VPN-apparaten en IPSec-/IKE-parameters voor site-naar-site-VPN-gateway-verbindingenAbout VPN devices and IPsec/IKE parameters for Site-to-Site VPN Gateway connections

• 12/02/2020
• 8 minuten om te lezen
• • y
  • o
  • O
  • S
  • a
  • +3

U hebt een VPN-apparaat nodig om een cross-premises site-naar-site-VPN-verbinding te configureren.A VPN device is required to configure a Site-to-Site (S2S) cross-premises VPN connection using a VPN gateway. Site-naar-site-verbindingen kunnen worden gebruikt om een hybride oplossing te maken of wanneer u beveiligde verbindingen wilt maken tussen uw on-premises netwerken en virtuele netwerken.Site-to-Site connections can be used to create a hybrid solution, or whenever you want secure connections between your on-premises networks and your virtual networks. Dit artikel bevat een lijst met gevalideerde VPN-apparaten en een lijst met IPSec-/IKE-parameters voor VPN-gateways.This article provides a list of validated VPN devices and a list of IPsec/IKE parameters for VPN gateways.

Waar u op moet letten wanneer u de tabellen bekijkt:Items to note when viewing the tables:

• Er is een terminologiewijziging voor Azure VPN-gateways.There has been a terminology change for Azure VPN gateways. Alleen de namen zijn gewijzigd.Only the names have changed. Er is geen wijziging in de functionaliteit.There is no functionality change.
  • Statische routering = PolicyBasedStatic Routing = PolicyBased
  • Dynamische routering = RouteBasedDynamic Routing = RouteBased
• De specificaties voor een HighPerformance-VPN-gateway en een RouteBased VPN-gateway zijn hetzelfde, tenzij anders wordt vermeld.Specifications for HighPerformance VPN gateway and RouteBased VPN gateway are the same, unless otherwise noted. Zo zijn de gevalideerde VPN-apparaten die compatibel zijn met RouteBased VPN-gateways, ook compatibel met de HighPerformance VPN-gateway.For example, the validated VPN devices that are compatible with RouteBased VPN gateways are also compatible with the HighPerformance VPN gateway.

Gevalideerde VPN-apparaten en apparaatconfiguratiehandleidingenValidated VPN devices and device configuration guides

We hebben samen met apparaatleveranciers een reeks standaard VPN-apparaten gevalideerd.In partnership with device vendors, we have validated a set of standard VPN devices. Alle apparaten in de apparaatfamilies in de volgende lijst kunnen met VPN-gateways worden gebruikt.All of the devices in the device families in the following list should work with VPN gateways. Zie Over VPN-gatewayinstellingen voor informatie over welk VPN-type u moet gebruiken (PolicyBased of RouteBased) voor de VPN-gatewayoplossing die u wilt configureren.See About VPN Gateway Settings to understand the VPN type use (PolicyBased or RouteBased) for the VPN Gateway solution you want to configure.

Raadpleeg de koppelingen die overeenkomen met de juiste familie voor meer informatie over het configureren van uw VPN-apparaat.To help configure your VPN device, refer to the links that correspond to the appropriate device family. De koppelingen naar configuratie-instructies worden naar beste vermogen geleverd.The links to configuration instructions are provided on a best-effort basis. Voor ondersteuning van VPN-apparaten neemt u contact op met de fabrikant van uw apparaat.For VPN device support, contact your device manufacturer.

Configuratie scripts voor VPN-apparaten downloaden van AzureDownload VPN device configuration scripts from Azure

Voor bepaalde apparaten kunt u configuratie scripts rechtstreeks vanuit Azure downloaden.For certain devices, you can download configuration scripts directly from Azure. Zie configuratie scripts voor VPN-apparaten downloadenvoor meer informatie en instructies voor het downloaden.For more information and download instructions, see Download VPN device configuration scripts.

Apparaten met beschik bare configuratie scriptsDevices with available configuration scripts

Niet-gevalideerde VPN-apparatenNon-validated VPN devices

Als uw apparaat niet in de tabel met gevalideerde VPN-apparaten wordt vermeld, werkt het misschien toch met een site-naar-site-verbinding.If you don’t see your device listed in the Validated VPN devices table, your device still may work with a Site-to-Site connection. Neem contact op met de fabrikant van uw apparaat voor aanvullende ondersteuning en configuratie-instructies.Contact your device manufacturer for additional support and configuration instructions.

Voorbeelden van het bewerken van apparaatconfiguratiesEditing device configuration samples

Nadat u het bij het VPN-apparaat meegeleverde configuratievoorbeeld hebt gedownload, moet u enkele waarden veranderen zodat ze overeenkomen met de instellingen voor uw omgeving.After you download the provided VPN device configuration sample, you’ll need to replace some of the values to reflect the settings for your environment.

U bewerkt een voorbeeld als volgt:To edit a sample:

1. Open het voorbeeld met Kladblok.Open the sample using Notepad.
2. Zoek alle <tekst>-tekenreeksen en vervang ze door de waarden die betrekking hebben op uw omgeving.Search and replace all <text> strings with the values that pertain to your environment. Zorg dat u < en > opneemt.Be sure to include < and >. Als u een naam opgeeft, moet deze uniek zijn.When a name is specified, the name you select should be unique. Als een opdracht niet werkt, raadpleeg dan de documentatie van de fabrikant van uw apparaat.If a command does not work, consult your device manufacturer documentation.

