Siteden Siteye VPN Gateway bağlantıları için VPN cihazları ve IPsec/IKE parametreleri hakkında
Bir VPN ağ geçidi kullanılarak Siteden Siteye (S2S) şirketler arası VPN bağlantısı yapılandırmak için bir VPN cihazı gereklidir. Siteden siteye bağlantılar karma çözüm oluşturmak amacıyla ya da şirket içi ağlarınız ile sanal ağlarınız arasında güvenli bağlantılar istediğinizde kullanılabilir. Bu makalede, doğrulanmış VPN cihazlarının listesi ve VPN ağ geçitleri için IPsec/IKE parametrelerinin listesi verilmektedir.
Önemli
Şirket içi VPN cihazlarınızla VPN ağ geçitleri arasında bağlantı sorunları yaşıyorsanız lütfen Bilinen cihaz uyumluluk sorunları konusuna başvurun.
Tabloları görüntülerken dikkate alınacaklar:
- Azure VPN ağ geçitleri terimlerinde bir değişiklik meydana gelmiştir. Yalnızca adlar değişmiştir. İşlevsellik değişmez.
- Statik Yönlendirme = PolicyBased
- Dinamik Yönlendirme = RouteBased
- Yüksek Performanslı VPN ağ geçidi ve RouteBased VPN ağ geçidi özellikleri, aksi belirtilmedikçe aynıdır. Örneğin, RouteBased VPN ağ geçitleri ile uyumlu doğrulanmış VPN cihazları, Yüksek Performanslı VPN ağ geçidi ile de uyumludur.
Doğrulanmış VPN cihazları ve cihaz yapılandırma kılavuzları
Cihaz satıcılarıyla işbirliği yaparak bir grup standart VPN cihazını doğruladık. Aşağıdaki listede bulunan cihaz ailelerinde yer alan tüm cihazlar, VPN ağ geçitleriyle birlikte kullanılabilir. Yapılandırmak istediğiniz VPN Gateway çözümüne yönelik VPN türü kullanımını (PolicyBased veya RouteBased) anlamak için bkz. VPN Gateway Ayarları Hakkında.
VPN cihazınızı yapılandırmaya yardımcı olması için, uygun cihaz ailesine karşılık gelen bağlantılara başvurun. Mümkün olan en iyi yapılandırma yönergeleri verilmiştir. VPN cihazı desteği için lütfen cihaz üreticinize başvurun.
| Satıcı | Cihaz ailesi | En düşük işletim sistemi sürümü | PolicyBased yapılandırma yönergeleri | RouteBased yapılandırma yönergeleri |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | Uyumlu değil | Yapılandırma Kılavuzu |
| AhnLab | TrusGuard | TG 2.7.6 TG 3.5. x |
Sınanmamıştır | Yapılandırma Kılavuzu |
| Allied Telesis | AR Serisi VPN Yönlendiricileri | AR-Series 5.4.7 + | Yapılandırma Kılavuzu | Yapılandırma Kılavuzu |
| Arista | CloudEOS yönlendiricisi | vEOS 4.24.0 FX | Sınanmamıştır | Yapılandırma Kılavuzu |
| Barracuda Networks, Inc. | Barracuda CloudGen Firewall | PolicyBased: 5.4.3 RouteBased: 6.2.0 |
Yapılandırma Kılavuzu | Yapılandırma Kılavuzu |
| Denetim Noktası | Güvenlik Ağ Geçidi | R 80.10 | Yapılandırma Kılavuzu | Yapılandırma Kılavuzu |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
Desteklenir | Yapılandırma Kılavuzu * |
| Cisco | ASR | PolicyBased: IOS 15.1 RouteBased: IOS 15.2 |
Desteklenir | Desteklenir |
| Cisco | 'Nın | RouteBased: IOS-XE 16,10 | Sınanmamıştır | Yapılandırma betiği |
| Cisco | ISR | PolicyBased: IOS 15.0 RouteBased*: IOS 15.1 |
Desteklenir | Desteklenir |
| Cisco | Meraki (MX) | MX v 15.12 | Uyumlu değil | Yapılandırma Kılavuzu |
| Cisco | vEdge (Viptela OS) | 18.4.0 (etkin/Pasif mod) 19,2 (etkin/etkin mod) |
