Informazioni sui dispositivi VPN e sui parametri IPsec/IKE per connessioni del Gateway VPN da sito a sitoAbout VPN devices and IPsec/IKE parameters for Site-to-Site VPN Gateway connections

Per configurare una connessione VPN cross-premise da sito a sito usando un Gateway VPN, è necessario un dispositivo VPN.A VPN device is required to configure a Site-to-Site (S2S) cross-premises VPN connection using a VPN gateway. Le connessioni da sito a sito possono essere usate per creare una soluzione ibrida o se si vogliono stabilire connessioni sicure tra le reti locali e le reti virtuali.Site-to-Site connections can be used to create a hybrid solution, or whenever you want secure connections between your on-premises networks and your virtual networks. Questo documento offre un elenco di dispositivi VPN convalidati e un elenco di parametri IPsec/IKE per i gateway VPN.This article provides a list of validated VPN devices and a list of IPsec/IKE parameters for VPN gateways.

Importante

Se si verificano problemi di connettività tra i gateway VPN e i dispositivi VPN locali, vedere Problemi noti di compatibilità del dispositivo.If you are experiencing connectivity issues between your on-premises VPN devices and VPN gateways, refer to Known device compatibility issues.

Elementi da considerare quando si visualizzano le tabelle:Items to note when viewing the tables:

  • È stata eseguita una modifica della terminologia per i Gateway VPN di Azure.There has been a terminology change for Azure VPN gateways. Sono stati modificati solo i nomi.Only the names have changed. Le funzionalità rimangono invariate.There is no functionality change.
    • Routing statico = PolicyBasedStatic Routing = PolicyBased
    • Routing dinamico = RouteBasedDynamic Routing = RouteBased
  • Se non indicato diversamente, le specifiche per i gateway VPN a prestazioni elevate e i gateway VPN RouteBased sono le stesse.Specifications for HighPerformance VPN gateway and RouteBased VPN gateway are the same, unless otherwise noted. Ad esempio, i dispositivi VPN convalidati e compatibili con i gateway VPN RouteBased sono compatibili anche con il gateway VPN a prestazioni elevate.For example, the validated VPN devices that are compatible with RouteBased VPN gateways are also compatible with the HighPerformance VPN gateway.

Dispositivi VPN convalidati e guide di configurazione per dispositiviValidated VPN devices and device configuration guides

Nota

Quando si configura una connessione da sito a sito, è necessario un indirizzo IP IPv4 pubblico per il dispositivo VPN.When configuring a Site-to-Site connection, a public-facing IPv4 IP address is required for your VPN device.

In collaborazione con i fornitori di dispositivi, è stato approvato un set di dispositivi VPN standard.In partnership with device vendors, we have validated a set of standard VPN devices. Tutti i dispositivi nelle famiglie di dispositivi dell'elenco seguente funzioneranno con i gateway VPN.All of the devices in the device families in the following list should work with VPN gateways. Per informazioni sull'uso del tipo di VPN (PolicyBased o RouteBased) per la soluzione del gateway VPN che si vuole configurare, vedere Informazioni sulle impostazioni del gateway VPN.See About VPN Gateway Settings to understand the VPN type use (PolicyBased or RouteBased) for the VPN Gateway solution you want to configure.

Per agevolare la configurazione del dispositivo VPN, vedere i collegamenti corrispondenti alla famiglia di dispositivi appropriata.To help configure your VPN device, refer to the links that correspond to appropriate device family. I collegamenti alle istruzioni di configurazione vengono forniti nel modo più efficiente possibile.The links to configuration instructions are provided on a best-effort basis. Per il supporto ai dispositivi VPN, contattare il produttore del dispositivo.For VPN device support, contact your device manufacturer.

