VPN-apparaten en IPSec-/IKE-parameters voor site-naar-site-VPN-gateway-verbindingen

U hebt een VPN-apparaat nodig om een cross-premises site-naar-site-VPN-verbinding te configureren. Site-naar-site-verbindingen kunnen worden gebruikt om een hybride oplossing te maken of wanneer u beveiligde verbindingen wilt maken tussen uw on-premises netwerken en virtuele netwerken. Dit artikel bevat een lijst met gevalideerde VPN-apparaten en een lijst met IPSec-/IKE-parameters voor VPN-gateways.

Belangrijk

Raadpleeg Bekende compatibiliteitsproblemen als u problemen ondervindt met de connectiviteit tussen uw lokale VPN-apparaten en VPN-gateways.

Waar u op moet letten wanneer u de tabellen bekijkt:

  • Er is een terminologiewijziging voor Azure VPN-gateways. Alleen de namen zijn gewijzigd. Er is geen wijziging in de functionaliteit.
    • Statische routering = PolicyBased
    • Dynamische routering = RouteBased
  • De specificaties voor een HighPerformance-VPN-gateway en een RouteBased VPN-gateway zijn hetzelfde, tenzij anders wordt vermeld. Zo zijn de gevalideerde VPN-apparaten die compatibel zijn met RouteBased VPN-gateways, ook compatibel met de HighPerformance VPN-gateway.

Gevalideerde VPN-apparaten en apparaatconfiguratiehandleidingen

Notitie

Wanneer u een S2S-verbinding configureert, hebt u een openbaar IPv4-adres voor het VPN-apparaat nodig.

We hebben samen met apparaatleveranciers een reeks standaard VPN-apparaten gevalideerd. Alle apparaten in de apparaatfamilies in de volgende lijst kunnen met VPN-gateways worden gebruikt. Zie Over VPN-gatewayinstellingen voor informatie over welk VPN-type u moet gebruiken (PolicyBased of RouteBased) voor de VPN-gatewayoplossing die u wilt configureren.

Voor hulp bij de configuratie van uw VPN-apparaat, raadpleegt u de koppelingen die overeenkomen met de betreffende apparaatstuurprogrammafamilie. De koppelingen naar configuratie-instructies worden naar beste vermogen geleverd. Voor ondersteuning van VPN-apparaten neemt u contact op met de fabrikant van uw apparaat.

Leverancier Apparaatfamilie Minimale versie van het besturingssysteem PolicyBased configuratie-instructies RouteBased configuratie-instructies
A10 Networks, Inc. Thunder CFW ACOS 4.1.1 Niet compatibel Configuratiehandleiding
Allied Telesis VPN-routers uit AR-serie 2.9.2 Binnenkort beschikbaar Niet compatibel
Barracuda Networks, Inc. Barracuda NextGen Firewall F-serie PolicyBased: 5.4.3
RouteBased: 6.2.0
Configuratiehandleiding Configuratiehandleiding
Barracuda Networks, Inc. Barracuda NextGen Firewall X-serie Barracuda Firewall 6.5 Configuratiehandleiding Niet compatibel
Brocade Vyatta 5400 vRouter Virtual Router 6.6R3 GA Configuratiehandleiding Niet compatibel
Check Point Security Gateway R77.30 Configuratiehandleiding Configuratiehandleiding
Cisco ASA 8.3
8.4+ (IKEv2*)
Voorbeelden van configuraties Configuratiehandleiding*
Cisco ASR PolicyBased: IOS 15.1
RouteBased: IOS 15.2
Voorbeelden van configuraties Voorbeelden van configuraties
Cisco ISR PolicyBased: IOS 15.0
RouteBased*: IOS 15.1
Voorbeelden van configuraties Voorbeelden van configuraties**
Citrix NetScaler MPX, SDX, VPX 10.1 en hoger Configuratiehandleiding Niet compatibel
F5 BIG-IP-serie 12.0 Configuratiehandleiding Configuratiehandleiding
Fortinet FortiGate FortiOS 5.4.2 Configuratiehandleiding
Internet Initiative Japan (IIJ) SEIL-serie SEIL/X 4.60
SEIL/B1 4.60
SEIL/x86 3.20
Configuratiehandleiding Niet compatibel
Juniper SRX PolicyBased: JunOS 10.2
Routebased: JunOS 11.4
Voorbeelden van configuraties Voorbeelden van configuraties
Juniper J-serie PolicyBased: JunOS 10.4r9
RouteBased: JunOS 11.4
Voorbeelden van configuraties Voorbeelden van configuraties
Juniper ISG ScreenOS 6.3 Voorbeelden van configuraties Voorbeelden van configuraties
Juniper SSG ScreenOS 6.2 Voorbeelden van configuraties Voorbeelden van configuraties
Microsoft Routering en Remote Access-Service Windows Server 2012 Niet compatibel Voorbeelden van configuraties
Open Systems AG Mission Control Security Gateway N.v.t. Configuratiehandleiding Niet compatibel
Palo Alto Networks Alle apparaten waarop PAN-OS wordt uitgevoerd PAN-OS
PolicyBased: 6.1.5 of hoger
RouteBased: 7.1.4
Configuratiehandleiding Configuratiehandleiding
SonicWall TZ-serie, NSA-serie
SuperMassive-serie
E-Class NSA-serie
SonicOS 5.8.x
SonicOS 5.9.x
SonicOS 6.x
Niet ondersteund Configuratiehandleiding
WatchGuard Alle Fireware XTM
PolicyBased: v11.11.x
RouteBased: v11.12.x
Configuratiehandleiding Configuratiehandleiding

