VPN-apparaten en IPSec-/IKE-parameters voor site-naar-site-VPN-gateway-verbindingen

U hebt een VPN-apparaat nodig om een cross-premises site-naar-site-VPN-verbinding te configureren. Site-naar-site-verbindingen kunnen worden gebruikt om een hybride oplossing te maken of wanneer u beveiligde verbindingen wilt maken tussen uw on-premises netwerken en virtuele netwerken. Dit artikel bevat een lijst met gevalideerde VPN-apparaten en een lijst met IPSec-/IKE-parameters voor VPN-gateways.

Belangrijk

Raadpleeg Bekende compatibiliteitsproblemen als u problemen ondervindt met de connectiviteit tussen uw lokale VPN-apparaten en VPN-gateways.

Waar u op moet letten wanneer u de tabellen bekijkt:

  • Er is een terminologiewijziging voor Azure VPN-gateways. Alleen de namen zijn gewijzigd. Er is geen wijziging in de functionaliteit.
    • Statische routering = PolicyBased
    • Dynamische routering = RouteBased
  • De specificaties voor een HighPerformance-VPN-gateway en een RouteBased VPN-gateway zijn hetzelfde, tenzij anders wordt vermeld. Zo zijn de gevalideerde VPN-apparaten die compatibel zijn met RouteBased VPN-gateways, ook compatibel met de HighPerformance VPN-gateway.

Gevalideerde VPN-apparaten en apparaatconfiguratiehandleidingen

We hebben samen met apparaatleveranciers een reeks standaard VPN-apparaten gevalideerd. Alle apparaten in de apparaatfamilies in de volgende lijst kunnen met VPN-gateways worden gebruikt. Dit zijn de aanbevolen algoritmen voor de apparaatconfiguratie.

Aanbevolen algoritmen Versleuteling Integriteit DH-groep
IKE AES256 SHA256 DH2
IPsec AES256GCM AES256GCM Geen

Raadpleeg de koppelingen die overeenkomen met de juiste apparaatfamilie om uw VPN-apparaat te configureren. De koppelingen naar configuratie-instructies worden geleverd op basis van best effort en standaardwaarden die worden vermeld in de configuratiehandleiding hoeven niet de beste cryptografische algoritmen te bevatten. Voor ondersteuning van VPN-apparaten neemt u contact op met de fabrikant van uw apparaat.

Leverancier Apparaatfamilie Minimale versie van het besturingssysteem PolicyBased configuratie-instructies RouteBased configuratie-instructies
A10 Networks, Inc. Thunder CFW ACOS 4.1.1 Niet compatibel Configuratiehandleiding
AhnLab TrusGuard TG 2.7.6
TG 3.5.x
Niet getest Configuratiehandleiding
Allied Telesis VPN-routers uit AR-serie AR-Serie 5.4.7+ Configuratiehandleiding Configuratiehandleiding
Arista CloudEOS-router vEOS 4.24.0FX Niet getest Configuratiehandleiding
Barracuda Networks, Inc. Barracuda CloudGen-firewall PolicyBased: 5.4.3
RouteBased: 6.2.0
Configuratiehandleiding Configuratiehandleiding
Check Point Security Gateway R80.10 Configuratiehandleiding Configuratiehandleiding
Cisco ASA 8.3
8.4+ (IKEv2*)
Ondersteund Configuratiehandleiding*
Cisco ASR PolicyBased: IOS 15.1
RouteBased: IOS 15.2
Ondersteund Ondersteund
Cisco MVO RouteBased: IOS-XE 16.10 Niet getest Configuratiescript
Cisco ISR PolicyBased: IOS 15.0
RouteBased*: IOS 15.1
Ondersteund Ondersteund
Cisco Meraki (MX) MX v15.12 Niet compatibel Configuratiehandleiding
Cisco vEdge (Viptela OS) 18.4.0 (actieve/passieve modus) Niet compatibel Handmatige configuratie (actief/passief)
Citrix NetScaler MPX, SDX, VPX 10.1 en hoger Configuratiehandleiding Niet compatibel
F5 BIG-IP-serie 12.0 Configuratiehandleiding Configuratiehandleiding
Fortinet FortiGate FortiOS 5.6 Niet getest Configuratiehandleiding
Fujitsu Si-R G serie V04: V04.12
V20: V20.14
Configuratiehandleiding Configuratiehandleiding
Hillstone Networks Next-Gen Firewalls (NGFW) 5.5R7 Niet getest Configuratiehandleiding
HPE Aruba Edge Verbinding maken SDWAN-gateway ECOS Release v9.2
Orchestrator OS v9.2
Configuratiehandleiding Configuratiehandleiding
Internet Initiative Japan (IIJ) SEIL-serie SEIL/X 4.60
SEIL/B1 4.60
SEIL/x86 3.20
Configuratiehandleiding Niet compatibel
Juniper SRX PolicyBased: JunOS 10.2
Routebased: JunOS 11.4
Ondersteund Configuratiescript
Juniper J-serie PolicyBased: JunOS 10.4r9
RouteBased: JunOS 11.4
Ondersteund Configuratiescript
Juniper ISG ScreenOS 6.3 Ondersteund Configuratiescript
Juniper SSG ScreenOS 6.2 Ondersteund Configuratiescript
Juniper MX JunOS 12.x Ondersteund Configuratiescript
Microsoft Routering en Remote Access-Service Windows Server 2012 Niet compatibel Ondersteund
Open Systems AG Mission Control Security Gateway N.v.t. Ondersteund Niet compatibel
Palo Alto Networks Alle apparaten waarop PAN-OS wordt uitgevoerd PAN-OS
PolicyBased: 6.1.5 of hoger
RouteBased: 7.1.4
Ondersteund Configuratiehandleiding
Sentrium (ontwikkelaar) VyOS VyOS 1.2.2 Niet getest Configuratiehandleiding
ShareTech Next Generation UTM (NU-serie) 9.0.1.3 Niet compatibel Configuratiehandleiding
SonicWall TZ-serie, NSA-serie
SuperMassive-serie
E-Class NSA-serie
SonicOS 5.8.x
SonicOS 5.9.x
SonicOS 6.x
Niet compatibel Configuratiehandleiding
Sophos XG Firewall van de volgende generatie XG v17 Niet getest Configuratiehandleiding