Uyumlu değil | El ile yapılandırma (etkin/Pasif) Cloud Onrampa yapılandırması (etkin/etkin) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 ve sonraki sürümleri | Yapılandırma Kılavuzu | Uyumlu değil |
| F5 | BIG-IP serisi | 12.0 | Yapılandırma Kılavuzu | Yapılandırma Kılavuzu |
| Fortinet | FortiGate | FortiOS 5.6 | Sınanmamıştır | Yapılandırma Kılavuzu |
| Teplstone ağları | Sonraki-genel güvenlik duvarları (NGFW) | 5,5 R7 | Sınanmamıştır | Yapılandırma Kılavuzu |
| Internet Initiative Japan (IIJ) | SEIL Serisi | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Yapılandırma Kılavuzu | Uyumlu değil |
| Juniper | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
Destekleniyor | Yapılandırma betiği |
| Juniper | J-Serisi | PolicyBased: JunOS 10.4r9 RouteBased: JunOS 11.4 |
Desteklenir | Yapılandırma betiği |
| Juniper | ISG | ScreenOS 6.3 | Destekleniyor | Yapılandırma betiği |
| Juniper | SSG | ScreenOS 6.2 | Destekleniyor | Yapılandırma betiği |
| Juniper | MX | JunOS 12. x | Destekleniyor | Yapılandırma betiği |
| Microsoft | Yönlendirme ve Uzaktan Erişim Hizmeti | Windows Server 2012 | Uyumlu değil | Desteklenir |
| Open Systems AG | Mission Control Security Ağ Geçidi | Yok | Yapılandırma Kılavuzu | Uyumlu değil |
| Palo Alto Networks | PAN-OS çalıştıran tüm cihazlar | PAN-OS PolicyBased: 6.1.5 veya üzeri RouteBased: 7.1.4 |
Desteklenir | Yapılandırma Kılavuzu |
| Sentrium (Geliştirici) | VyOS | VyOS 1.2.2 | Sınanmamıştır | Yapılandırma Kılavuzu |
| ShareTech | Yeni Nesil UTM (NU serisi) | 9.0.1.3 | Uyumlu değil | Yapılandırma Kılavuzu |
| SonicWall | TZ Series, NSA Series SuperMassive Series E-Class NSA Series |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Uyumlu değil | Yapılandırma Kılavuzu |
| Sophos | XG Yeni Nesil Güvenlik Duvarı | XG v17 | Sınanmamıştır | Yapılandırma Kılavuzu Yapılandırma Kılavuzu-birden çok SAs |
| Synoloji | MR2200ac RT2600ac RT1900ac |
SRM 1.1.5/VpnPlusServer-1.2.0 | Sınanmamıştır | Yapılandırma Kılavuzu |
| Ubiquiti | EdgeRouter | EdgeOS v 1,10 | Sınanmamıştır | Ikev2/IPSec üzerinden BGP Ikev2/IPSec üzerinden VTı |
| Ultra | 3E-636L3 | 5.2.0. T3 derlemesi-13 | Sınanmamıştır | Yapılandırma Kılavuzu |
| WatchGuard | Tümü | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
Yapılandırma Kılavuzu | Yapılandırma Kılavuzu |
| ZyXEL | Zyduvar USG serisi Zyduvaratp serisi Zyduvarvpn serisi |
ZLD v 4.32 + | Sınanmamıştır | Ikev2/IPSec üzerinden VTı Ikev2/IPSec üzerinden BGP |
Not
(*) Cisco ASA 8.4 ve üzeri sürümleri IKEv2 desteği ekler, "UsePolicyBasedTrafficSelectors" seçeneğiyle özel IPsec/IKE ilkesini kullanarak Azure VPN ağ geçidine bağlanabilir. Bu nasıl yapılır makalesine başvurun.
(**) ISR 7200 Serisi yönlendiriciler yalnızca PolicyBased VPN’leri destekler.
Azure 'dan VPN cihaz yapılandırma betikleri indirin
Belirli cihazlarda, yapılandırma betiklerini doğrudan Azure 'dan indirebilirsiniz. Daha fazla bilgi ve indirme yönergeleri için bkz. VPN cihazı yapılandırma betiklerini indirme.
