VPN-устройства и параметры IPsec/IKE для подключений типа "сеть — сеть" через VPN-шлюз

Для настройки распределенного VPN-подключения типа "сеть — сеть" через VPN-шлюз требуется VPN-устройство. Подключения типа "сеть — сеть" можно использовать для создания гибридного решения, а также когда требуется безопасное подключение между локальной и виртуальной сетями. В этой статье перечислены проверенные VPN-устройства и параметры IPsec/IKE для VPN-шлюзов.

Важно!

Ознакомьтесь с известными проблемами совместимости устройств, если вы столкнулись с проблемами подключения между локальными VPN-устройствами и VPN-шлюзами.

На что следует обратите внимание при просмотре таблицы:

  • Изменилась терминология, связанная с VPN-шлюзами Azure. Изменились только названия. Функциональность осталась прежней,
    • Статическая маршрутизация — на основе политик (PolicyBased).
    • Динамическая маршрутизация — на основе маршрутов (RouteBased).
  • Спецификации высокопроизводительных VPN-шлюзов и VPN-шлюзов типа RouteBased одинаковы, если не указано иное. Например, проверенные VPN-устройства, совместимые с VPN-шлюзами RouteBased, также совместимы с высокопроизводительными VPN-шлюзами.

Проверенные VPN-устройства и руководства по конфигурации устройства

В сотрудничестве с поставщиками устройств мы утвердили набор стандартных VPN-устройств. Все устройства из приведенного ниже списка семейств должны работать с VPN-шлюзами. Чтобы понять, какой тип VPN (PolicyBased или RouteBased) использовать для VPN-шлюза, который необходимо настроить, ознакомьтесь с этим разделом.

Чтобы настроить VPN-устройство, перейдите по ссылкам, соответствующим семейству устройств. Ссылки на инструкции по настройке будут предоставляться по мере возможности. За поддержкой VPN-устройства обратитесь к его изготовителю.

поставщик Семейство устройств Минимальная версия ОС Инструкции по настройке PolicyBased Инструкции по настройке RouteBased
A10 Networks, Inc. Thunder CFW ACOS 4.1.1 Не совместимо Руководство по настройке
AhnLab трусгуард TG 2.7.6
TG 3.5. x
Не тестировалось Руководство по настройке
Allied Telesis VPN-маршрутизаторы серии AR Серии AR 5.4.7+ Руководство по настройке Руководство по настройке
Arista CloudEOS Router vEOS 4.24.0FX Не тестировалось Руководство по настройке
Barracuda Networks, Inc. Barracuda CloudGen Firewall PolicyBased: 5.4.3
RouteBased: 6.2.0
Руководство по настройке Руководство по настройке
Check Point Security Gateway R80.10 Руководство по настройке Руководство по настройке
Cisco ASA 8.3
8.4+ (IKEv2*)
Поддерживается Руководство по настройке*
Cisco ASR PolicyBased: IOS 15.1
RouteBased: IOS 15.2
Поддерживается Поддерживается
Cisco CSR RouteBased: IOS-XE 16.10 Не тестировалось Сценарий конфигурации
Cisco ISR PolicyBased: IOS 15.0
RouteBased*: IOS 15.1
Поддерживается Поддерживается
Cisco Meraki (MX) MX v15.12 Не совместимо Руководство по настройке
Cisco vEdge (Viptela OS) 18.4.0 (режим "активный — пассивный")

19.2 (режим "активный — активный")
Не совместимо Настройка вручную (режим "активный — пассивный")

