Om VPN-enheter och IPSec-/IKE-parametrar för anslutningar för VPN Gateway från plats till plats
En VPN-enhet krävs för att konfigurera en VPN-anslutning för plats-till-plats (S2S) på olika platser med hjälp av en VPN-gateway. Plats-till-plats-anslutningar kan användas för att skapa en hybridlösning, eller när du vill skapa säkra anslutningar mellan ditt lokala nätverk och ditt virtuella nätverk. Den här artikeln innehåller en lista över verifierade VPN-enheter och en lista över IPsec-/IKE-parametrar för VPN-gatewayer.
Viktigt!
Om du har problem med anslutningen mellan dina lokala VPN-enheter och VPN-gatewayer läser du avsnittet Kända enhetskompatibilitetsproblem.
Observera följande när du läser tabellerna:
- Terminologin har ändrats för Azure VPN-gateways. Endast namnen har ändrats. Det finns ingen funktionsändring.
- Statisk routning = Principbaserad
- Dynamisk routning = Routningsbaserad
- Specifikationerna för en VPN-gateway med hög kapacitet och en routningsbaserad VPN-gateway är samma, om inget annat anges. Till exempel är verifierade VPN-enheter som är kompatibla med routningsbaserade VPN-gatewayer också kompatibla med VPN-gatewayen med hög kapacitet.
Validerade VPN-enheter och guider för enhetskonfiguration
Vi har verifierat en uppsättning VPN-standardenheter tillsammans med våra enhetsleverantörer. Alla enheter i enhetsfamiljerna i följande lista bör fungera med VPN-gatewayer. Det här är de rekommenderade algoritmerna för enhetskonfigurationen.
| Rekommenderade algoritmer | Krypteringsstatus | Integritet | DH-grupp |
|---|---|---|---|
| IKE | AES256 | SHA256 | DH2 |
| IPSec | AES256GCM | AES256GCM | Ingen |
Information om hur du konfigurerar VPN-enheten finns i länkarna som motsvarar rätt enhetsfamilj. Länkarna till konfigurationsinstruktionerna tillhandahålls på bästa sätt och standardvärdena som anges i konfigurationsguiden behöver inte innehålla de bästa kryptografiska algoritmerna. Kontakta enhetens tillverkare för att se vilka VPN-enheter som stöds.
| Leverantör | Enhetsfamilj | Minsta operativsystemversion | Instruktioner för principbaserad konfiguration | Instruktioner för routningsbaserad konfiguration |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | Inte kompatibel | Konfigurationsguide |
| Ahnlab | TrusGuard | TG 2.7.6 TG 3.5.x |
Inte testad | Konfigurationsguide |
| Allied Telesis | AR-serie VPN-routrar | AR-serien 5.4.7+ | Konfigurationsguide | Konfigurationsguide |
| Arista | CloudEOS-router | vEOS 4.24.0FX | Inte testad | Konfigurationsguide |
| Barracuda Networks, Inc. | Barracuda CloudGen-brandväggen | Principbaserad: 5.4.3 Routningsbaserad: 6.2.0 |
Konfigurationsguide | Konfigurationsguide |
| Check Point | Security Gateway | R80.10 | Konfigurationsguide | Konfigurationsguide |
| Cisco | ASA | 8.3 8.4 och senare versioner (IKEv2*) |
Stöds | Konfigurationsguide* |
| Cisco | ASR | Principbaserad: IOS 15.1 Routningsbaserad: IOS 15.2 |
Stöds | Stöds |
| Cisco | CSR | RouteBased: IOS-XE 16.10 | Inte testad | Konfigurationsskript |
| Cisco | ISR | Principbaserad: IOS 15.0 Routningsbaserad*: IOS 15.1 |
Stöds | Stöds |
| Cisco | Meraki (MX) | MX v15.12 | Inte kompatibel | Konfigurationsguide |
| Cisco | vEdge (Viptela OS) | 18.4.0 (aktivt/passivt läge) | Inte kompatibel | Manuell konfiguration (aktiv/passiv) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 och senare | Konfigurationsguide | Inte kompatibel |
| F5 | BIG-IP-serien | 12.0 | Konfigurationsguide | Konfigurationsguide |
| Fortinet | FortiGate | FortiOS 5.6 | Inte testad | Konfigurationsguide |
| Fujitsu | Si-R G-serien | V04: V04.12 V20: V20.14 |
Konfigurationsguide | Konfigurationsguide |
| Hillstone Networks | Nästa generations brandväggar (NGFW) | 5.5R7 | Inte testad | Konfigurationsguide |
| HPE Aruba | Edge Anslut SDWAN Gateway | ECOS-version v9.2 Orchestrator OS v9.2 |
Konfigurationsguide | Konfigurationsguide |
| Internet Initiative Japan (IIJ) | SEIL-serien | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Konfigurationsguide | Inte kompatibel |
| Juniper | SRX | Principbaserad: JunOS 10.2 Routningsbaserad: JunOSS 11.4 |
Stöds | Konfigurationsskript |
| Juniper | J-serien | Principbaserad: JunOS 10.4r9 Routningsbaserad: JunOSS 11.4 |
Stöds | Konfigurationsskript |
| Juniper | ISG | ScreenOS 6.3 | Stöds | Konfigurationsskript |