Kullanılabilir yapılandırma betikleri olan cihazlar
| Satıcı | Cihaz ailesi | Üretici yazılımı sürümü |
|---|---|---|
| Cisco | ISR | IOS 15,1 (Önizleme) |
| Cisco | ASA | ASA (*) RouteBased (Ikev2-No BGP) for ASA 9,8 |
| Cisco | ASA | Asa RouteBased (Ikev2-No BGP) ASA 9.8 + |
| Juniper | SRX_GA | 12. x |
| Juniper | SSG_GA | ScreenOS 6.2. x |
| Juniper | JSeries_GA | JunOS 12. x |
| Juniper | SRX | JunOS 12. x RouteBased BGP |
| Ubiquiti | EdgeRouter | EdgeOS v 1,10 x RouteBased VTı |
| Ubiquiti | EdgeRouter | EdgeOS v 1,10 x RouteBased BGP |
Not
( * ) Gerekli: NarrowAzureTrafficSelectors (UsePolicyBasedTrafficSelectors seçeneğini etkinleştir) ve CustomAzurePolicies (ıKE/IPSec)
Doğrulanmayan VPN cihazları
Cihazınızı Doğrulanan VPN cihazları tablosunda görmüyor olsanız bile cihazınız yine de Siteden Siteye bir bağlantı ile çalışabilir. Ek destek ve yapılandırma yönergeleri için cihaz üreticinize başvurun.
Cihaz yapılandırma örneklerini düzenleme
Sağlanan VPN cihazı yapılandırma örneğini indirdikten sonra, ortamınıza ilişkin ayarları yansıtacak şekilde bazı değerleri değiştirmeniz gerekir.
Bir örneği düzenlemek için:
- Not Defteri'ni kullanarak örneği açın.
- Tüm <text> dizelerini arayın ve ortamınızla ilgili değerlerle değiştirin. < and > eklediğinizden emin olun. Bir ad belirtildiğinde, seçtiğiniz adın benzersiz olması gerekir. Bir komut çalışmazsa, lütfen cihazınızın üretici belgelerine başvurun.
| Örnek metin | Şununla değiştirin |
|---|---|
| <RP_OnPremisesNetwork> | Bu nesne için seçtiğiniz ad. Örnek: myOnPremisesNetwork |
| <RP_AzureNetwork> | Bu nesne için seçtiğiniz ad. Örnek: myAzureNetwork |
| <RP_AccessList> | Bu nesne için seçtiğiniz ad. Örnek: myAzureAccessList |
| <RP_IPSecTransformSet> | Bu nesne için seçtiğiniz ad. Örnek: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | Bu nesne için seçtiğiniz ad. Örnek: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | Aralığı belirtin. Örnek: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Alt ağ maskesi belirtin. Örnek: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Şirket içi aralığı belirtin. Örnek: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | Şirket içi alt ağ maskesini belirtin. Örnek: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Bu bilgiler sanal ağınıza özeldir ve Ağ geçidi IP adresi olarak Yönetim Portalı’nda yer almaktadır. |
| <SP_PresharedKey> | Bu bilgiler sanal ağınıza özeldir ve Yönetme Anahtarı olarak Yönetim Portalı’nda yer almaktadır. |
Varsayılan IPSec/ıKE parametreleri
Aşağıdaki tablolar, Azure VPN ağ geçitlerinin varsayılan yapılandırmada (varsayılan ilkelerde) kullanıldığı algoritmaların ve parametrelerin birleşimlerini içerir. Azure Kaynak Yönetimi dağıtım modeli kullanılarak oluşturulan rota tabanlı VPN ağ geçitleri için, her ayrı bağlantı üzerinde özel bir ilke belirleyebilirsiniz. Ayrıntılı yönergeler için IPSec/IKE Ilkesini yapılandırma konusuna bakın.
Ayrıca, 1350 adresinden de Clamp TCP VPN cihazlarınız MSS sıkıştırmayı desteklemiyorsa, alternatif olarak tünel arabiriminde MTU’yu 1400 bayt olarak ayarlayabilirsiniz.