Конфигурация Cloud Onramp (режим "активный — активный")
Citrix NetScaler MPX, SDX, VPX 10.1 и выше Руководство по настройке Не совместимо
F5 Серия BIG-IP 12.0 Руководство по настройке Руководство по настройке
Fortinet FortiGate FortiOS 5.6 Не тестировалось Руководство по настройке
Hillstone Networks Next-Gen Firewalls (NGFW) 5.5R7 Не тестировалось Руководство по настройке
Internet Initiative Japan (IIJ) Серия SEIL SEIL/X 4.60
SEIL/B1 4.60
SEIL/x86 3.20
Руководство по настройке Не совместимо
Juniper SRX PolicyBased: JunOS 10.2
Routebased: JunOS 11.4
Поддерживается Сценарий конфигурации
Juniper Серия J PolicyBased: JunOS 10.4r9
RouteBased: JunOS 11.4
Поддерживается Сценарий конфигурации
Juniper ISG ScreenOS 6.3 Поддерживается Сценарий конфигурации
Juniper SSG ScreenOS 6.2 Поддерживается Сценарий конфигурации
Juniper MX JunOS 12.x Поддерживается Сценарий конфигурации
пиринг Майкрософт. Служба маршрутизации и удаленного доступа Windows Server 2012 Не совместимо Поддерживается
Open Systems AG Шлюз безопасности Mission Control Н/Д Руководство по настройке Не совместимо
Palo Alto Networks Все устройства под управлением PAN-OS PAN-OS
PolicyBased: 6.1.5 или более поздней версии
RouteBased: 7.1.4
Поддерживается Руководство по настройке
Sentrium (Developer) VyOS VyOS 1.2.2 Не тестировалось Руководство по настройке
ShareTech UTM нового поколения (серия NU) 9.0.1.3 Не совместимо Руководство по настройке
SonicWall Серия TZ и NSA
Серия SuperMassive
Серия NSA класса E
SonicOS 5.8.x
SonicOS 5.9.x
SonicOS 6.x
Не совместимо Руководство по настройке
Sophos Брандмауэр следующего поколения XG XG версии 17 Не тестировалось Руководство по настройке

Руководство по настройке нескольких SA
Synology MR2200ac
RT2600ac
RT1900ac
SRM1.1.5/VpnPlusServer-1.2.0 Не тестировалось Руководство по настройке
Ubiquiti EdgeRouter EdgeOS v1.10 Не тестировалось BGP через IKEv2 или IPsec

VTI через IKEv2 или IPsec
Ультра 3E-636L3 5.2.0.T3 Build-13 Не тестировалось Руководство по настройке
WatchGuard Все Fireware XTM
PolicyBased: 11.11.x
RouteBased: 11.12.x
Руководство по настройке Руководство по настройке
Zyxel Серия ZyWALL USG
Серия ZyWALL ATP
Серия ZyWALL VPN
ZLD v4.32+ Не тестировалось VTI через IKEv2 или IPsec

BGP через IKEv2 или IPsec

Примечание

(*) Версии Cisco ASA 8.4+ с поддержкой IKEv2 могут подключаться к VPN-шлюзу Azure при помощи настраиваемой политики IPsec/IKE с параметром UsePolicyBasedTrafficSelectors. Дополнительные сведения см. в этой статье.

(**) Маршрутизаторы ISR серии 7200 поддерживают только VPN типа PolicyBased.

Загрузка сценариев конфигурации VPN-устройства из Azure

Для некоторых устройств можно загрузить сценарии конфигурации непосредственно из Azure. Дополнительные сведения см. в статье Загрузка сценариев конфигурации VPN-устройств для VPN-подключений типа "сеть — сеть".

Устройства с доступными сценариями конфигурации

поставщик Семейство устройств Версия встроенного ПО
Cisco ISR IOS 15.1 (предварительная версия)
Cisco ASA ASA* RouteBased (IKEv2 — без BGP) для ASA до версии 9.8
Cisco ASA ASA RouteBased (IKEv2 — без BGP) для ASA 9.8+
Juniper SRX_GA 12.x
Juniper SSG_GA ScreenOS 6.2.x
Juniper JSeries_GA JunOS 12.x
Juniper SRX JunOS 12.x RouteBased BGP
Ubiquiti EdgeRouter Routebased v1.10x EdgeOS VTI
Ubiquiti EdgeRouter EdgeOS v1.10x RouteBased BGP

Примечание

*Требуется: NarrowAzureTrafficSelectors (включите параметр UsePolicyBasedTrafficSelectors) и CustomAzurePolicies (IKE или IPsec).

