Informatie over VPN-apparaten en IPsec/IKE-parameters voor Site-to-Site VPN Gateway-verbindingen

Een VPN-apparaat is vereist om een site-naar-site -verbinding (S2S) te configureren via een VPN-gateway. Site-naar-Site-verbindingen kunnen worden gebruikt om een hybride oplossing te maken, of wanneer u veilige verbindingen wilt tussen uw on-premises netwerken en uw virtuele netwerken. Dit artikel bevat een lijst met gevalideerde VPN-apparaten en een lijst met IPsec/IKE-parameters voor VPN-gateways.

Belangrijk

Als u verbindingsproblemen ondervindt tussen uw on-premises VPN-apparaten en VPN-gateways, raadpleegt u Bekende apparaatcompatibiliteitsproblemen.

Items die u moet noteren bij het weergeven van de tabellen:

  • Er is een terminologiewijziging voor Azure VPN-gateways. Alleen de namen zijn gewijzigd. Er is geen functionaliteitswijziging.
    • Statische routering = PolicyBased
    • Dynamische routering = RouteBased
  • Specificaties voor HighPerformance VPN-gateway en RouteBased VPN-gateway zijn hetzelfde, tenzij anders vermeld. De gevalideerde VPN-apparaten die compatibel zijn met RouteBased VPN-gateways zijn bijvoorbeeld ook compatibel met de HighPerformance VPN-gateway.

Gevalideerde VPN-apparaten en apparaatconfiguratiehulplijnen

In samenwerking met apparaatleveranciers hebben we een set standaard VPN-apparaten gevalideerd. Alle apparaten in de apparaatfamilies in de volgende lijst moeten werken met VPN-gateways. Zie About VPN Gateway Instellingen to understand the VPN type use (PolicyBased or RouteBased) for the VPN Gateway solution you want to configure.

Raadpleeg de koppelingen die overeenkomen met de juiste apparaatfamilie om uw VPN-apparaat te configureren. De koppelingen naar configuratie-instructies worden op basis van best-effort geleverd. Neem voor ondersteuning van VPN-apparaten contact op met de fabrikant van uw apparaat.

Leverancier Apparaatfamilie Minimale os-versie Configuratie-instructies op basis van PolicyBased RouteBased-configuratie-instructies
A10 Networks, Inc. Thunder CFW ACOS 4.1.1 Niet compatibel Configuratiehandleiding
AhnLab TrusGuard TG 2.7.6
TG 3.5.x
Niet getest Configuratiehandleiding
Allied Telesis AR-serie VPN-routers AR-Series 5.4.7+ Configuratiehandleiding Configuratiehandleiding
Arista CloudEOS-router vEOS 4.24.0FX Niet getest Configuratiehandleiding
Barracuda Networks, Inc. Barracuda CloudGen Firewall PolicyBased: 5.4.3
RouteBased: 6.2.0
Configuratiehandleiding Configuratiehandleiding
Controlepunt Beveiligingsgateway R80.10 Configuratiehandleiding Configuratiehandleiding
Cisco ASA 8.3
8,4+ (IKEv2*)
Ondersteund Configuratiehandleiding*
Cisco ASR PolicyBased: IOS 15.1
RouteBased: IOS 15.2
Ondersteund Ondersteund
Cisco MVO RouteBased: IOS-XE 16.10 Niet getest Configuratiescript
Cisco ISR PolicyBased: IOS 15.0
RouteBased*: IOS 15.1
Ondersteund Ondersteund
Cisco Meraki (MX) MX v15.12 Niet compatibel Configuratiehandleiding
Cisco vEdge (Viptela OS) 18.4.0 (Actieve/passieve modus)

19.2 (Active/Active Mode)
Niet compatibel Handmatige configuratie (actief/passief)

