VPN-apparaten en IPSec-/IKE-parameters voor site-naar-site-VPN-gateway-verbindingen
U hebt een VPN-apparaat nodig om een cross-premises site-naar-site-VPN-verbinding te configureren. Site-naar-site-verbindingen kunnen worden gebruikt om een hybride oplossing te maken of wanneer u beveiligde verbindingen wilt maken tussen uw on-premises netwerken en virtuele netwerken. Dit artikel bevat een lijst met gevalideerde VPN-apparaten en een lijst met IPSec-/IKE-parameters voor VPN-gateways.
Belangrijk
Raadpleeg Bekende compatibiliteitsproblemen als u problemen ondervindt met de connectiviteit tussen uw lokale VPN-apparaten en VPN-gateways.
Waar u op moet letten wanneer u de tabellen bekijkt:
- Er is een terminologiewijziging voor Azure VPN-gateways. Alleen de namen zijn gewijzigd. Er is geen wijziging in de functionaliteit.
- Statische routering = PolicyBased
- Dynamische routering = RouteBased
- De specificaties voor een HighPerformance-VPN-gateway en een RouteBased VPN-gateway zijn hetzelfde, tenzij anders wordt vermeld. Zo zijn de gevalideerde VPN-apparaten die compatibel zijn met RouteBased VPN-gateways, ook compatibel met de HighPerformance VPN-gateway.
Gevalideerde VPN-apparaten en apparaatconfiguratiehandleidingen
We hebben samen met apparaatleveranciers een reeks standaard VPN-apparaten gevalideerd. Alle apparaten in de apparaatfamilies in de volgende lijst kunnen met VPN-gateways worden gebruikt. Zie Over VPN-gatewayinstellingen voor informatie over welk VPN-type u moet gebruiken (PolicyBased of RouteBased) voor de VPN-gatewayoplossing die u wilt configureren.
Raadpleeg de koppelingen die overeenkomen met de juiste apparaatfamilie om uw VPN-apparaat te configureren. De koppelingen naar configuratie-instructies worden naar beste vermogen geleverd. Voor ondersteuning van VPN-apparaten neemt u contact op met de fabrikant van uw apparaat.
| Leverancier | Apparaatfamilie | Minimale versie van het besturingssysteem | PolicyBased configuratie-instructies | RouteBased configuratie-instructies |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | Niet compatibel | Configuratiehandleiding |
| Ahnlab | TrusGuard | TG 2.7.6 TG 3.5.x |
Niet getest | Configuratiehandleiding |
| Allied Telesis | VPN-routers uit AR-serie | AR-Series 5.4.7+ | Configuratiehandleiding | Configuratiehandleiding |
| Arista | CloudEOS-router | vEOS 4.24.0FX | Niet getest | Configuratiehandleiding |
| Barracuda Networks, Inc. | Barracuda CloudGen-firewall | PolicyBased: 5.4.3 RouteBased: 6.2.0 |
Configuratiehandleiding | Configuratiehandleiding |
| Check Point | Security Gateway | R80.10 | Configuratiehandleiding | Configuratiehandleiding |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
Ondersteund | Configuratiehandleiding* |
| Cisco | ASR | PolicyBased: IOS 15.1 RouteBased: IOS 15.2 |
Ondersteund | Ondersteund |
| Cisco | MVO | RouteBased: IOS-XE 16.10 | Niet getest | Configuratiescript |
| Cisco | ISR | PolicyBased: IOS 15.0 RouteBased*: IOS 15.1 |
Ondersteund | Ondersteund |
| Cisco | Meraki (MX) | MX v15.12 | Niet compatibel | Configuratiehandleiding |