| Juniper | SSG | ScreenOS 6.2 | Stöds | Konfigurationsskript |
| Juniper | MX | JunOS 12.x | Stöds | Konfigurationsskript |
| Microsoft | Routning och fjärråtkomst | Windows Server 2012 | Inte kompatibel | Stöds |
| Open Systems AG | Mission Control Security Gateway | Ej tillämpligt | Stöds | Inte kompatibel |
| Palo Alto Networks | Alla enheter som kör PAN-OS | PAN-OS Principbaserad: 6.1.5 eller senare Routningsbaserad: 7.1.4 |
Stöds | Konfigurationsguide |
| Sentrium (utvecklare) | VyOS | VyOS 1.2.2 | Inte testad | Konfigurationsguide |
| ShareTech | Nästa datagenerations UTM (Nu-serien) | 9.0.1.3 | Inte kompatibel | Konfigurationsguide |
| SonicWall | TZ-serie, NSA-serie SuperMassive-serie NSA-serie i E-klassen |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Inte kompatibel | Konfigurationsguide |
| Sophos | XG nästa generations brandvägg | XG v17 | Inte testad | Konfigurationsguide Konfigurationsguide – flera serviceavtal |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Inte testad | Konfigurationsguide |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 | Inte testad | BGP över IKEv2/IPsec VTI över IKEv2/IPsec |
| Ultra | 3E-636L3 | 5.2.0.T3 Build-13 | Inte testad | Konfigurationsguide |
| WatchGuard | Alla | Fireware XTM Principbaserad: v11.11.x Routningsbaserad: v11.12.x |
Konfigurationsguide | Konfigurationsguide |
| Zyxel | ZyWALL USG-serien ZyWALL ATP-serien ZyWALL VPN-serien |
ZLD v4.32+ | Inte testad | VTI över IKEv2/IPsec BGP över IKEv2/IPsec |
Kommentar
(*) Cisco ASA version 8.4 och senare har stöd för IKEv2 och kan ansluta till Azure VPN Gateway med hjälp av anpassade IPsec-/IKE-principer med alternativet ”UsePolicyBasedTrafficSelectors”. Mer information finns i den här instruktionsartikeln.
(**) Routrar i ISR 7200-serien stöder endast principbaserade VPN-gatewayer.
Ladda ned konfigurationsskript för VPN-enheter från Azure
För vissa enheter kan du ladda ned konfigurationsskript direkt från Azure. Mer information och instruktioner för nedladdning finns i Ladda ned konfigurationsskript för VPN-enheter.
Icke-validerade VPN-enheter
Om du inte ser enheten i tabellen Verifierade VPN-enheter kan enheten fortfarande fungera med en plats-till-plats-anslutning. Kontakta enhetstillverkaren om du vill ha support- och konfigurationsinstruktioner.
Redigera enhetens konfigurationsexempel
När du har hämtat den angivna VPN-enhetens konfigurationsexempel, måste du byta ut vissa värden så att de motsvarar inställningarna för din miljö.
Så här redigerar du ett exempel:
- Öppna exemplet med Anteckningar.
- Sök och ersätt alla <textsträngar> med de värden som gäller för din miljö. Se till att inkludera < och >. När ett namn anges måste det vara unikt. Om ett kommando inte fungerar kan du läsa dokumentationen om enhetstillverkaren.
| Exempeltext | Ändra till |
|---|---|
| <RP_OnPremisesNetwork> | Ditt valda namn för det här objektet. Exempel: myOnPremisesNetwork |
| <RP_AzureNetwork> | Ditt valda namn för det här objektet. Exempel: myAzureNetwork |
| <RP_AccessList> | Ditt valda namn för det här objektet. Exempel: myAzureAccessList |
| <RP_IPSecTransformSet> | Ditt valda namn för det här objektet. Exempel: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | Ditt valda namn för det här objektet. Exempel: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | Ange intervallet. Exempel: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Ange nätmasken. Exempel: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Ange det lokala intervallet. Exempel: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | Ange den lokala nätmasken. Exempel: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Den här informationen är specifik för ditt virtuella nätverk och finns i hanteringsportalen som IP-adress för gateway. |
| <SP_PresharedKey> | Den här informationen är specifik för ditt virtuella nätverk och finns i hanteringsportalen som Hantera nyckel. |
Standardparametrar för IPsec/IKE
Följande tabeller innehåller kombinationer av algoritmer och parametrar som Azure VPN-gatewayer använder i standardkonfigurationen (standardprinciper). För routningsbaserade VPN-gatewayer som skapats med Azure Resource Management-distributionsmodellen kan du ange en anpassad princip för varje enskild anslutning. Detaljerade instruktioner finns i Konfigurera IPsec/IKE-princip.