Cloud Onramp-configuratie (actief/actief)
Citrix NetScaler MPX, SDX, VPX 10.1 en hoger Configuratiehandleiding Niet compatibel
F5 BIG-IP-reeks 12.0 Configuratiehandleiding Configuratiehandleiding
Fortinet FortiGate FortiOS 5.6 Niet getest Configuratiehandleiding
Hillstone Networks Next-Gen Firewalls (NGFW) 5,5R7 Niet getest Configuratiehandleiding
Internet Initiative Japan (IIJ) SEIL-reeks SEIL/X 4.60
SEIL/B1 4.60
SEIL/x86 3.20
Configuratiehandleiding Niet compatibel
Juniper SRX PolicyBased: JunOS 10.2
Routebased: JunOS 11.4
Ondersteund Configuratiescript
Juniper J-reeks PolicyBased: JunOS 10.4r9
RouteBased: JunOS 11.4
Ondersteund Configuratiescript
Juniper ISG ScreenOS 6.3 Ondersteund Configuratiescript
Juniper SSG ScreenOS 6.2 Ondersteund Configuratiescript
Juniper MX JunOS 12.x Ondersteund Configuratiescript
Microsoft Routerings- en externe toegangsservice Windows Server 2012 Niet compatibel Ondersteund
Open Systems AG Mission Control Security Gateway N/B Configuratiehandleiding Niet compatibel
Palo Alto Networks Alle apparaten met PAN-OS PAN-OS
PolicyBased: 6.1.5 of hoger
RouteBased: 7.1.4
Ondersteund Configuratiehandleiding
Sentrium (ontwikkelaar) VyOS VyOS 1.2.2 Niet getest Configuratiehandleiding
ShareTech Next Generation UTM (NU-reeks) 9.0.1.3 Niet compatibel Configuratiehandleiding
Sonische muur TZ-reeks, NSA-reeks
SuperMassive-reeks
E-Class NSA-reeks
SonicOS 5.8.x
SonicOS 5.9.x
SonicOS 6.x
Niet compatibel Configuratiehandleiding
Sophos XG Next Gen Firewall XG v17 Niet getest Configuratiehandleiding

Configuratiehandleiding - Meerdere SAS's
Synology MR2200ac
RT2600ac
RT1900ac
SRM1.1.5/VpnPlusServer-1.2.0 Niet getest Configuratiehandleiding
Ubiquiti EdgeRouter EdgeOS v1.10 Niet getest BGP over IKEv2/IPsec

VTI over IKEv2/IPsec
Ultra 3E-636L3 5.2.0.T3 Build-13 Niet getest Configuratiehandleiding
WatchGuard Alles Fireware XTM
PolicyBased: v11.11.x
RouteBased: v11.12.x
Configuratiehandleiding Configuratiehandleiding
Zyxel ZyWALL USG-reeks
ZyWALL ATP-reeks
ZyWALL VPN-serie
ZLD v4.32+ Niet getest VTI over IKEv2/IPsec

BGP over IKEv2/IPsec

Opmerking

(*) Cisco ASA-versies 8.4+ voegen IKEv2-ondersteuning toe, kunnen verbinding maken met Azure VPN-gateway met aangepaste IPsec/IKE-beleid met de optie UsePolicyBasedTrafficSelectors. Raadpleeg dit how-to-artikel.

(**) ROUTERS uit de ISR 7200-serie ondersteunen alleen PolicyBased VPN's.

Vpn-apparaatconfiguratiescripts downloaden vanuit Azure

Voor bepaalde apparaten kunt u configuratiescripts rechtstreeks vanuit Azure downloaden. Zie Vpn-apparaatconfiguratiescripts downloaden voor meer informatie en downloadinstructies.

Apparaten met beschikbare configuratiescripts

Leverancier Apparaatfamilie Firmwareversie
Cisco ISR IOS 15.1 (Preview)
Cisco ASA ASA ( * ) RouteBased (IKEv2- Geen BGP) voor ASA onder 9,8
Cisco ASA ASA RouteBased (IKEv2 - Geen BGP) voor ASA 9,8+
Juniper SRX_GA 12.x
Juniper SSG_GA ScreenOS 6.2.x
Juniper JSeries_GA JunOS 12.x
Juniper SRX JunOS 12.x RouteBased BGP
Ubiquiti EdgeRouter EdgeOS v1.10x RouteBased VTI
Ubiquiti EdgeRouter EdgeOS v1.10x RouteBased BGP

Opmerking

( * ) Vereist: NarrowAzureTrafficSelectors (optie UsePolicyBasedTrafficSelectors inschakelen) en CustomAzurePolicies (IKE/IPsec)

Niet-gevalideerde VPN-apparaten

Als u uw apparaat niet ziet in de tabel Gevalideerde VPN-apparaten, werkt uw apparaat mogelijk nog steeds met een Site-naar-Site-verbinding. Neem contact op met de fabrikant van uw apparaat voor aanvullende ondersteunings- en configuratie-instructies.