FornitoreVendor Famiglia di dispositiviDevice family Versione minima del sistema operativoMinimum OS version Istruzioni di configurazione di tipo PolicyBasedPolicyBased configuration instructions Istruzioni di configurazione di tipo RouteBasedRouteBased configuration instructions
A10 Networks, Inc.A10 Networks, Inc. Thunder CFWThunder CFW ACOS 4.1.1ACOS 4.1.1 Non compatibileNot Compatible Guida alla configurazioneConfiguration guide
Allied TelesisAllied Telesis Router VPN serie ARAR Series VPN Routers 2.9.22.9.2 Presto disponibileComing soon Non compatibileNot compatible
Barracuda Networks, Inc.Barracuda Networks, Inc. Barracuda NextGen Firewall F-seriesBarracuda NextGen Firewall F-series PolicyBased: 5.4.3PolicyBased: 5.4.3
RouteBased: 6.2.0RouteBased: 6.2.0
Guida alla configurazioneConfiguration guide Guida alla configurazioneConfiguration guide
Barracuda Networks, Inc.Barracuda Networks, Inc. Barracuda NextGen Firewall X-seriesBarracuda NextGen Firewall X-series Barracuda Firewall 6.5Barracuda Firewall 6.5 Guida alla configurazioneConfiguration guide Non compatibileNot compatible
BrocadeBrocade Vyatta 5400 vRouterVyatta 5400 vRouter Virtual Router 6.6R3 GAVirtual Router 6.6R3 GA Guida alla configurazioneConfiguration guide Non compatibileNot compatible
Punto di controlloCheck Point Gateway di protezioneSecurity Gateway R77.30R77.30 Guida alla configurazioneConfiguration guide Guida alla configurazioneConfiguration guide
CiscoCisco ASAASA 8.38.3
8.4+ (IKEv2)8.4+ (IKEv2)
Esempi di configurazioneConfiguration samples Guida alla configurazioneConfiguration guide
CiscoCisco ASRASR PolicyBased: IOS 15.1PolicyBased: IOS 15.1
RouteBased: IOS 15.2RouteBased: IOS 15.2
Esempi di configurazioneConfiguration samples Esempi di configurazioneConfiguration samples
CiscoCisco ISRISR PolicyBased: IOS 15.0PolicyBased: IOS 15.0
RouteBased: IOS 15.1RouteBased: IOS 15.1
Esempi di configurazioneConfiguration samples Esempi di configurazioneConfiguration samples
CitrixCitrix NetScaler MPX, SDX, VPXNetScaler MPX, SDX, VPX 10.1 e versioni successive10.1 and above Guida alla configurazioneConfiguration guide Non compatibileNot compatible
F5F5 Serie BIG-IPBIG-IP series 12.012.0 Guida alla configurazioneConfiguration guide Guida alla configurazioneConfiguration guide
FortinetFortinet FortiGateFortiGate FortiOS 5.4.2FortiOS 5.4.2 Guida alla configurazioneConfiguration guide
Internet Initiative Japan (IIJ)Internet Initiative Japan (IIJ) Serie SEILSEIL Series SEIL/X 4.60SEIL/X 4.60
SEIL/B1 4.60SEIL/B1 4.60
SEIL/x86 3.20SEIL/x86 3.20
Guida alla configurazioneConfiguration guide Non compatibileNot compatible
JuniperJuniper SRXSRX PolicyBased: JunOS 10.2PolicyBased: JunOS 10.2
Routebased: JunOS 11.4Routebased: JunOS 11.4
Esempi di configurazioneConfiguration samples Esempi di configurazioneConfiguration samples
JuniperJuniper Serie JJ-Series PolicyBased: JunOS 10.4r9PolicyBased: JunOS 10.4r9
RouteBased: JunOS 11.4RouteBased: JunOS 11.4
Esempi di configurazioneConfiguration samples Esempi di configurazioneConfiguration samples
JuniperJuniper ISGISG ScreenOS 6.3ScreenOS 6.3 Esempi di configurazioneConfiguration samples Esempi di configurazioneConfiguration samples
JuniperJuniper SSGSSG ScreenOS 6.2ScreenOS 6.2 Esempi di configurazioneConfiguration samples Esempi di configurazioneConfiguration samples
MicrosoftMicrosoft Routing and Remote Access ServiceRouting and Remote Access Service Windows Server 2012Windows Server 2012 Non compatibileNot compatible Esempi di configurazioneConfiguration samples
Open Systems AGOpen Systems AG Mission Control Security GatewayMission Control Security Gateway N/DN/A Guida alla configurazioneConfiguration guide Non compatibileNot compatible
Palo Alto NetworksPalo Alto Networks Tutti i dispositivi che eseguono PAN-OSAll devices running PAN-OS PAN-OSPAN-OS
PolicyBased: 6.1.5 o versione successivaPolicyBased: 6.1.5 or later
RouteBased: 7.1.4RouteBased: 7.1.4
Guida alla configurazioneConfiguration guide Guida alla configurazioneConfiguration guide
ShareTechShareTech Next Generation UTM (serie NU)Next Generation UTM (NU series) 9.0.1.39.0.1.3 Non compatibileNot compatible Guida alla configurazioneConfiguration guide
SonicWALLSonicWall Serie TZ, serie NSATZ Series, NSA Series
Serie SuperMassiveSuperMassive Series
Serie NSA classe EE-Class NSA Series
SonicOS 5.8.xSonicOS 5.8.x
SonicOS 5.9.xSonicOS 5.9.x
SonicOS 6.xSonicOS 6.x
Non supportateNot supported Guida alla configurazioneConfiguration guide
WatchGuardWatchGuard TuttiAll Fireware XTMFireware XTM
PolicyBased: v11.11.xPolicyBased: v11.11.x
RouteBased: v11.12.xRouteBased: v11.12.x
Guida alla configurazioneConfiguration guide Guida alla configurazioneConfiguration guide