Standaard IPsec/IKE-para metersDefault IPsec/IKE parameters

De onderstaande tabellen bevatten de combi Naties van algoritmen en para meters die Azure VPN-gateways gebruiken in de standaard configuratie (standaard beleid).The tables below contain the combinations of algorithms and parameters Azure VPN gateways use in default configuration (Default policies). Voor op routes gebaseerde VPN-gateways die zijn gemaakt met het Azure Resource Management-implementatiemodel, kunt u voor elke afzonderlijke verbinding een aangepast beleid opgeven.For route-based VPN gateways created using the Azure Resource Management deployment model, you can specify a custom policy on each individual connection. Raadpleeg Configure IPsec/IKE policy (IPsec/IKE-beleid configureren) voor gedetailleerde instructies.Please refer to Configure IPsec/IKE policy for detailed instructions.

Daarnaast moet u TCP MSS op 1350 zetten.Additionally, you must clamp TCP MSS at 1350. Als uw VPN-apparaten het vastzetten van MSS niet ondersteunen, kunt u in plaats daarvan ook de MTU op de tunnelinterface 1400 instellen op bytes.Or if your VPN devices do not support MSS clamping, you can alternatively set the MTU on the tunnel interface to 1400 bytes instead.

In de volgende tabellen:In the following tables:

• SA = Security AssociationSA = Security Association
• IKE Phase 1 wordt ook 'Main Mode' genoemdIKE Phase 1 is also called "Main Mode"
• IKE Phase 2 wordt ook 'Quick Mode' genoemdIKE Phase 2 is also called "Quick Mode"

Parameters voor IKE Phase 1 (Main Mode)IKE Phase 1 (Main Mode) parameters

Parameters voor IKE Phase 2 (Quick Mode)IKE Phase 2 (Quick Mode) parameters

Aanbiedingen RouteBased VPN IPsec Security Association (IKE Quick Mode SA)RouteBased VPN IPsec Security Association (IKE Quick Mode SA) Offers

De volgende tabel bevat aanbiedingen van IPSec-SA (IKE Quick Mode).The following table lists IPsec SA (IKE Quick Mode) Offers. De aanbiedingen staan in volgorde van voorkeur waarin de aanbieding is gepresenteerd of geaccepteerd.Offers are listed the order of preference that the offer is presented or accepted.

Azure-gateway als initiatorAzure Gateway as initiator

Azure-Gateway als antwoorderAzure Gateway as responder

• U kunt IPsec ESP NULL-versleuteling opgeven met RouteBased VPN-gateways en HighPerformance VPN-gateways.You can specify IPsec ESP NULL encryption with RouteBased and HighPerformance VPN gateways. Op null gebaseerde versleuteling biedt geen beveiliging voor gegevens tijdens de overdracht. Dit mag alleen worden gebruikt wanneer maximale doorvoer en minimale latentie zijn vereist.Null based encryption does not provide protection to data in transit, and should only be used when maximum throughput and minimum latency is required. Clients kunnen ervoor kiezen dit te gebruiken voor communicatie tussen VNET's of wanneer elders in de oplossing versleuteling wordt toegepast.Clients may choose to use this in VNet-to-VNet communication scenarios, or when encryption is being applied elsewhere in the solution.
• Gebruik voor cross-premises connectiviteit via internet de standaardinstellingen voor Azure VPN-gateways met versleuteling en hash-algoritmen die in de tabel hierboven worden vermeld, om beveiliging van uw kritieke communicatie te waarborgen.For cross-premises connectivity through the Internet, use the default Azure VPN gateway settings with encryption and hashing algorithms listed in the tables above to ensure security of your critical communication.

Bekende compatibiliteits problemen met apparatenKnown device compatibility issues

16 februari 2017Feb. 16, 2017

Palo Alto Networks-apparaten met een oudere versie dan 7.1.4 voor op route gebaseerde Azure VPN: als u VPN-apparaten van Palo Alto Networks gebruikt met een PAN-OS-versie die ouder is dan 7.1.4 en u connectiviteitsproblemen hebt met op route gebaseerde Azure VPN-gateways, voert u de volgende stappen uit:Palo Alto Networks devices with version prior to 7.1.4 for Azure route-based VPN: If you are using VPN devices from Palo Alto Networks with PAN-OS version prior to 7.1.4 and are experiencing connectivity issues to Azure route-based VPN gateways, perform the following steps:

1. Controleer de firmwareversie van uw Palo Alto Networks-apparaat.Check the firmware version of your Palo Alto Networks device. Als de PAN-OS-versie ouder is dan 7.1.4, voert u een upgrade uit naar 7.1.4.If your PAN-OS version is older than 7.1.4, upgrade to 7.1.4.
2. Op het Palo Alto Networks-apparaat wijzigt u de levensduur van de beveiligingskoppeling fase 2 (of de beveiligingskoppeling in snelle modus) in 28.800 seconden (8 uur) wanneer er verbinding met de Azure VPN-gateway wordt gemaakt.On the Palo Alto Networks device, change the Phase 2 SA (or Quick Mode SA) lifetime to 28,800 seconds (8 hours) when connecting to the Azure VPN gateway.
3. Als het connectiviteitsprobleem zich nog steeds voordoet, opent u een ondersteuningsaanvraag via de Azure-portal.If you are still experiencing connectivity issues, open a support request from the Azure portal.