Voorbeelden van apparaatconfiguratie bewerken

Nadat u het voorbeeld van de configuratie van het vpn-apparaat hebt gedownload, moet u enkele waarden vervangen om de instellingen voor uw omgeving weer te geven.

Een voorbeeld bewerken:

  1. Open het voorbeeld met Kladblok.
  2. Alle tekenreeksen zoeken en vervangen door de waarden die betrekking hebben <<> op uw omgeving. Zorg ervoor dat u opnemen < en > . Wanneer een naam is opgegeven, moet de naam die u selecteert uniek zijn. Als een opdracht niet werkt, raadpleegt u de documentatie van de fabrikant van uw apparaat.
Voorbeeldtekst Wijzigen in
<RP_OnPremisesNetwork> De gekozen naam voor dit object. Voorbeeld: myOnPremisesNetwork
<RP_AzureNetwork> De gekozen naam voor dit object. Voorbeeld: myAzureNetwork
<RP_AccessList> De gekozen naam voor dit object. Voorbeeld: myAzureAccessList
<RP_IPSecTransformSet> De gekozen naam voor dit object. Voorbeeld: myIPSecTransformSet
<RP_IPSecCryptoMap> De gekozen naam voor dit object. Voorbeeld: myIPSecCryptoMap
<SP_AzureNetworkIpRange> Bereik opgeven. Voorbeeld: 192.168.0.0
<SP_AzureNetworkSubnetMask> Subnetmasker opgeven. Voorbeeld: 255.255.0.0
<SP_OnPremisesNetworkIpRange> Geef on-premises bereik op. Voorbeeld: 10.2.1.0
<SP_OnPremisesNetworkSubnetMask> Geef on-premises subnetmasker op. Voorbeeld: 255.255.255.0
<SP_AzureGatewayIpAddress> Deze informatie is specifiek voor uw virtuele netwerk en bevindt zich in de Beheerportal als Gateway IP-adres.
<SP_PresharedKey> Deze informatie is specifiek voor uw virtuele netwerk en bevindt zich in de beheerportal als sleutel beheren.

Standaard-IPsec-/IKE-parameters

De onderstaande tabellen bevatten de combinaties van algoritmen en parameters die Azure VPN-gateways gebruiken in standaardconfiguratie (Standaardbeleid). Voor routegebaseerde VPN-gateways die zijn gemaakt met het Azure Resource Management-implementatiemodel, kunt u een aangepast beleid opgeven voor elke afzonderlijke verbinding. Raadpleeg IPsec-/IKE-beleid configureren voor gedetailleerde instructies.

Bovendien moet u TCP MSS klem bij 1350. Of als uw VPN-apparaten mss-kleming niet ondersteunen, kunt u de MTU op de tunnelinterface in plaats daarvan instellen op 1400 bytes.

In de volgende tabellen:

  • SA = Beveiligings association
  • IKE Fase 1 wordt ook wel 'Hoofdmodus' genoemd
  • IKE Fase 2 wordt ook wel 'Snelle modus' genoemd

IKE Fase 1 (hoofdmodus) parameters

Eigenschap PolicyBased RouteBased
IKE-versie IKEv1 IKEv1 en IKEv2
Diffie-Hellman Groep Groep 2 (1024 bits) Groep 2 (1024 bits)
Verificatiemethode Vooraf gedeelde sleutel Vooraf gedeelde sleutel
Algoritmen & voor versleutelingshashing 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
1. AES256, SHA1
2. AES256, SHA256
3. AES128, SHA1
4. AES128, SHA256
5. 3DES, SHA1
6. 3DES, SHA256
SA-levensduur 28.800 seconden 28.800 seconden

PARAMETERS VAN IKE Fase 2 (Snelle modus)