Nota

() Le versioni di Cisco ASA 8.4+ aggiungono il supporto IKEv2 e possono connettersi al gateway VPN di Azure usando criteri IPsec/IKE personalizzati con l'opzione "UsePolicyBasedTrafficSelectors".() Cisco ASA versions 8.4+ add IKEv2 support, can connect to Azure VPN gateway using custom IPsec/IKE policy with "UsePolicyBasedTrafficSelectors" option. Vedere questa procedura dettagliata.Refer to this how-to article.

() I router serie ISR 7200 supportano solo VPN PolicyBased.() ISR 7200 Series routers only support PolicyBased VPNs.

Dispositivi VPN non convalidatiNon-validated VPN devices

Anche se il dispositivo non è elencato nella tabella dei dispositivi VPN convalidati, potrebbe comunque funzionare con una connessione da sito a sito.If you don’t see your device listed in the Validated VPN devices table, your device still may work with a Site-to-Site connection. Contattare il produttore del dispositivo per assistenza e istruzioni di configurazione.Contact your device manufacturer for additional support and configuration instructions.

Modifica degli esempi di configurazione di dispositivoEditing device configuration samples

Dopo aver scaricato l'esempio di configurazione di dispositivo VPN fornito, è necessario sostituire alcuni dei valori in base alle impostazioni per l'ambiente.After you download the provided VPN device configuration sample, you’ll need to replace some of the values to reflect the settings for your environment.

Per modificare un esempio:To edit a sample:

