Om VPN-enheter och IPSec-/IKE-parametrar för anslutningar för VPN Gateway från plats till plats

En VPN-enhet krävs för att konfigurera en VPN-anslutning för plats-till-plats (S2S) på olika platser med hjälp av en VPN-gateway. Plats-till-plats-anslutningar kan användas för att skapa en hybridlösning, eller när du vill skapa säkra anslutningar mellan ditt lokala nätverk och ditt virtuella nätverk. Den här artikeln innehåller en lista över verifierade VPN-enheter och en lista över IPsec-/IKE-parametrar för VPN-gatewayer.

Viktigt

Om du har problem med anslutningen mellan dina lokala VPN-enheter och VPN-gatewayer läser du avsnittet Kända enhetskompatibilitetsproblem.

Observera följande när du läser tabellerna:

  • Terminologin har ändrats för Azure VPN-gateways. Endast namnen har ändrats. Funktionaliteten har inte ändrats.
    • Statisk routning = Principbaserad
    • Dynamisk routning = Routningsbaserad
  • Specifikationerna för en VPN-gateway med hög kapacitet och en routningsbaserad VPN-gateway är samma, om inget annat anges. Till exempel är verifierade VPN-enheter som är kompatibla med routningsbaserade VPN-gatewayer också kompatibla med VPN-gatewayen med hög kapacitet.

Validerade VPN-enheter och guider för enhetskonfiguration

Vi har verifierat en uppsättning VPN-standardenheter tillsammans med våra enhetsleverantörer. Alla enheter i enhetsfamiljerna i följande lista bör fungera med VPN-gatewayer. Mer information om VPN-typerna (PolicyBased eller RouteBased) för den VPN Gateway-lösning som du vill konfigurera finns i Om VPN Gateway-inställningar.

Information om hur du konfigurerar VPN-enheten finns i länkarna som motsvarar lämplig enhetsfamilj. Länkarna till konfigurationsanvisningarna tillhandahålls i mån av möjlighet. Kontakta enhetens tillverkare för att se vilka VPN-enheter som stöds.

Leverantör Enhetsfamilj Lägsta version av operativsystemet Instruktioner för principbaserad konfiguration Instruktioner för routningsbaserad konfiguration
A10 Networks, Inc. Thunder CFW ACOS 4.1.1 Inte kompatibel Konfigurationsguide
Ahnlab TrusGuard TG 2.7.6
TG 3.5.x
Inte testat Konfigurationsguide
Allied Telesis AR-serie VPN-routrar AR-Series 5.4.7+ Konfigurationsguide Konfigurationsguide
Arista CloudEOS-router vEOS 4.24.0FX Inte testat Konfigurationsguide
Barracuda Networks, Inc. Barracuda CloudGen-brandväggen Principbaserad: 5.4.3
Routningsbaserad: 6.2.0
Konfigurationsguide Konfigurationsguide
Check Point Security Gateway R80.10 Konfigurationsguide Konfigurationsguide
Cisco ASA 8.3
8.4 och senare versioner (IKEv2*)
Stöds Konfigurationsguide*
Cisco ASR Principbaserad: IOS 15.1
Routningsbaserad: IOS 15.2
Stöds Stöds
Cisco CSR RouteBased: IOS-XE 16.10 Inte testat Konfigurationsskript
Cisco ISR Principbaserad: IOS 15.0
Routningsbaserad*: IOS 15.1
Stöds Stöds
Cisco Meraki (MX) MX v15.12 Inte kompatibel Konfigurationsguide
Cisco vEdge (Viptela OS) 18.4.0 (aktivt/passivt läge)

19.2 (aktivt/aktivt läge)
Inte kompatibel Manuell konfiguration (aktiv/passiv)