Eigenschap PolicyBased RouteBased
IKE-versie IKEv1 IKEv1 en IKEv2
Algoritmen & voor versleutelingshashing 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
RouteBased QM SA Offers
SA Lifetime (tijd) 3.600 seconden 27.000 seconden
SA Lifetime (Bytes) 102.400.000 KB 102.400.000 KB
Perfect Forward Geheimhouding (PFS) Nee RouteBased QM SA Offers
Detectie van doodlopende peers (DPD) Niet ondersteund Ondersteund

RouteBased VPN IPsec Security Association (IKE Quick Mode SA) Offers

De volgende tabel bevat IPsec SA -aanbiedingen (IKE Quick Mode). Aanbiedingen worden vermeld in de volgorde van voorkeur die de aanbieding wordt gepresenteerd of geaccepteerd.

Azure Gateway als initiator

- Versleuteling Verificatie PFS-groep
1 GCM AES256 GCM (AES256) Geen
2 AES256 SHA1 Geen
3 3DES SHA1 Geen
4 AES256 SHA256 Geen
5 AES128 SHA1 Geen
6 3DES SHA256 Geen

Azure Gateway als responder

- Versleuteling Verificatie PFS-groep
1 GCM AES256 GCM (AES256) Geen
2 AES256 SHA1 Geen
3 3DES SHA1 Geen
4 AES256 SHA256 Geen
5 AES128 SHA1 Geen
6 3DES SHA256 Geen
7 DES SHA1 Geen
8 AES256 SHA1 1
9 AES256 SHA1 2
10 AES256 SHA1 14
11 AES128 SHA1 1
12 AES128 SHA1 2
13 AES128 SHA1 14
14 3DES SHA1 1
15 3DES SHA1 2
16 3DES SHA256 2
17 AES256 SHA256 1
18 AES256 SHA256 2
19 AES256 SHA256 14
20 AES256 SHA1 24
21 AES256 SHA256 24
22 AES128 SHA256 Geen
23 AES128 SHA256 1
24 AES128 SHA256 2
25 AES128 SHA256 14
26 3DES SHA1 14
  • U kunt IPsec ESP NULL-versleuteling opgeven met Vpn-gateways RouteBased en HighPerformance. Null-versleuteling biedt geen beveiliging voor gegevens die onderweg zijn en mag alleen worden gebruikt wanneer maximale doorvoer en minimale latentie vereist zijn. Clients kunnen ervoor kiezen om dit te gebruiken in VNet-to-VNet-communicatiescenario's of wanneer versleuteling ergens anders in de oplossing wordt toegepast.
  • Voor cross-premises connectiviteit via internet gebruikt u de standaardinstellingen van de Azure VPN-gateway met versleutelings- en hashing-algoritmen in de bovenstaande tabellen om de beveiliging van uw kritieke communicatie te waarborgen.

Bekende apparaatcompatibiliteitsproblemen

Belangrijk

Dit zijn de bekende compatibiliteitsproblemen tussen VPN-apparaten van derden en Azure VPN-gateways. Het Azure-team werkt actief samen met de leveranciers om de problemen op te lossen die hier worden vermeld. Zodra de problemen zijn opgelost, wordt deze pagina bijgewerkt met de meest recente informatie. Controleer het regelmatig.

16 februari 2017

Palo Alto Networks-apparaten met versie vóór 7.1.4 voor Vpn op basis van Azure-route: Als u VPN-apparaten van Palo Alto Networks gebruikt met een PAN-OS-versie vóór 7.1.4 en verbindingsproblemen ondervindt met Azure Route-VPN-gateways, voert u de volgende stappen uit:

  1. Controleer de firmwareversie van uw Palo Alto Networks-apparaat. Als uw PAN-OS-versie ouder is dan 7.1.4, upgradet u naar 7.1.4.
  2. Wijzig op het apparaat Palo Alto Networks de levensduur van fase 2 SA (of Quick Mode SA) in 28.800 seconden (8 uur) wanneer u verbinding maakt met de Azure VPN-gateway.
  3. Als u nog steeds verbindingsproblemen ondervindt, opent u een ondersteuningsaanvraag vanuit de Azure-portal.