  1. Aprire l'esempio utilizzando il blocco note.Open the sample using Notepad.
  2. Cercare e sostituire tutti le stringhe <text> con i valori pertinenti all'ambiente.Search and replace all <text> strings with the values that pertain to your environment. Assicurarsi di includere < e >.Be sure to include < and >. Quando viene specificato un nome, il nome selezionato deve essere univoco.When a name is specified, the name you select should be unique. Se un comando non funziona, consultare la documentazione del produttore del dispositivo.If a command does not work, consult your device manufacturer documentation.
Testo di esempioSample text Modificare inChange to
<RP_OnPremisesNetwork><RP_OnPremisesNetwork> Nome scelto per questo oggetto.Your chosen name for this object. Esempio: myOnPremisesNetworkExample: myOnPremisesNetwork
<RP_AzureNetwork><RP_AzureNetwork> Nome scelto per questo oggetto.Your chosen name for this object. Esempio: myAzureNetworkExample: myAzureNetwork
<RP_AccessList><RP_AccessList> Nome scelto per questo oggetto.Your chosen name for this object. Esempio: myAzureAccessListExample: myAzureAccessList
<RP_IPSecTransformSet><RP_IPSecTransformSet> Nome scelto per questo oggetto.Your chosen name for this object. Esempio: myIPSecTransformSetExample: myIPSecTransformSet
<RP_IPSecCryptoMap><RP_IPSecCryptoMap> Nome scelto per questo oggetto.Your chosen name for this object. Esempio: myIPSecCryptoMapExample: myIPSecCryptoMap
<SP_AzureNetworkIpRange><SP_AzureNetworkIpRange> Specificare l'intervallo.Specify range. Esempio: 192.168.0.0Example: 192.168.0.0
<SP_AzureNetworkSubnetMask><SP_AzureNetworkSubnetMask> Specificare la subnet mask.Specify subnet mask. Esempio: 255.255.0.0Example: 255.255.0.0
<SP_OnPremisesNetworkIpRange><SP_OnPremisesNetworkIpRange> Specificare l'intervallo in locale.Specify on-premises range. Esempio: 10.2.1.0Example: 10.2.1.0
<SP_OnPremisesNetworkSubnetMask><SP_OnPremisesNetworkSubnetMask> Specificare la subnet mask locale.Specify on-premises subnet mask. Esempio: 255.255.255.0Example: 255.255.255.0
<SP_AzureGatewayIpAddress><SP_AzureGatewayIpAddress> Queste informazioni sono specifiche per la rete virtuale e si trovano nel portale di gestione in Indirizzo IP gateway.This information specific to your virtual network and is located in the Management Portal as Gateway IP address.
<SP_PresharedKey><SP_PresharedKey> Queste informazioni sono specifiche per la rete virtuale e si trovano nel portale di gestione in chiave di gestione.This information is specific to your virtual network and is located in the Management Portal as Manage Key.

Parametri IPsec/IKEIPsec/IKE parameters

Importante

  1. Le tabelle seguenti contengono le combinazioni di algoritmi e parametri usati dal gateway VPN di Azure nella configurazione predefinita.The tables below contain the combinations of algorithms and parameters Azure VPN gateways use in default configuration. Per i gateway VPN basati su route creati usando il modello di distribuzione Azure Resource Management, è possibile specificare un criterio personalizzato in ogni singola connessione.For route-based VPN gateways created using the Azure Resource Management deployment model, you can specify a custom policy on each individual connection. Per istruzioni dettagliate, vedere Configurare criteri IPsec/IKE.Please refer to Configure IPsec/IKE policy for detailed instructions.

  2. È anche necessario limitare TCP MSS a 1350.In addition, you must clamp TCP MSS at 1350. Se invece i dispositivi VPN non supportano la limitazione di MSS, in alternativa è possibile impostare il valore MTU nell'interfaccia di tunnel su 1400 byte.Or if your VPN devices do not support MSS clamping, you can alternatively set the MTU on the tunnel interface to 1400 bytes instead.

Nelle tabelle seguenti:In the following tables:

  • SA = associazione di sicurezzaSA = Security Association
  • La Fase 1 di IKE viene definita anche "Modalità principale"IKE Phase 1 is also called "Main Mode"
  • La Fase 2 di IKE viene definita anche "Modalità rapida"IKE Phase 2 is also called "Quick Mode"

Parametri della Fase 1 di IKE (Modalità principale)IKE Phase 1 (Main Mode) parameters

