Informatie over VPN-apparaten en IPsec/IKE-parameters voor Site-to-Site VPN Gateway-verbindingen
Een VPN-apparaat is vereist om een site-naar-site -verbinding (S2S) te configureren via een VPN-gateway. Site-naar-Site-verbindingen kunnen worden gebruikt om een hybride oplossing te maken, of wanneer u veilige verbindingen wilt tussen uw on-premises netwerken en uw virtuele netwerken. Dit artikel bevat een lijst met gevalideerde VPN-apparaten en een lijst met IPsec/IKE-parameters voor VPN-gateways.
Belangrijk
Als u verbindingsproblemen ondervindt tussen uw on-premises VPN-apparaten en VPN-gateways, raadpleegt u Bekende apparaatcompatibiliteitsproblemen.
Items die u moet noteren bij het weergeven van de tabellen:
- Er is een terminologiewijziging voor Azure VPN-gateways. Alleen de namen zijn gewijzigd. Er is geen functionaliteitswijziging.
- Statische routering = PolicyBased
- Dynamische routering = RouteBased
- Specificaties voor HighPerformance VPN-gateway en RouteBased VPN-gateway zijn hetzelfde, tenzij anders vermeld. De gevalideerde VPN-apparaten die compatibel zijn met RouteBased VPN-gateways zijn bijvoorbeeld ook compatibel met de HighPerformance VPN-gateway.
Gevalideerde VPN-apparaten en apparaatconfiguratiehulplijnen
In samenwerking met apparaatleveranciers hebben we een set standaard VPN-apparaten gevalideerd. Alle apparaten in de apparaatfamilies in de volgende lijst moeten werken met VPN-gateways. Zie About VPN Gateway Instellingen to understand the VPN type use (PolicyBased or RouteBased) for the VPN Gateway solution you want to configure.
Raadpleeg de koppelingen die overeenkomen met de juiste apparaatfamilie om uw VPN-apparaat te configureren. De koppelingen naar configuratie-instructies worden op basis van best-effort geleverd. Neem voor ondersteuning van VPN-apparaten contact op met de fabrikant van uw apparaat.
| Leverancier | Apparaatfamilie | Minimale os-versie | Configuratie-instructies op basis van PolicyBased | RouteBased-configuratie-instructies |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | Niet compatibel | Configuratiehandleiding |
| AhnLab | TrusGuard | TG 2.7.6 TG 3.5.x |
Niet getest | Configuratiehandleiding |
| Allied Telesis | AR-serie VPN-routers | AR-Series 5.4.7+ | Configuratiehandleiding | Configuratiehandleiding |
| Arista | CloudEOS-router | vEOS 4.24.0FX | Niet getest | Configuratiehandleiding |
| Barracuda Networks, Inc. | Barracuda CloudGen Firewall | PolicyBased: 5.4.3 RouteBased: 6.2.0 |
Configuratiehandleiding | Configuratiehandleiding |
| Controlepunt | Beveiligingsgateway | R80.10 | Configuratiehandleiding | Configuratiehandleiding |
| Cisco | ASA | 8.3 8,4+ (IKEv2*) |
Ondersteund | Configuratiehandleiding* |
| Cisco | ASR | PolicyBased: IOS 15.1 RouteBased: IOS 15.2 |
Ondersteund | Ondersteund |
| Cisco | MVO | RouteBased: IOS-XE 16.10 | Niet getest | Configuratiescript |
| Cisco | ISR | PolicyBased: IOS 15.0 RouteBased*: IOS 15.1 |
Ondersteund | Ondersteund |
| Cisco | Meraki (MX) | MX v15.12 | Niet compatibel | Configuratiehandleiding |