Непроверенные VPN-устройства

Даже если ваше устройство не указано в представленной таблице проверенных VPN-устройств, оно может поддерживать подключение типа "сеть — сеть". Чтобы получить дополнительную информацию и инструкции по настройке, обратитесь к изготовителю устройства.

Изменение примеров конфигурации устройств

После скачивания предоставленного примера конфигурации VPN-устройства некоторые значения необходимо заменить в соответствии с параметрами вашей среды.

Чтобы изменить образец, выполните описанные ниже действия

  1. Откройте пример с помощью блокнота.
  2. Найдите и замените все строки <text> значениями, отражающими свойства вашей среды. Не забудьте добавить "<" и ">". Если указывается имя, оно должно быть уникальным. Если команда не работает, обратитесь к документации изготовителя устройства.
Пример текста Изменить на
<RP_OnPremisesNetwork> Выбранное имя для данного объекта. Пример: myOnPremisesNetwork.
<RP_AzureNetwork> Выбранное имя для данного объекта. Пример: myAzureNetwork.
<RP_AccessList> Выбранное имя для данного объекта. Пример: myAzureAccessList.
<RP_IPSecTransformSet> Выбранное имя для данного объекта. Пример: myIPSecTransformSet.
<RP_IPSecCryptoMap> Выбранное имя для данного объекта. Пример: myIPSecCryptoMap.
<SP_AzureNetworkIpRange> Укажите диапазон. Пример: 192.168.0.0.
<SP_AzureNetworkSubnetMask> Укажите маску подсети. Пример: 255.255.0.0.
<SP_AzureNetworkIpRange> Укажите локальный диапазон. Пример: 10.2.1.0.
<SP_AzureNetworkSubnetMask> Укажите локальную маску подсети. Пример: 255.255.255.0.
<SP_AzureGatewayIpAddress> Эта информация относится к конкретной виртуальной сети и отображается на портале управления как IP-адрес шлюза.
<SP_PresharedKey> Эта информация относится к виртуальной сети и находится на портале управления в разделе «Управление ключами».

Параметры IPsec/IKE по умолчанию

Следующие таблицы содержат комбинации алгоритмов и параметров VPN-шлюзов Azure, используемые в стандартной конфигурации (политики по умолчанию). Для VPN-шлюзов на основе маршрутов, созданных с помощью модели развертывания на основе Azure Resource Management, можно указать пользовательскую политику для каждого отдельного подключения. Подробные инструкции см. в разделе Настройка политики IPSec/IKE .

Кроме того, необходимо установить для TCP MSS значение 1350. Если же VPN-устройства не поддерживают фиксацию MSS, в качестве альтернативы в интерфейсе туннеля можно указать для MTU****1400 байт.

В таблицах ниже приведены следующие сведения:

  • SA — сопоставление безопасности.
  • Этап 1 IKE также называется "Главный режим".
  • Этап 2 IKE также называется "Быстрый режим".

Параметры этапа 1 IKE (главный режим)

Свойство PolicyBased RouteBased
Версия IKE IKEv1 IKEv1 и IKEv2
Группа Диффи — Хелмана Группа 2 (1024 бита) Группа 2 (1024 бита)
Метод проверки подлинности Общий ключ Общий ключ
Алгоритмы шифрования и хэширования 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
1. AES256, SHA1
2. AES256, SHA256
3. AES128, SHA1
4. AES128, SHA256
5. 3DES, SHA1
6. 3DES, SHA256
Срок действия SA 28 800 сек 28 800 сек

Параметры этапа 2 IKE (быстрый режим)