| Cisco | vEdge (Viptela OS) | 18.4.0 (actief/passief) 19.2 (actief/actief-modus) |
Niet compatibel | Handmatige configuratie (actief/passief) Cloud onramp-configuratie (actief/actief) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 en hoger | Configuratiehandleiding | Niet compatibel |
| F5 | BIG-IP-serie | 12.0 | Configuratiehandleiding | Configuratiehandleiding |
| Fortinet | FortiGate | FortiOS 5.6 | Niet getest | Configuratiehandleiding |
| Hillstone Networks | Next-Gen Firewalls (NGFW) | 5.5R7 | Niet getest | Configuratiehandleiding |
| Internet Initiative Japan (IIJ) | SEIL-serie | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Configuratiehandleiding | Niet compatibel |
| Juniper | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
Ondersteund | Configuratiescript |
| Juniper | J-serie | PolicyBased: JunOS 10.4r9 RouteBased: JunOS 11.4 |
Ondersteund | Configuratiescript |
| Juniper | ISG | ScreenOS 6.3 | Ondersteund | Configuratiescript |
| Juniper | SSG | ScreenOS 6.2 | Ondersteund | Configuratiescript |
| Juniper | MX | JunOS 12.x | Ondersteund | Configuratiescript |
| Microsoft | Routering en Remote Access-Service | Windows Server 2012 | Niet compatibel | Ondersteund |
| Open Systems AG | Mission Control Security Gateway | N.v.t. | Configuratiehandleiding | Niet compatibel |
| Palo Alto Networks | Alle apparaten waarop PAN-OS wordt uitgevoerd | PAN-OS PolicyBased: 6.1.5 of hoger RouteBased: 7.1.4 |
Ondersteund | Configuratiehandleiding |
| Sentrium (ontwikkelaar) | VyOS | VyOS 1.2.2 | Niet getest | Configuratiehandleiding |
| ShareTech | Next Generation UTM (NU-serie) | 9.0.1.3 | Niet compatibel | Configuratiehandleiding |
| SonicWall | TZ-serie, NSA-serie SuperMassive-serie E-Class NSA-serie |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Niet compatibel | Configuratiehandleiding |
| Sophos | XG Firewall van de volgende generatie | XG v17 | Niet getest | Configuratiehandleiding Configuratiehandleiding - Meerdere SAS's |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Niet getest | Configuratiehandleiding |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 | Niet getest | BGP via IKEv2/IPsec VTI via IKEv2/IPsec |
| Ultra | 3E-636L3 | 5.2.0.T3 Build-13 | Niet getest | Configuratiehandleiding |
| WatchGuard | Alles | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
Configuratiehandleiding | Configuratiehandleiding |
| Zyxel | ZyWALL USG-serie ZyWALL ATP-serie ZyWALL VPN-serie |
ZLD v4.32+ | Niet getest | VTI via IKEv2/IPsec BGP via IKEv2/IPsec |
Notitie
(*) Met Cisco ASA versie 8.4 en hoger wordt IKEv2-ondersteuning toegevoegd en kan verbinding worden gemaakt met Azure VPN-gateways met behulp van een aangepast IPsec/IKE-beleid met de optie UsePolicyBasedTrafficSelectors. Raadpleeg dit artikel met instructies.
(**) Routers uit de ISR 7200-serie bieden alleen ondersteuning voor PolicyBased VPN's.
Configuratiescripts voor VPN-apparaten downloaden van Azure
Voor bepaalde apparaten kunt u configuratiescripts rechtstreeks vanuit Azure downloaden. Zie Configuratiescripts voor VPN-apparaten downloaden voor meer informatie en downloadinstructies.