ProprietàProperty PolicyBasedPolicyBased RouteBasedRouteBased
Versione IKEIKE Version IKEv1IKEv1 IKEv2IKEv2
Diffie-Hellman GroupDiffie-Hellman Group Gruppo 2 (1024 bit)Group 2 (1024 bit) Gruppo 2 (1024 bit)Group 2 (1024 bit)
Metodo di autenticazioneAuthentication Method Chiave precondivisaPre-Shared Key Chiave precondivisaPre-Shared Key
Algoritmi di crittografia e di hashEncryption & Hashing Algorithms 1. AES256, SHA2561. AES256, SHA256
2. AES256, SHA12. AES256, SHA1
3. AES128, SHA13. AES128, SHA1
4. 3DES, SHA14. 3DES, SHA1
1. AES256, SHA11. AES256, SHA1
2. AES256, SHA2562. AES256, SHA256
3. AES128, SHA13. AES128, SHA1
4. AES128, SHA2564. AES128, SHA256
5. 3DES, SHA15. 3DES, SHA1
6. 3DES, SHA2566. 3DES, SHA256
Durata dell'associazione di sicurezzaSA Lifetime 28.800 secondi28,800 seconds 28.800 secondi28,800 seconds

Parametri della Fase 2 di IKE (Modalità rapida)IKE Phase 2 (Quick Mode) parameters

ProprietàProperty PolicyBasedPolicyBased RouteBasedRouteBased
Versione IKEIKE Version IKEv1IKEv1 IKEv2IKEv2
Algoritmi di crittografia e di hashEncryption & Hashing Algorithms 1. AES256, SHA2561. AES256, SHA256
2. AES256, SHA12. AES256, SHA1
3. AES128, SHA13. AES128, SHA1
4. 3DES, SHA14. 3DES, SHA1
Offerte per associazioni di sicurezza QM basate su routeRouteBased QM SA Offers
Durata dell'associazione di sicurezza (tempo)SA Lifetime (Time) 3.600 secondi3,600 seconds 27.000 secondi27,000 seconds
Durata dell'associazione di sicurezza (byte)SA Lifetime (Bytes) 102.400.000 KB102,400,000 KB -
Perfect Forward Secrecy (PFS)Perfect Forward Secrecy (PFS) NoNo Offerte per associazioni di sicurezza QM basate su routeRouteBased QM SA Offers
Rilevamento peer inattivoDead Peer Detection (DPD) Non supportateNot supported SupportatoSupported

Offerte per associazioni di sicurezza IPsec VPN basate su route (associazione di sicurezza IKE Modalità rapida)RouteBased VPN IPsec Security Association (IKE Quick Mode SA) Offers

La tabella seguente elenca le offerte per associazioni di sicurezza IPsec (IKE Modalità rapida).The following table lists IPsec SA (IKE Quick Mode) Offers. Le offerte sono elencate nell'ordine di preferenza di presentazione o di accettazione dell'offerta.Offers are listed the order of preference that the offer is presented or accepted.

Gateway Azure come iniziatoreAzure Gateway as initiator

- CrittografiaEncryption AutenticazioneAuthentication Gruppo PFSPFS Group
11 GCM AES256GCM AES256 GCM (AES256)GCM (AES256) NoneNone
22 AES256AES256 SHA1SHA1 NoneNone
33 3DES3DES SHA1SHA1 NoneNone
44 AES256AES256 SHA256SHA256 NoneNone
55 AES128AES128 SHA1SHA1 NoneNone
66 3DES3DES SHA256SHA256 NoneNone