| Cisco | vEdge (Viptela OS) | 18.4.0 (Actieve/passieve modus) 19.2 (Active/Active Mode) |
Niet compatibel | Handmatige configuratie (actief/passief) Cloud Onramp-configuratie (actief/actief) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 en hoger | Configuratiehandleiding | Niet compatibel |
| F5 | BIG-IP-reeks | 12.0 | Configuratiehandleiding | Configuratiehandleiding |
| Fortinet | FortiGate | FortiOS 5.6 | Niet getest | Configuratiehandleiding |
| Hillstone Networks | Next-Gen Firewalls (NGFW) | 5,5R7 | Niet getest | Configuratiehandleiding |
| Internet Initiative Japan (IIJ) | SEIL-reeks | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Configuratiehandleiding | Niet compatibel |
| Juniper | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
Ondersteund | Configuratiescript |
| Juniper | J-reeks | PolicyBased: JunOS 10.4r9 RouteBased: JunOS 11.4 |
Ondersteund | Configuratiescript |
| Juniper | ISG | ScreenOS 6.3 | Ondersteund | Configuratiescript |
| Juniper | SSG | ScreenOS 6.2 | Ondersteund | Configuratiescript |
| Juniper | MX | JunOS 12.x | Ondersteund | Configuratiescript |
| Microsoft | Routerings- en externe toegangsservice | Windows Server 2012 | Niet compatibel | Ondersteund |
| Open Systems AG | Mission Control Security Gateway | N/B | Configuratiehandleiding | Niet compatibel |
| Palo Alto Networks | Alle apparaten met PAN-OS | PAN-OS PolicyBased: 6.1.5 of hoger RouteBased: 7.1.4 |
Ondersteund | Configuratiehandleiding |
| Sentrium (ontwikkelaar) | VyOS | VyOS 1.2.2 | Niet getest | Configuratiehandleiding |
| ShareTech | Next Generation UTM (NU-reeks) | 9.0.1.3 | Niet compatibel | Configuratiehandleiding |
| Sonische muur | TZ-reeks, NSA-reeks SuperMassive-reeks E-Class NSA-reeks |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Niet compatibel | Configuratiehandleiding |
| Sophos | XG Next Gen Firewall | XG v17 | Niet getest | Configuratiehandleiding Configuratiehandleiding - Meerdere SAS's |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Niet getest | Configuratiehandleiding |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 | Niet getest | BGP over IKEv2/IPsec VTI over IKEv2/IPsec |
| Ultra | 3E-636L3 | 5.2.0.T3 Build-13 | Niet getest | Configuratiehandleiding |
| WatchGuard | Alles | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
Configuratiehandleiding | Configuratiehandleiding |
| Zyxel | ZyWALL USG-reeks ZyWALL ATP-reeks ZyWALL VPN-serie |
ZLD v4.32+ | Niet getest | VTI over IKEv2/IPsec BGP over IKEv2/IPsec |
Opmerking
(*) Cisco ASA-versies 8.4+ voegen IKEv2-ondersteuning toe, kunnen verbinding maken met Azure VPN-gateway met aangepaste IPsec/IKE-beleid met de optie UsePolicyBasedTrafficSelectors. Raadpleeg dit how-to-artikel.
(**) ROUTERS uit de ISR 7200-serie ondersteunen alleen PolicyBased VPN's.
Vpn-apparaatconfiguratiescripts downloaden vanuit Azure
Voor bepaalde apparaten kunt u configuratiescripts rechtstreeks vanuit Azure downloaden. Zie Vpn-apparaatconfiguratiescripts downloaden voor meer informatie en downloadinstructies.