Dessutom måste du klämma TCP MSS på 1350. Eller om vpn-enheterna inte stöder MSS-klämning kan du alternativt ställa in MTU på tunnelgränssnittet till 1 400 byte i stället.
I följande tabeller:
- SA = Security Association
- IKE fas 1 kallas även "Huvudläge"
- IKE fas 2 kallas även "Snabbläge"
Parametrar för IKE fas 1 (huvudläge)
| Property | Principbaserad | Routningsbaserad |
|---|---|---|
| IKE-version | IKEv1 | IKEv1 och IKEv2 |
| Diffie-Hellman Group | Grupp 2 (1 024 bitar) | Grupp 2 (1 024 bitar) |
| Autentiseringsmetod | I förväg delad nyckel | I förväg delad nyckel |
| Krypterings- och hash-algoritmer | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| SA-livstid | 28 800 sekunder | 28 800 sekunder |
| Antal SA för snabbläge | 100 | 100 |
Parametrar för IKE fas 2 (snabbläge)
| Property | Principbaserad | Routningsbaserad |
|---|---|---|
| IKE-version | IKEv1 | IKEv1 och IKEv2 |
| Krypterings- och hash-algoritmer | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
RouteBased QM SA-erbjudanden |
| SA-livstid (tid) | 3 600 sekunder | 27 000 sekunder |
| SA-livstid (byte) | 102 400 000 kB | 102 400 000 kB |
| PFS (Perfect Forward Secrecy) | Nej | RouteBased QM SA-erbjudanden |
| Utebliven peer-identifiering (DPD) | Stöds inte | Stöds |
Erbjudanden för RouteBased VPN IPsec-säkerhetsassociation (IKE-snabbläge SA)
Följande tabell visar erbjudanden för IPsec SA (IKE-snabbläge). Erbjudandena visas i prioritetsordning efter när erbjudandet visats eller godkänts.
Azure Gateway som initierare
| - | Kryptering | Autentisering | PFS-grupp |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Ingen |
| 2 | AES256 | SHA1 | Ingen |
| 3 | 3DES | SHA1 | Ingen |
| 4 | AES256 | SHA256 | Ingen |
| 5 | AES128 | SHA1 | Ingen |
| 6 | 3DES | SHA256 | Ingen |
Azure Gateway som svarare
| - | Kryptering | Autentisering | PFS-grupp |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Ingen |
| 2 | AES256 | SHA1 | Ingen |
| 3 | 3DES | SHA1 | Ingen |
| 4 | AES256 | SHA256 | Ingen |
| 5 | AES128 | SHA1 | Ingen |
| 6 | 3DES | SHA256 | Ingen |
| 7 | DES | SHA1 | Ingen |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | Ingen |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- Du kan ange IPsec ESP NULL-kryptering med routningsbaserade VPN-gatewayer och VPN-gatewayer som har hög kapacitet. Null-baserad kryptering ger inte skydd mot data under överföring och bör endast användas när maximalt dataflöde och minsta svarstid krävs. Klienter kan välja att använda detta i kommunikationsscenarier för VNet-till-VNet eller när kryptering tillämpas någon annanstans i lösningen.
- För anslutningar mellan platser via Internet använder du standardinställningarna för Azure VPN Gateway med krypterings- och hashalgoritmer som anges i föregående tabeller för att säkerställa säkerheten för din kritiska kommunikation.
Kända enhetskompatibilitetsproblem
Viktigt!
Det här är kända kompatibilitetsproblem mellan VPN-enheter från tredje part och Azure VPN-gateways. Azure-teamet arbetar aktivt med leverantörerna för att åtgärda de problem som beskrivs här. Den här sidan uppdateras med den senaste informationen när problemen har åtgärdats. Kom tillbaka regelbundet.
16 februari 2017
Palo Alto Networks-enheter med version före 7.1.4 för Azures routningsbaserade VPN: Om du använder VPN-enheter från Palo Alto Networks med PAN-OS-version före 7.1.4 och har anslutningsproblem med Azure-routningsbaserade VPN-gatewayer utför du följande steg:
- Kontrollera Palo Alto Networks-enhetens version av den inbyggda programvaran (firmware). Om din version av PAN-OS är äldre än 7.1.4 uppgraderar du till 7.1.4.
- På Palo Alto Networks-enheten ändrar du livslängden för Phase 2 SA (eller Quick Mode SA) till 28 800 sekunder (8 timmar) vid anslutning till Azure VPN-gatewayen.
- Om du fortfarande har anslutningsproblem öppnar du en supportbegäran från Azure-portalen.