Gateway Azure come risponditoreAzure Gateway as responder

- CrittografiaEncryption AutenticazioneAuthentication Gruppo PFSPFS Group
11 GCM AES256GCM AES256 GCM (AES256)GCM (AES256) NoneNone
22 AES256AES256 SHA1SHA1 NoneNone
33 3DES3DES SHA1SHA1 NoneNone
44 AES256AES256 SHA256SHA256 NoneNone
55 AES128AES128 SHA1SHA1 NoneNone
66 3DES3DES SHA256SHA256 NoneNone
77 DESDES SHA1SHA1 NoneNone
88 AES256AES256 SHA1SHA1 11
99 AES256AES256 SHA1SHA1 22
1010 AES256AES256 SHA1SHA1 1414
1111 AES128AES128 SHA1SHA1 11
1212 AES128AES128 SHA1SHA1 22
1313 AES128AES128 SHA1SHA1 1414
1414 3DES3DES SHA1SHA1 11
1515 3DES3DES SHA1SHA1 22
1616 3DES3DES SHA256SHA256 22
1717 AES256AES256 SHA256SHA256 11
1818 AES256AES256 SHA256SHA256 22
1919 AES256AES256 SHA256SHA256 1414
2020 AES256AES256 SHA1SHA1 2424
2121 AES256AES256 SHA256SHA256 2424
2222 AES128AES128 SHA256SHA256 NoneNone
2323 AES128AES128 SHA256SHA256 11
2424 AES128AES128 SHA256SHA256 22
2525 AES128AES128 SHA256SHA256 1414
2626 3DES3DES SHA1SHA1 1414
  • È possibile specificare la crittografia NULL ESP IPsec con gateway VPN RouteBased e con prestazioni elevate.You can specify IPsec ESP NULL encryption with RouteBased and HighPerformance VPN gateways. La crittografia basata su null non fornisce protezione ai dati in transito e deve essere usata solo quando sono richieste una velocità effettiva massima e una latenza minima.Null based encryption does not provide protection to data in transit, and should only be used when maximum throughput and minimum latency is required. I client possono scegliere di usare questa crittografia in scenari di comunicazione tra reti virtuali oppure quando la crittografia viene applicata in un'altra posizione nella soluzione.Clients may choose to use this in VNet-to-VNet communication scenarios, or when encryption is being applied elsewhere in the solution.
  • Per la connettività cross-premise tramite Internet, usare le impostazioni del gateway VPN di Azure predefinite con algoritmi di crittografia e hash elencati nelle tabelle precedenti, per garantire la sicurezza delle comunicazioni critiche.For cross-premises connectivity through the Internet, use the default Azure VPN gateway settings with encryption and hashing algorithms listed in the tables above to ensure security of your critical communication.

Problemi noti di compatibilità del dispositivoKnown device compatibility issues

Importante

Si tratta dei problemi di compatibilità noti tra i dispositivi VPN di terze parti e i gateway VPN di Azure.These are the known compatibility issues between third-party VPN devices and Azure VPN gateways. Il team di Azure collabora attivamente con i fornitori per risolvere i problemi elencati di seguito.The Azure team is actively working with the vendors to address the issues listed here. Dopo aver risolto i problemi, questa pagina verrà aggiornata con le informazioni più recenti.Once the issues are resolved, this page will be updated with the most up-to-date information. Controllarla periodicamente.Please check back periodically.

16 febbraio 2017Feb. 16, 2017

Dispositivi di Palo Alto Networks precedenti alla versione 7.1.4 per le connessioni VPN basate su route di Azure: se si usano dispositivi VPN di Palo Alto Networks con versione PAN-OS precedente alla versione 7.1.4 e si verificano problemi di connettività per i gateway VPN basati su route di Azure, eseguire i passaggi seguenti:Palo Alto Networks devices with version prior to 7.1.4 for Azure route-based VPN: If you are using VPN devices from Palo Alto Networks with PAN-OS version prior to 7.1.4 and are experiencing connectivity issues to Azure route-based VPN gateways, perform the following steps:

  1. Controllare la versione del firmware del dispositivo di Palo Alto Networks.Check the firmware version of your Palo Alto Networks device. Se la versione PAN-OS è antecedente alla versione 7.1.4, aggiornarla a questa versione.If your PAN-OS version is older than 7.1.4, upgrade to 7.1.4.
  2. Nel dispositivo di Palo Alto Networks, modificare la durata della fase 2 SA (o SA in modalità rapida) impostandola su 28.800 secondi (8 ore) quando si esegue la connessione al gateway VPN di Azure.On the Palo Alto Networks device, change the Phase 2 SA (or Quick Mode SA) lifetime to 28,800 seconds (8 hours) when connecting to the Azure VPN gateway.
  3. Se si verificano ancora problemi di connettività, aprire una richiesta di supporto dal portale di Azure.If you are still experiencing connectivity issues, open a support request from the Azure portal.