Apparaten met beschikbare configuratiescripts
| Leverancier | Apparaatfamilie | Firmwareversie |
|---|---|---|
| Cisco | ISR | IOS 15.1 (Preview) |
| Cisco | ASA | ASA ( * ) RouteBased (IKEv2- Geen BGP) voor ASA onder 9,8 |
| Cisco | ASA | ASA RouteBased (IKEv2 - Geen BGP) voor ASA 9,8+ |
| Juniper | SRX_GA | 12.x |
| Juniper | SSG_GA | ScreenOS 6.2.x |
| Juniper | JSeries_GA | JunOS 12.x |
| Juniper | SRX | JunOS 12.x RouteBased BGP |
| Ubiquiti | EdgeRouter | EdgeOS v1.10x RouteBased VTI |
| Ubiquiti | EdgeRouter | EdgeOS v1.10x RouteBased BGP |
Opmerking
( * ) Vereist: NarrowAzureTrafficSelectors (optie UsePolicyBasedTrafficSelectors inschakelen) en CustomAzurePolicies (IKE/IPsec)
Niet-gevalideerde VPN-apparaten
Als u uw apparaat niet ziet in de tabel Gevalideerde VPN-apparaten, werkt uw apparaat mogelijk nog steeds met een Site-naar-Site-verbinding. Neem contact op met de fabrikant van uw apparaat voor aanvullende ondersteunings- en configuratie-instructies.
Voorbeelden van apparaatconfiguratie bewerken
Nadat u het voorbeeld van de configuratie van het vpn-apparaat hebt gedownload, moet u enkele waarden vervangen om de instellingen voor uw omgeving weer te geven.
Een voorbeeld bewerken:
- Open het voorbeeld met Kladblok.
- Alle tekenreeksen zoeken en vervangen door de waarden die betrekking hebben <<> op uw omgeving. Zorg ervoor dat u opnemen < en > . Wanneer een naam is opgegeven, moet de naam die u selecteert uniek zijn. Als een opdracht niet werkt, raadpleegt u de documentatie van de fabrikant van uw apparaat.
| Voorbeeldtekst | Wijzigen in |
|---|---|
| <RP_OnPremisesNetwork> | De gekozen naam voor dit object. Voorbeeld: myOnPremisesNetwork |
| <RP_AzureNetwork> | De gekozen naam voor dit object. Voorbeeld: myAzureNetwork |
| <RP_AccessList> | De gekozen naam voor dit object. Voorbeeld: myAzureAccessList |
| <RP_IPSecTransformSet> | De gekozen naam voor dit object. Voorbeeld: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | De gekozen naam voor dit object. Voorbeeld: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | Bereik opgeven. Voorbeeld: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Subnetmasker opgeven. Voorbeeld: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Geef on-premises bereik op. Voorbeeld: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | Geef on-premises subnetmasker op. Voorbeeld: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Deze informatie is specifiek voor uw virtuele netwerk en bevindt zich in de Beheerportal als Gateway IP-adres. |
| <SP_PresharedKey> | Deze informatie is specifiek voor uw virtuele netwerk en bevindt zich in de beheerportal als sleutel beheren. |
Standaard-IPsec-/IKE-parameters
De onderstaande tabellen bevatten de combinaties van algoritmen en parameters die Azure VPN-gateways gebruiken in standaardconfiguratie (Standaardbeleid). Voor routegebaseerde VPN-gateways die zijn gemaakt met het Azure Resource Management-implementatiemodel, kunt u een aangepast beleid opgeven voor elke afzonderlijke verbinding. Raadpleeg IPsec-/IKE-beleid configureren voor gedetailleerde instructies.
Bovendien moet u TCP MSS klem bij 1350. Of als uw VPN-apparaten mss-kleming niet ondersteunen, kunt u de MTU op de tunnelinterface in plaats daarvan instellen op 1400 bytes.