Notitie

(*) Met Cisco ASA versie 8.4 en hoger wordt IKEv2-ondersteuning toegevoegd en kan verbinding worden gemaakt met Azure VPN-gateways met behulp van een aangepast IPsec/IKE-beleid met de optie UsePolicyBasedTrafficSelectors. Raadpleeg dit artikel met instructies.

(**) Routers uit de ISR 7200-serie bieden alleen ondersteuning voor PolicyBased VPN's.

Niet-gevalideerde VPN-apparaten

Als uw apparaat niet in de tabel met gevalideerde VPN-apparaten wordt vermeld, werkt het misschien toch met een site-naar-site-verbinding. Neem contact op met de fabrikant van uw apparaat voor aanvullende ondersteuning en configuratie-instructies.

Voorbeelden van het bewerken van apparaatconfiguraties

Nadat u het bij het VPN-apparaat meegeleverde configuratievoorbeeld hebt gedownload, moet u enkele waarden veranderen zodat ze overeenkomen met de instellingen voor uw omgeving.

U bewerkt een voorbeeld als volgt:

  1. Open het voorbeeld met Kladblok.
  2. Zoek alle <tekst>-tekenreeksen en vervang ze door de waarden die betrekking hebben op uw omgeving. Zorg dat u < en > opneemt. Als u een naam opgeeft, moet deze uniek zijn. Als een opdracht niet werkt, raadpleeg dan de documentatie van de fabrikant van uw apparaat.
Voorbeeldtekst Wijzig in
<RP_OnPremisesNetwork> De naam die u voor dit object hebt gekozen. Voorbeeld: myOnPremisesNetwork
<RP_AzureNetwork> De naam die u voor dit object hebt gekozen. Voorbeeld: myAzureNetwork
<RP_AccessList> De naam die u voor dit object hebt gekozen. Voorbeeld: myAzureAccessList
<RP_IPSecTransformSet> De naam die u voor dit object hebt gekozen. Voorbeeld: myIPSecTransformSet
<RP_IPSecCryptoMap> De naam die u voor dit object hebt gekozen. Voorbeeld: myIPSecCryptoMap
<SP_AzureNetworkIpRange> Geef het bereik op. Voorbeeld: 192.168.0.0
<SP_AzureNetworkSubnetMask> Geef het subnetmasker op. Voorbeeld: 255.255.0.0
<SP_OnPremisesNetworkIpRange> Geef het on-premises bereik op. Voorbeeld: 10.2.1.0
<SP_OnPremisesNetworkSubnetMask> Geef het on-premises subnetmasker op. Voorbeeld: 255.255.255.0
<SP_AzureGatewayIpAddress> Deze informatie is specifiek voor uw virtuele netwerk en u vindt deze in de beheerportal als IP-adres van gateway.
<SP_PresharedKey> Deze informatie is specifiek voor uw virtuele netwerk en u vindt deze in de beheerportal onder Sleutel beheren.

IPSec-/IKE-parameters

Belangrijk

  1. De onderstaande tabellen bevatten de combinaties van algoritmen en parameters die in de standaardconfiguratie voor Azure VPN-gateways worden gebruikt. Voor op routes gebaseerde VPN-gateways die zijn gemaakt met het Azure Resource Management-implementatiemodel, kunt u voor elke afzonderlijke verbinding een aangepast beleid opgeven. Raadpleeg Configure IPsec/IKE policy (IPsec/IKE-beleid configureren) voor gedetailleerde instructies.

  2. Bovendien moet u TCP MSS vastzetten op 1350. Als uw VPN-apparaten het vastzetten van MSS niet ondersteunen, kunt u in plaats daarvan ook de MTU op de tunnelinterface 1400 instellen op bytes.