Cloud Onramp-konfiguration (aktiv/aktiv)
Citrix NetScaler MPX, SDX, VPX 10.1 och senare Konfigurationsguide Inte kompatibel
F5 BIG-IP-serien 12.0 Konfigurationsguide Konfigurationsguide
Fortinet FortiGate FortiOS 5.6 Inte testat Konfigurationsguide
Hillstone Networks Nästa generations brandväggar (NGFW) 5.5R7 Inte testat Konfigurationsguide
Internet Initiative Japan (IIJ) SEIL-serien SEIL/X 4.60
SEIL/B1 4.60
SEIL/x86 3.20
Konfigurationsguide Inte kompatibel
Juniper SRX Principbaserad: JunOS 10.2
Routningsbaserad: JunOSS 11.4
Stöds Konfigurationsskript
Juniper J-serien Principbaserad: JunOS 10.4r9
Routningsbaserad: JunOSS 11.4
Stöds Konfigurationsskript
Juniper ISG ScreenOS 6.3 Stöds Konfigurationsskript
Juniper SSG ScreenOS 6.2 Stöds Konfigurationsskript
Juniper MX JunOS 12.x Stöds Konfigurationsskript
Microsoft Routning och fjärråtkomst Windows Server 2012 Inte kompatibel Stöds
Open Systems AG Mission Control Security Gateway Ej tillämpligt Konfigurationsguide Inte kompatibel
Palo Alto Networks Alla enheter som kör PAN-OS PAN-OS
Principbaserad: 6.1.5 eller senare
Routningsbaserad: 7.1.4
Stöds Konfigurationsguide
Sentrium (utvecklare) VyOS VyOS 1.2.2 Inte testat Konfigurationsguide
ShareTech Nästa datagenerations UTM (Nu-serien) 9.0.1.3 Inte kompatibel Konfigurationsguide
SonicWall TZ-serie, NSA-serie
SuperMassive-serie
NSA-serie i E-klassen
SonicOS 5.8.x
SonicOS 5.9.x
SonicOS 6.x
Inte kompatibel Konfigurationsguide
Sophos XG nästa generations brandvägg XG v17 Inte testat Konfigurationsguide

Konfigurationsguide – flera serviceavtal
Synology MR2200ac
RT2600ac
RT1900ac
SRM1.1.5/VpnPlusServer-1.2.0 Inte testat Konfigurationsguide
Ubiquiti EdgeRouter EdgeOS v1.10 Inte testat BGP över IKEv2/IPsec

VTI över IKEv2/IPsec
Ultra 3E-636L3 5.2.0.T3 Build-13 Inte testat Konfigurationsguide
WatchGuard Alla Fireware XTM
Principbaserad: v11.11.x
Routningsbaserad: v11.12.x
Konfigurationsguide Konfigurationsguide
Zyxel ZyWALL USG-serien
ZyWALL ATP-serien
ZyWALL VPN-serien
ZLD v4.32+ Inte testat VTI över IKEv2/IPsec

BGP över IKEv2/IPsec

Anteckning

(*) Cisco ASA version 8.4 och senare har stöd för IKEv2 och kan ansluta till Azure VPN Gateway med hjälp av anpassade IPsec-/IKE-principer med alternativet ”UsePolicyBasedTrafficSelectors”. Mer information finns i den här instruktionsartikeln.

(\*\*) Routrar i ISR 7200-serien stöder endast principbaserade VPN-gatewayer.

Ladda ned konfigurationsskript för VPN-enheter från Azure

För vissa enheter kan du ladda ned konfigurationsskript direkt från Azure. Mer information och instruktioner för nedladdning finns i Ladda ned konfigurationsskript för VPN-enheter.