In de volgende tabellen:
- SA = Beveiligings association
- IKE Fase 1 wordt ook wel 'Hoofdmodus' genoemd
- IKE Fase 2 wordt ook wel 'Snelle modus' genoemd
IKE Fase 1 (hoofdmodus) parameters
| Eigenschap | PolicyBased | RouteBased |
|---|---|---|
| IKE-versie | IKEv1 | IKEv1 en IKEv2 |
| Diffie-Hellman Groep | Groep 2 (1024 bits) | Groep 2 (1024 bits) |
| Verificatiemethode | Vooraf gedeelde sleutel | Vooraf gedeelde sleutel |
| Algoritmen & voor versleutelingshashing | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| SA-levensduur | 28.800 seconden | 28.800 seconden |
PARAMETERS VAN IKE Fase 2 (Snelle modus)
| Eigenschap | PolicyBased | RouteBased |
|---|---|---|
| IKE-versie | IKEv1 | IKEv1 en IKEv2 |
| Algoritmen & voor versleutelingshashing | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
RouteBased QM SA Offers |
| SA Lifetime (tijd) | 3.600 seconden | 27.000 seconden |
| SA Lifetime (Bytes) | 102.400.000 KB | 102.400.000 KB |
| Perfect Forward Geheimhouding (PFS) | Nee | RouteBased QM SA Offers |
| Detectie van doodlopende peers (DPD) | Niet ondersteund | Ondersteund |
RouteBased VPN IPsec Security Association (IKE Quick Mode SA) Offers
De volgende tabel bevat IPsec SA -aanbiedingen (IKE Quick Mode). Aanbiedingen worden vermeld in de volgorde van voorkeur die de aanbieding wordt gepresenteerd of geaccepteerd.
Azure Gateway als initiator
| - | Versleuteling | Verificatie | PFS-groep |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Geen |
| 2 | AES256 | SHA1 | Geen |
| 3 | 3DES | SHA1 | Geen |
| 4 | AES256 | SHA256 | Geen |
| 5 | AES128 | SHA1 | Geen |
| 6 | 3DES | SHA256 | Geen |
Azure Gateway als responder
| - | Versleuteling | Verificatie | PFS-groep |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Geen |
| 2 | AES256 | SHA1 | Geen |
| 3 | 3DES | SHA1 | Geen |
| 4 | AES256 | SHA256 | Geen |
| 5 | AES128 | SHA1 | Geen |
| 6 | 3DES | SHA256 | Geen |
| 7 | DES | SHA1 | Geen |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | Geen |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- U kunt IPsec ESP NULL-versleuteling opgeven met Vpn-gateways RouteBased en HighPerformance. Null-versleuteling biedt geen beveiliging voor gegevens die onderweg zijn en mag alleen worden gebruikt wanneer maximale doorvoer en minimale latentie vereist zijn. Clients kunnen ervoor kiezen om dit te gebruiken in VNet-to-VNet-communicatiescenario's of wanneer versleuteling ergens anders in de oplossing wordt toegepast.
- Voor cross-premises connectiviteit via internet gebruikt u de standaardinstellingen van de Azure VPN-gateway met versleutelings- en hashing-algoritmen in de bovenstaande tabellen om de beveiliging van uw kritieke communicatie te waarborgen.
Bekende apparaatcompatibiliteitsproblemen
Belangrijk
Dit zijn de bekende compatibiliteitsproblemen tussen VPN-apparaten van derden en Azure VPN-gateways. Het Azure-team werkt actief samen met de leveranciers om de problemen op te lossen die hier worden vermeld. Zodra de problemen zijn opgelost, wordt deze pagina bijgewerkt met de meest recente informatie. Controleer het regelmatig.
16 februari 2017
Palo Alto Networks-apparaten met versie vóór 7.1.4 voor Vpn op basis van Azure-route: Als u VPN-apparaten van Palo Alto Networks gebruikt met een PAN-OS-versie vóór 7.1.4 en verbindingsproblemen ondervindt met Azure Route-VPN-gateways, voert u de volgende stappen uit:
- Controleer de firmwareversie van uw Palo Alto Networks-apparaat. Als uw PAN-OS-versie ouder is dan 7.1.4, upgradet u naar 7.1.4.
- Wijzig op het apparaat Palo Alto Networks de levensduur van fase 2 SA (of Quick Mode SA) in 28.800 seconden (8 uur) wanneer u verbinding maakt met de Azure VPN-gateway.
- Als u nog steeds verbindingsproblemen ondervindt, opent u een ondersteuningsaanvraag vanuit de Azure-portal.