In de volgende tabellen:

  • SA = Security Association
  • IKE Phase 1 wordt ook 'Main Mode' genoemd
  • IKE Phase 2 wordt ook 'Quick Mode' genoemd

Parameters voor IKE Phase 1 (Main Mode)

Eigenschap PolicyBased RouteBased
IKE-versie IKEv1 IKEv2
Diffie-Hellman-groep Groep 2 (1024 bits) Groep 2 (1024 bits)
Verificatiemethode Vooraf gedeelde sleutel Vooraf gedeelde sleutel
Versleutelings- en hash-algoritmen 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
1. AES256, SHA1
2. AES256, SHA256
3. AES128, SHA1
4. AES128, SHA256
5. 3DES, SHA1
6. 3DES, SHA256
SA-levensduur 28.800 seconden 28.800 seconden

Parameters voor IKE Phase 2 (Quick Mode)

Eigenschap PolicyBased RouteBased
IKE-versie IKEv1 IKEv2
Versleutelings- en hash-algoritmen 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
RouteBased QM SA-aanbiedingen
SA-levensduur (tijd) 3.600 seconden 27.000 seconden
SA-levensduur (bytes) 102.400.000 kB -
Perfect Forward Secrecy (PFS) Nee RouteBased QM SA-aanbiedingen
Dead Peer Detection (DPD) Niet ondersteund Ondersteund

Aanbiedingen RouteBased VPN IPsec Security Association (IKE Quick Mode SA)

De volgende tabel bevat aanbiedingen van IPSec-SA (IKE Quick Mode). De aanbiedingen staan in volgorde van voorkeur waarin de aanbieding is gepresenteerd of geaccepteerd.

Azure-gateway als initiator

- Versleuteling Verificatie PFS-groep
1 GCM AES256 GCM (AES256) Geen
2 AES256 SHA1 Geen
3 3DES SHA1 Geen
4 AES256 SHA256 Geen
5 AES128 SHA1 Geen
6 3DES SHA256 Geen

Azure-Gateway als antwoorder

- Versleuteling Verificatie PFS-groep
1 GCM AES256 GCM (AES256) Geen
2 AES256 SHA1 Geen
3 3DES SHA1 Geen
4 AES256 SHA256 Geen
5 AES128 SHA1 Geen
6 3DES SHA256 Geen
7 DES SHA1 Geen
8 AES256 SHA1 1
9 AES256 SHA1 2
10 AES256 SHA1 14
11 AES128 SHA1 1
12 AES128 SHA1 2
13 AES128 SHA1 14
14 3DES SHA1 1
15 3DES SHA1 2
16 3DES SHA256 2
17 AES256 SHA256 1
18 AES256 SHA256 2
19 AES256 SHA256 14
20 AES256 SHA1 24
21 AES256 SHA256 24
22 AES128 SHA256 Geen
23 AES128 SHA256 1
24 AES128 SHA256 2
25 AES128 SHA256 14
26 3DES SHA1 14
  • U kunt IPsec ESP NULL-versleuteling opgeven met RouteBased VPN-gateways en HighPerformance VPN-gateways. Op null gebaseerde versleuteling biedt geen beveiliging voor gegevens tijdens de overdracht. Dit mag alleen worden gebruikt wanneer maximale doorvoer en minimale latentie zijn vereist. Clients kunnen ervoor kiezen dit te gebruiken voor communicatie tussen VNET's of wanneer elders in de oplossing versleuteling wordt toegepast.
  • Gebruik voor cross-premises connectiviteit via internet de standaardinstellingen voor Azure VPN-gateways met versleuteling en hash-algoritmen die in de tabel hierboven worden vermeld, om beveiliging van uw kritieke communicatie te waarborgen.

Bekende compatibiliteitsproblemen

Belangrijk

Dit zijn de bekende compatibiliteitsproblemen tussen VPN-apparaten van derden en Azure VPN-gateways. Het team van Azure werkt samen met de leveranciers aan een oplossing voor de hier vermelde problemen. Zodra de problemen zijn opgelost, wordt deze pagina bijgewerkt met de meest actuele informatie. Bekijk deze pagina daarom regelmatig.

16 februari 2017

Palo Alto Networks-apparaten met een oudere versie dan 7.1.4 voor op route gebaseerde Azure VPN: als u VPN-apparaten van Palo Alto Networks gebruikt met een PAN-OS-versie die ouder is dan 7.1.4 en u connectiviteitsproblemen hebt met op route gebaseerde Azure VPN-gateways, voert u de volgende stappen uit:

  1. Controleer de firmwareversie van uw Palo Alto Networks-apparaat. Als de PAN-OS-versie ouder is dan 7.1.4, voert u een upgrade uit naar 7.1.4.
  2. Op het Palo Alto Networks-apparaat wijzigt u de levensduur van de beveiligingskoppeling fase 2 (of de beveiligingskoppeling in snelle modus) in 28.800 seconden (8 uur) wanneer er verbinding met de Azure VPN-gateway wordt gemaakt.
  3. Als het connectiviteitsprobleem zich nog steeds voordoet, opent u een ondersteuningsaanvraag via de Azure-portal.