Свойство PolicyBased RouteBased
Версия IKE IKEv1 IKEv1 и IKEv2
Алгоритмы шифрования и хэширования 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
Предложения по сопоставлению безопасности в быстром режиме на основе маршрутизации
Срок действия SA (время) 3600 секунд 27 000 секунд
Срок действия SA (байты) 102 400 000 КБ 102 400 000 КБ
Полная безопасность пересылки (PFS) Нет Предложения по сопоставлению безопасности в быстром режиме на основе маршрутизации
Обнаружение неиспользуемых одноранговых узлов (DPD) Не поддерживается Поддерживается

Предложения по сопоставлению безопасности IPsec для VPN на основе маршрутов (в быстром режиме)

В следующей таблице перечислены предложения по сопоставлению безопасности IPsec (в быстром режиме). Предложения перечислены в порядке предпочтения представления или принятия предложения.

Шлюз Azure в качестве инициатора

- Шифрование Аутентификация Группа PFS
1 GCM AES256 GCM (AES256) None
2 AES256 SHA1 Нет
3 3DES SHA1 None
4 AES256 SHA256 Нет
5 AES128 SHA1 None
6 3DES SHA256 Нет

Шлюз Azure в качестве ответчика

- Шифрование Аутентификация Группа PFS
1 GCM AES256 GCM (AES256) None
2 AES256 SHA1 Нет
3 3DES SHA1 None
4 AES256 SHA256 Нет
5 AES128 SHA1 None
6 3DES SHA256 Нет
7 DES SHA1 None
8 AES256 SHA1 1
9 AES256 SHA1 2
10 AES256 SHA1 14
11 AES128 SHA1 1
12 AES128 SHA1 2
13 AES128 SHA1 14
14 3DES SHA1 1
15 3DES SHA1 2
16 3DES SHA256 2
17 AES256 SHA256 1
18 AES256 SHA256 2
19 AES256 SHA256 14
20 AES256 SHA1 24
21 AES256 SHA256 24
22 AES128 SHA256 Нет
23 AES128 SHA256 1
24 AES128 SHA256 2
25 AES128 SHA256 14
26 3DES SHA1 14
  • Вы можете указать NULL-шифрование ESP IPsec для высокопроизводительных VPN-шлюзов и VPN-шлюзов типа RouteBased. NULL-шифрование не защищает данные при передаче. Его следует использовать только в случаях, когда требуется максимальная пропускная способность и минимальная задержка. Клиенты могут выбрать его в случаях, когда данные передаются между виртуальными сетями или где-то в решении применяется шифрование.
  • Для распределенных подключений через Интернет используйте параметры по умолчанию VPN-шлюзов Azure с алгоритмами шифрования и хэширования, перечисленными в таблицах выше, чтобы обеспечить безопасность обмена важными данными.

Известные проблемы совместимости устройств

Важно!

Известно о нескольких проблемах совместимости между VPN-устройствами сторонних производителей и VPN-шлюзами Azure. Команда разработчиков Azure активно сотрудничает с поставщиками для устранения проблем, перечисленных ниже. По мере устранения проблем данная страница будет дополняться наиболее актуальными сведениями. Рекомендуется периодически просматривать ее.

16 февраля 2017 г.

Устройства Palo Alto Networks с версией PAN-OS, предшествующей 7.1.4, для VPN на основе маршрутов Azure: если используются VPN-устройства от Palo Alto Networks с версией PAN-OS, предшествующей 7.1.4, и возникают проблемы с подключением к VPN-шлюзам Azure на основе маршрутов, выполните приведенные ниже действия.

  1. Проверьте версию встроенного ПО устройства Palo Alto Networks. Если версия PAN-OS предшествует версии 7.1.4, выполните обновление до версии 7.1.4.
  2. На устройстве Palo Alto Networks измените время существования этапа 2 сопоставления безопасности (или быстрого режима сопоставления безопасности) на 28 800 секунд (8 часов) при подключении к VPN-шлюзу Azure.
  3. Если проблема с подключением не исчезнет, отправьте запрос в службу поддержки на портале Azure.