Apparaten met beschikbare configuratiescripts
| Leverancier | Apparaatfamilie | Firmwareversie |
|---|---|---|
| Cisco | ISR | IOS 15.1 (preview) |
| Cisco | ASA | ASA ( * ) RouteBased (IKEv2- geen BGP) voor ASA-versies ouder dan 9.8 |
| Cisco | ASA | ASA RouteBased (IKEv2 - geen BGP) voor ASA 9.8+ |
| Juniper | SRX_GA | 12.x |
| Juniper | SSG_GA | ScreenOS 6.2.x |
| Juniper | JSeries_GA | JunOS 12.x |
| Juniper | SRX | JunOS 12.x RouteBased BGP |
| Ubiquiti | EdgeRouter | EdgeOS v1.10x RouteBased VTI |
| Ubiquiti | EdgeRouter | EdgeOS v1.10x RouteBased BGP |
Notitie
(*) Vereist: NarrowAzureTrafficSelectors (UsePolicyBasedTrafficSelectors-optie inschakelen) en CustomAzurePolicies (IKE/IPsec)
Niet-gevalideerde VPN-apparaten
Als uw apparaat niet in de tabel met gevalideerde VPN-apparaten wordt vermeld, werkt het misschien toch met een site-naar-site-verbinding. Neem contact op met de fabrikant van uw apparaat voor aanvullende ondersteuning en configuratie-instructies.
Voorbeelden van het bewerken van apparaatconfiguraties
Nadat u het bij het VPN-apparaat meegeleverde configuratievoorbeeld hebt gedownload, moet u enkele waarden veranderen zodat ze overeenkomen met de instellingen voor uw omgeving.
U bewerkt een voorbeeld als volgt:
- Open het voorbeeld met Kladblok.
- Zoek alle <tekst>-tekenreeksen en vervang ze door de waarden die betrekking hebben op uw omgeving. Zorg dat u < en > opneemt. Als u een naam opgeeft, moet deze uniek zijn. Als een opdracht niet werkt, raadpleeg dan de documentatie van de fabrikant van uw apparaat.
| Voorbeeldtekst | Wijzig in |
|---|---|
| <RP_OnPremisesNetwork> | De naam die u voor dit object hebt gekozen. Voorbeeld: myOnPremisesNetwork |
| <RP_AzureNetwork> | De naam die u voor dit object hebt gekozen. Voorbeeld: myAzureNetwork |
| <RP_AccessList> | De naam die u voor dit object hebt gekozen. Voorbeeld: myAzureAccessList |
| <RP_IPSecTransformSet> | De naam die u voor dit object hebt gekozen. Voorbeeld: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | De naam die u voor dit object hebt gekozen. Voorbeeld: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | Geef het bereik op. Voorbeeld: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Geef het subnetmasker op. Voorbeeld: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Geef het on-premises bereik op. Voorbeeld: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | Geef het on-premises subnetmasker op. Voorbeeld: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Deze informatie is specifiek voor uw virtuele netwerk en u vindt deze in de beheerportal als IP-adres van gateway. |
| <SP_PresharedKey> | Deze informatie is specifiek voor uw virtuele netwerk en u vindt deze in de beheerportal onder Sleutel beheren. |
Standaard-IPsec-/IKE-parameters
De onderstaande tabellen bevatten de combinaties van algoritmen en parameters die azure VPN-gateways gebruiken in de standaardconfiguratie (standaardbeleid). Voor op routes gebaseerde VPN-gateways die zijn gemaakt met het Azure Resource Management-implementatiemodel, kunt u voor elke afzonderlijke verbinding een aangepast beleid opgeven. Raadpleeg IPsec-/IKE-beleid configureren voor gedetailleerde instructies.
Daarnaast moet u TCP MSS vastspann op 1350. Als uw VPN-apparaten het vastzetten van MSS niet ondersteunen, kunt u in plaats daarvan ook de MTU op de tunnelinterface 1400 instellen op bytes.