Aşağıdaki tablolarda:
- SA = Güvenlik İlişkisi
- IKE Aşama 1 "Ana Mod" olarak da adlandırılır
- IKE Aşama 2 "Hızlı Mod" olarak da adlandırılır
IKE Aşama 1 (Ana Mod) parametreleri
| Özellik | PolicyBased | RouteBased |
|---|---|---|
| IKE Sürümü | IKEv1 | IKEv1 ve IKEv2 |
| Diffie-Hellman Grubu | Grup 2 (1024 bit) | Grup 2 (1024 bit) |
| Kimlik Doğrulama Yöntemi | Önceden Paylaşılan Anahtar | Önceden Paylaşılan Anahtar |
| Şifreleme ve Karma Algoritmaları | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| SA Yaşam Süresi | 28.800 saniye | 28.800 saniye |
IKE Aşama 2 (Hızlı Mod) parametreleri
| Özellik | PolicyBased | RouteBased |
|---|---|---|
| IKE Sürümü | IKEv1 | IKEv1 ve IKEv2 |
| Şifreleme ve Karma Algoritmaları | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
RouteBased QM SA Teklifleri |
| SA Yaşam Süresi (Zaman) | 3.600 saniye | 27.000 saniye |
| SA Yaşam Süresi (Bayt) | 102.400.000 KB | 102.400.000 KB |
| Kusursuz İletme Gizliliği (PFS) | Hayır | RouteBased QM SA Teklifleri |
| Kullanılmayan Eş Algılama (DPD) | Desteklenmez | Desteklenir |
RouteBased VPN IPsec Güvenlik İlişkisi (IKE Hızlı Mod SA) Teklifleri
Aşağıdaki tabloda IPsec SA (IKE Hızlı Mod) Teklifleri listelenir. Teklifler, teklifin sunulduğu ya da kabul edildiği tercih sırasına göre listelenmiştir.
Başlatıcı olarak Azure Gateway
| - | Şifreleme | Kimlik Doğrulaması | PFS Grubu |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Hiçbiri |
| 2 | AES256 | SHA1 | Hiçbiri |
| 3 | 3DES | SHA1 | Hiçbiri |
| 4 | AES256 | SHA256 | Hiçbiri |
| 5 | AES128 | SHA1 | Hiçbiri |
| 6 | 3DES | SHA256 | Hiçbiri |
Yanıtlayıcı olarak Azure Gateway
| - | Şifreleme | Kimlik Doğrulaması | PFS Grubu |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Hiçbiri |
| 2 | AES256 | SHA1 | Hiçbiri |
| 3 | 3DES | SHA1 | Hiçbiri |
| 4 | AES256 | SHA256 | Hiçbiri |
| 5 | AES128 | SHA1 | Hiçbiri |
| 6 | 3DES | SHA256 | Hiçbiri |
| 7 | DES | SHA1 | Hiçbiri |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | Hiçbiri |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- RouteBased ve Yüksek Performanslı VPN ağ geçitleri ile IPsec ESP NULL şifrelemesini belirtebilirsiniz. Null tabanlı şifreleme aktarımdaki verilere koruma sağlamaz ve yalnızca maksimum performans ve minimum gecikme gerekli olduğunda kullanılmalıdır. İstemciler, bunu Sanal Ağ-Sanal Ağ iletişim senaryolarında ya da çözümdeki başka bir yere şifreleme uygulandığında kullanmayı seçebilir.
- İnternet üzerinden şirket içi ve dışı bağlantı için, kritik iletişiminizin güvenliğini sağlamak üzere yukarıdaki tablolarda listelenen şifreleme ve karma algoritmalarla birlikte varsayılan Azure VPN ağ geçidi ayarlarını kullanın.
Bilinen cihaz uyumluluk sorunları
Önemli
Bunlar, üçüncü taraf VPN cihazları ile Azure VPN ağ geçitleri arasında bilinen uyumluluk sorunlarıdır. Azure ekibi, burada listelenen sorunların giderilmesi için satıcılarla etkin olarak çalışmaktadır. Sorunlar çözüldüğünde bu sayfada en güncel bilgilerle güncelleştirilecektir. Lütfen bu sayfayı düzenli aralıklarla kontrol edin.
16 Şubat 2017
Azure rota tabanlı VPN için 7.1.4’ten eski bir sürüme sahip Palo Alto Networks cihazları: Palo Alto Networks tarafından sağlanan ve PAN-OS sürümü 7.1.4’ten eski olan VPN cihazları kullanıyor ve Azure rota tabanlı VPN ile bağlantı sorunları yaşıyorsanız aşağıdaki adımları gerçekleştirin:
- Palo Alto Networks cihazınızın üretici yazılımı sürümünü denetleyin. PAN-OS sürümünüz 7.1.4’ten eskiyse 7.1.4 sürümüne yükseltin
- Palo Alto Networks cihazında, Azure VPN Gateway’e bağlanırken kullanılan Phase 2 SA (veya Quick Mode SA) ömrünü 28.800 saniye (8 saat) olarak değiştirin.
- Hala bir bağlantı sorunu yaşıyorsanız Azure portalından bir destek isteği oluşturun.