Enheter med tillgängliga konfigurationsskript

Leverantör Enhetsfamilj Version av inbyggd programvara
Cisco ISR IOS 15.1 (förhandsversion)
Cisco ASA ASA ( * ) RouteBased (IKEv2 – Ingen BGP) för ASA under 9,8
Cisco ASA ASA RouteBased (IKEv2 – ingen BGP) för ASA 9.8+
Juniper SRX_GA 12.x
Juniper SSG_GA ScreenOS 6.2.x
Juniper JSeries_GA JunOS 12.x
Juniper SRX JunOS 12.x RouteBased BGP
Ubiquiti EdgeRouter EdgeOS v1.10x RouteBased VTI
Ubiquiti EdgeRouter EdgeOS v1.10x RouteBased BGP

Anteckning

( * ) Krävs: NarrowAzureTrafficSelectors (aktivera alternativet UsePolicyBasedTrafficSelectors) och CustomAzurePolicies (IKE/IPsec)

Icke-verifierade VPN-enheter

Om du inte hittar din enhet i tabellen med verifierade VPN-enheter kan enheten ändå fungera med en plats-till-plats-anslutning. Kontakta enhetstillverkaren för ytterligare information om support och konfiguration.

Redigera enhetens konfigurationsexempel

När du har hämtat den angivna VPN-enhetens konfigurationsexempel, måste du byta ut vissa värden så att de motsvarar inställningarna för din miljö.

Så här redigerar du ett exempel:

  1. Öppna exemplet med Anteckningar.
  2. Sök efter och ersätt alla <textsträngar> med de värden som hör till din miljö. Se till att inkludera < och >. När ett namn anges måste det vara unikt. Om ett kommando inte fungerar kan du läsa mer i din enhetstillverkares dokumentation.
Exempeltext Ändra till
<RP_OnPremisesNetwork> Ditt valda namn för det här objektet. Exempel: myOnPremisesNetwork
<RP_AzureNetwork> Ditt valda namn för det här objektet. Exempel: myAzureNetwork
<RP_AccessList> Ditt valda namn för det här objektet. Exempel: myAzureAccessList
<RP_IPSecTransformSet> Ditt valda namn för det här objektet. Exempel: myIPSecTransformSet
<RP_IPSecCryptoMap> Ditt valda namn för det här objektet. Exempel: myIPSecCryptoMap
<SP_AzureNetworkIpRange> Ange intervallet. Exempel: 192.168.0.0
<SP_AzureNetworkSubnetMask> Ange nätmasken. Exempel: 255.255.0.0
<SP_OnPremisesNetworkIpRange> Ange det lokala intervallet. Exempel: 10.2.1.0
<SP_OnPremisesNetworkSubnetMask> Ange den lokala nätmasken. Exempel: 255.255.255.0
<SP_AzureGatewayIpAddress> Den här informationen är specifik för ditt virtuella nätverk och finns i hanteringsportalen som IP-adress för gateway.
<SP_PresharedKey> Den här informationen är specifik för ditt virtuella nätverk och finns i hanteringsportalen som Hantera nyckel.

Standardparametrar för IPsec/IKE

Tabellerna nedan innehåller kombinationer av algoritmer och parametrar som Azure VPN-gatewayer använder i standardkonfigurationen (standardprinciper). För routningsbaserade VPN-gatewayer som skapats med Azure Resource Management-distributionsmodellen kan du ange en anpassad princip för varje enskild anslutning. Detaljerade anvisningar finns i Konfigurera IPsec/IKE-princip .

Dessutom måste du fästa TCP MSS1350. Om dina VPN-enheter inte stöder MSS-ihopfogning kan du i stället ange MTU i tunnelgränssnittet till 1400 byte.

I följande tabeller:

  • SA = Security Association
  • IKE fas 1 kallas även "Huvudläge"
  • IKE fas 2 kallas även "Snabbläge"

Parametrar för IKE fas 1 (huvudläge)

Egenskap Principbaserad Routningsbaserad
IKE-version IKEv1 IKEv1 och IKEv2
Diffie-Hellman Group Grupp 2 (1 024 bitar) Grupp 2 (1 024 bitar)
Autentiseringsmetod I förväg delad nyckel I förväg delad nyckel
Krypteringshashalgoritmer & 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
1. AES256, SHA1
2. AES256, SHA256
3. AES128, SHA1
4. AES128, SHA256
5. 3DES, SHA1
6. 3DES, SHA256
SA-livstid 28 800 sekunder 28 800 sekunder

Parametrar för IKE fas 2 (snabbläge)