In de volgende tabellen:
- SA = Security Association
- IKE Phase 1 wordt ook 'Main Mode' genoemd
- IKE Phase 2 wordt ook 'Quick Mode' genoemd
Parameters voor IKE Phase 1 (Main Mode)
| Eigenschap | PolicyBased | RouteBased |
|---|---|---|
| IKE-versie | IKEv1 | IKEv1 en IKEv2 |
| Diffie-Hellman-groep | Groep 2 (1024 bits) | Groep 2 (1024 bits) |
| Verificatiemethode | Vooraf gedeelde sleutel | Vooraf gedeelde sleutel |
| Versleutelings- en hash-algoritmen | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| SA-levensduur | 28.800 seconden | 28.800 seconden |
Parameters voor IKE Phase 2 (Quick Mode)
| Eigenschap | PolicyBased | RouteBased |
|---|---|---|
| IKE-versie | IKEv1 | IKEv1 en IKEv2 |
| Versleutelings- en hash-algoritmen | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
RouteBased QM SA-aanbiedingen |
| SA-levensduur (tijd) | 3.600 seconden | 27.000 seconden |
| SA-levensduur (bytes) | 102.400.000 kB | 102.400.000 kB |
| Perfect Forward Secrecy (PFS) | Nee | RouteBased QM SA-aanbiedingen |
| Dead Peer Detection (DPD) | Niet ondersteund | Ondersteund |
Aanbiedingen RouteBased VPN IPsec Security Association (IKE Quick Mode SA)
De volgende tabel bevat aanbiedingen van IPSec-SA (IKE Quick Mode). De aanbiedingen staan in volgorde van voorkeur waarin de aanbieding is gepresenteerd of geaccepteerd.
Azure-gateway als initiator
| - | Versleuteling | Verificatie | PFS-groep |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Geen |
| 2 | AES256 | SHA1 | Geen |
| 3 | 3DES | SHA1 | Geen |
| 4 | AES256 | SHA256 | Geen |
| 5 | AES128 | SHA1 | Geen |
| 6 | 3DES | SHA256 | Geen |
Azure-Gateway als antwoorder
| - | Versleuteling | Verificatie | PFS-groep |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Geen |
| 2 | AES256 | SHA1 | Geen |
| 3 | 3DES | SHA1 | Geen |
| 4 | AES256 | SHA256 | Geen |
| 5 | AES128 | SHA1 | Geen |
| 6 | 3DES | SHA256 | Geen |
| 7 | DES | SHA1 | Geen |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | Geen |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- U kunt IPsec ESP NULL-versleuteling opgeven met RouteBased VPN-gateways en HighPerformance VPN-gateways. Op null gebaseerde versleuteling biedt geen beveiliging voor gegevens tijdens de overdracht. Dit mag alleen worden gebruikt wanneer maximale doorvoer en minimale latentie zijn vereist. Clients kunnen ervoor kiezen dit te gebruiken voor communicatie tussen VNET's of wanneer elders in de oplossing versleuteling wordt toegepast.
- Gebruik voor cross-premises connectiviteit via internet de standaardinstellingen voor Azure VPN-gateways met versleuteling en hash-algoritmen die in de tabel hierboven worden vermeld, om beveiliging van uw kritieke communicatie te waarborgen.
Bekende problemen met apparaatcompatibiliteit
Belangrijk
Dit zijn de bekende compatibiliteitsproblemen tussen VPN-apparaten van derden en Azure VPN-gateways. Het team van Azure werkt samen met de leveranciers aan een oplossing voor de hier vermelde problemen. Zodra de problemen zijn opgelost, wordt deze pagina bijgewerkt met de meest actuele informatie. Bekijk deze pagina daarom regelmatig.
16 februari 2017
Palo Alto Networks-apparaten met een oudere versie dan 7.1.4 voor op route gebaseerde Azure VPN: als u VPN-apparaten van Palo Alto Networks gebruikt met een PAN-OS-versie die ouder is dan 7.1.4 en u connectiviteitsproblemen hebt met op route gebaseerde Azure VPN-gateways, voert u de volgende stappen uit:
- Controleer de firmwareversie van uw Palo Alto Networks-apparaat. Als de PAN-OS-versie ouder is dan 7.1.4, voert u een upgrade uit naar 7.1.4.
- Op het Palo Alto Networks-apparaat wijzigt u de levensduur van de beveiligingskoppeling fase 2 (of de beveiligingskoppeling in snelle modus) in 28.800 seconden (8 uur) wanneer er verbinding met de Azure VPN-gateway wordt gemaakt.
- Als het connectiviteitsprobleem zich nog steeds voordoet, opent u een ondersteuningsaanvraag via de Azure-portal.