RP_AzureNetwork> Nome scelto per questo oggetto. Esempio: myAzureNetwork
<RP_AccessList> Nome scelto per questo oggetto. Esempio: myAzureAccessList
<RP_IPSecTransformSet> Nome scelto per questo oggetto. Esempio: myIPSecTransformSet
<RP_IPSecCryptoMap> Nome scelto per questo oggetto. Esempio: myIPSecCryptoMap
<SP_AzureNetworkIpRange> Specificare l'intervallo. Esempio: 192.168.0.0
<SP_AzureNetworkSubnetMask> Specificare la subnet mask. Esempio: 255.255.0.0
<SP_OnPremisesNetworkIpRange> Specificare l'intervallo in locale. Esempio: 10.2.1.0
<SP_OnPremisesNetworkSubnetMask> Specificare la subnet mask locale. Esempio: 255.255.255.0
<SP_AzureGatewayIpAddress> Queste informazioni sono specifiche per la rete virtuale e si trovano nel portale di gestione in Indirizzo IP gateway.
<SP_PresharedKey> Queste informazioni sono specifiche per la rete virtuale e si trovano nel portale di gestione in chiave di gestione.

Parametri IPsec/IKE

Nota

Anche se i valori elencati nella tabella seguente sono supportati dal Gateway VPN di Azure, attualmente non è possibile specificare o selezionare una combinazione specifica di algoritmi o parametri da Gateway VPN di Azure. È necessario specificare tutti i vincoli dal dispositivo VPN locale. È inoltre necessario limitare MSS a 1350.

Nelle tabelle seguenti:

  • SA = associazione di sicurezza
  • La Fase 1 di IKE viene definita anche "Modalità principale"
  • La Fase 2 di IKE viene definita anche "Modalità rapida"

Parametri della Fase 1 di IKE (Modalità principale)

Proprietà PolicyBased RouteBased
Versione IKE IKEv1 IKEv2
Diffie-Hellman Group Gruppo 2 (1024 bit) Gruppo 2 (1024 bit)
Metodo di autenticazione Chiave precondivisa Chiave precondivisa
Algoritmi di crittografia e di hash 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
1. AES256, SHA1
2. AES256, SHA256
3. AES128, SHA1
4. AES128, SHA256
5. 3DES, SHA1
6. 3DES, SHA256
Durata dell'associazione di sicurezza 28.800 secondi 28.800 secondi

Parametri della Fase 2 di IKE (Modalità rapida)

Proprietà PolicyBased RouteBased
Versione IKE IKEv1 IKEv2
Algoritmi di crittografia e di hash 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
Offerte per associazioni di sicurezza QM basate su route
Durata dell'associazione di sicurezza (tempo) 3.600 secondi 27.000 secondi
Durata dell'associazione di sicurezza (byte) 102.400.000 KB -
Perfect Forward Secrecy (PFS) No Offerte per associazioni di sicurezza QM basate su route
Rilevamento peer inattivo Non supportate Supportato

Offerte per associazioni di sicurezza IPsec VPN basate su route (associazione di sicurezza IKE Modalità rapida)

La tabella seguente elenca le offerte per associazioni di sicurezza IPsec (IKE Modalità rapida). Le offerte sono elencate nell'ordine di preferenza di presentazione o di accettazione dell'offerta.

Gateway Azure come iniziatore

- Crittografia Autenticazione Gruppo PFS
1 GCM AES256 GCM (AES256) None
2 AES256 SHA1 None
3 3DES SHA1 None
4 AES256 SHA256 None
5 AES128 SHA1 None
6 3DES SHA256 None

Gateway Azure come risponditore

- Crittografia Autenticazione Gruppo PFS
1 GCM AES256 GCM (AES256) None
2 AES256 SHA1 None
3 3DES SHA1 None
4 AES256 SHA256 None
5 AES128 SHA1 None
6 3DES SHA256 None
7 DES SHA1 None
8 AES256 SHA1 1
9 AES256 SHA1 2
10 AES256 SHA1 14
11 AES128 SHA1 1
12 AES128 SHA1 2
13 AES128 SHA1 14
14 3DES SHA1 1
15 3DES SHA1 2
16 3DES SHA256 2
17 AES256 SHA256 1
18 AES256 SHA256 2
19 AES256 SHA256 14
20 AES256 SHA1 24
21 AES256 SHA256 24
22 AES128 SHA256 None
23 AES128 SHA256 1
24 AES128 SHA256 2
25 AES128 SHA256 14
26 3DES SHA1 14
  • È possibile specificare la crittografia NULL ESP IPsec con gateway VPN RouteBased e con prestazioni elevate. La crittografia basata su null non fornisce protezione ai dati in transito e deve essere usata solo quando sono richieste una velocità effettiva massima e una latenza minima. I client possono scegliere di usare questa crittografia in scenari di comunicazione tra reti virtuali oppure quando la crittografia viene applicata in un'altra posizione nella soluzione.
  • Per la connettività cross-premise tramite Internet, usare le impostazioni del gateway VPN di Azure predefinite con algoritmi di crittografia e hash elencati nelle tabelle precedenti, per garantire la sicurezza delle comunicazioni critiche.

Problemi noti di compatibilità del dispositivo

Importante

Si tratta dei problemi di compatibilità noti tra i dispositivi VPN di terze parti e i gateway VPN di Azure. Il team di Azure collabora attivamente con i fornitori per risolvere i problemi elencati di seguito. Dopo aver risolto i problemi, questa pagina verrà aggiornata con le informazioni più recenti. Controllarla periodicamente.

16 febbraio 2017

Dispositivi di Palo Alto Networks precedenti alla versione 7.1.4 per le connessioni VPN basate su route di Azure: se si usano dispositivi VPN di Palo Alto Networks con versione PAN-OS precedente alla versione 7.1.4 e si verificano problemi di connettività per i gateway VPN basati su route di Azure, eseguire i passaggi seguenti:

  1. Controllare la versione del firmware del dispositivo di Palo Alto Networks. Se la versione PAN-OS è antecedente alla versione 7.1.4, aggiornarla a questa versione.
  2. Nel dispositivo di Palo Alto Networks, modificare la durata della fase 2 SA (o SA in modalità rapida) impostandola su 28.800 secondi (8 ore) quando si esegue la connessione al gateway VPN di Azure.
  3. Se si verificano ancora problemi di connettività, aprire una richiesta di supporto dal portale di Azure.