Egenskap Principbaserad Routningsbaserad
IKE-version IKEv1 IKEv1 och IKEv2
Krypteringshashalgoritmer & 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
RouteBased QM SA-erbjudanden
SA-livstid (tid) 3 600 sekunder 27 000 sekunder
SA-livstid (byte) 102 400 000 kB 102 400 000 kB
PFS (Perfect Forward Secrecy) Inga RouteBased QM SA-erbjudanden
Utebliven peer-identifiering (DPD) Stöds inte Stöds

Erbjudanden för RouteBased VPN IPsec-säkerhetsassociation (IKE-snabbläge SA)

Följande tabell visar erbjudanden för IPsec SA (IKE-snabbläge). Erbjudandena visas i prioritetsordning efter när erbjudandet visats eller godkänts.

Azure Gateway som initierare

- Kryptering Autentisering PFS-grupp
1 GCM AES256 GCM (AES256) Ingen
2 AES256 SHA1 Ingen
3 3DES SHA1 Ingen
4 AES256 SHA256 Ingen
5 AES128 SHA1 Ingen
6 3DES SHA256 Ingen

Azure Gateway som svarare

- Kryptering Autentisering PFS-grupp
1 GCM AES256 GCM (AES256) Ingen
2 AES256 SHA1 Ingen
3 3DES SHA1 Ingen
4 AES256 SHA256 Ingen
5 AES128 SHA1 Ingen
6 3DES SHA256 Ingen
7 DES SHA1 Ingen
8 AES256 SHA1 1
9 AES256 SHA1 2
10 AES256 SHA1 14
11 AES128 SHA1 1
12 AES128 SHA1 2
13 AES128 SHA1 14
14 3DES SHA1 1
15 3DES SHA1 2
16 3DES SHA256 2
17 AES256 SHA256 1
18 AES256 SHA256 2
19 AES256 SHA256 14
20 AES256 SHA1 24
21 AES256 SHA256 24
22 AES128 SHA256 Ingen
23 AES128 SHA256 1
24 AES128 SHA256 2
25 AES128 SHA256 14
26 3DES SHA1 14
  • Du kan ange IPsec ESP NULL-kryptering med routningsbaserade VPN-gatewayer och VPN-gatewayer som har hög kapacitet. Null-baserad kryptering ger inget skydd av data under överföringen och bör endast användas när maximalt dataflöde och lägsta svarstid krävs. Klienter kan välja att använda detta i scenarier med VNet-till-VNet-kommunikation eller när kryptering används någon annanstans i lösningen.
  • Vid Internetanslutning på flera platser bör du använda standardinställningarna för Azure VPN Gateway med kryptering och de hash-algoritmer som anges i tabellen ovan, för att garantera säkerheten för din kritiska kommunikation.

Kända kompatibilitetsproblem för enheter

Viktigt

Det här är kända kompatibilitetsproblem mellan VPN-enheter från tredje part och Azure VPN-gateways. Azure-teamet arbetar aktivt med leverantörerna för att åtgärda de problem som beskrivs här. Den här sidan uppdateras med den senaste informationen när problemen har åtgärdats. Kom tillbaka regelbundet.

16 februari 2017

Palo Alto Networks-enheter med tidigare versioner än 7.1.4 för Azure-vägbaserad VPN: Om du använder VPN-enheter från Palo Alto Networks med en PAN-OS-version äldre än 7.1.4 och har problem att ansluta till Azure-vägbaserade VPN-gateways ska du göra så här:

  1. Kontrollera Palo Alto Networks-enhetens version av den inbyggda programvaran (firmware). Om din version av PAN-OS är äldre än 7.1.4 uppgraderar du till 7.1.4.
  2. På Palo Alto Networks-enheten ändrar du livslängden för Phase 2 SA (eller Quick Mode SA) till 28 800 sekunder (8 timmar) vid anslutning till Azure VPN-gatewayen.
  3. Om du fortfarande har anslutningsproblem skapar du en supportbegäran i Azure Portal.