Configuratiehandleiding - Meerdere CA's
Synology MR2200ac
RT2600ac
RT1900ac
SRM1.1.5/VpnPlusServer-1.2.0 Niet getest Configuratiehandleiding
Ubiquiti EdgeRouter EdgeOS v1.10 Niet getest BGP via IKEv2/IPsec

VTI via IKEv2/IPsec
Ultra 3E-636L3 5.2.0.T3 build-13 Niet getest Configuratiehandleiding
WatchGuard Alle Fireware XTM
PolicyBased: v11.11.x
RouteBased: v11.12.x
Configuratiehandleiding Configuratiehandleiding
Zyxel ZyWALL USG-serie
ZyWALL ATP-serie
ZyWALL VPN-serie
ZLD v4.32+ Niet getest VTI via IKEv2/IPsec

BGP via IKEv2/IPsec

Notitie

(*) Met Cisco ASA versie 8.4 en hoger wordt IKEv2-ondersteuning toegevoegd en kan verbinding worden gemaakt met Azure VPN-gateways met behulp van een aangepast IPsec/IKE-beleid met de optie UsePolicyBasedTrafficSelectors. Raadpleeg dit artikel met instructies.

(**) Routers uit de ISR 7200-serie bieden alleen ondersteuning voor PolicyBased VPN's.

Configuratiescripts voor VPN-apparaten downloaden van Azure

Voor bepaalde apparaten kunt u configuratiescripts rechtstreeks vanuit Azure downloaden. Zie Configuratiescripts voor VPN-apparaten downloaden voor meer informatie en downloadinstructies.

Niet-gevalideerde VPN-apparaten

Als uw apparaat niet wordt weergegeven in de tabel Gevalideerde VPN-apparaten, werkt uw apparaat mogelijk nog steeds met een site-naar-site-verbinding. Neem contact op met de fabrikant van uw apparaat voor ondersteuning en configuratie-instructies.

Voorbeelden van het bewerken van apparaatconfiguraties

Nadat u het bij het VPN-apparaat meegeleverde configuratievoorbeeld hebt gedownload, moet u enkele waarden veranderen zodat ze overeenkomen met de instellingen voor uw omgeving.

U bewerkt een voorbeeld als volgt:

  1. Open het voorbeeld met Kladblok.
  2. Zoek en vervang alle <tekenreeksen> door de waarden die betrekking hebben op uw omgeving. Zorg ervoor dat u deze opneemt < en >. Als u een naam opgeeft, moet deze uniek zijn. Als een opdracht niet werkt, raadpleegt u de documentatie van de fabrikant van uw apparaat.
Voorbeeldtekst Wijzig in
<RP_OnPremisesNetwork> De naam die u voor dit object hebt gekozen. Voorbeeld: myOnPremisesNetwork
<RP_AzureNetwork> De naam die u voor dit object hebt gekozen. Voorbeeld: myAzureNetwork
<RP_AccessList> De naam die u voor dit object hebt gekozen. Voorbeeld: myAzureAccessList
<RP_IPSecTransformSet> De naam die u voor dit object hebt gekozen. Voorbeeld: myIPSecTransformSet
<RP_IPSecCryptoMap> De naam die u voor dit object hebt gekozen. Voorbeeld: myIPSecCryptoMap
<SP_AzureNetworkIpRange> Geef het bereik op. Voorbeeld: 192.168.0.0
<SP_AzureNetworkSubnetMask> Geef het subnetmasker op. Voorbeeld: 255.255.0.0
<SP_OnPremisesNetworkIpRange> Geef het on-premises bereik op. Voorbeeld: 10.2.1.0
<SP_OnPremisesNetworkSubnetMask> Geef het on-premises subnetmasker op. Voorbeeld: 255.255.255.0
<SP_AzureGatewayIpAddress> Deze informatie is specifiek voor uw virtuele netwerk en u vindt deze in de beheerportal als IP-adres van gateway.
<SP_PresharedKey> Deze informatie is specifiek voor uw virtuele netwerk en u vindt deze in de beheerportal onder Sleutel beheren.

Standaard-IPsec-/IKE-parameters

De volgende tabellen bevatten de combinaties van algoritmen en parameters die Azure VPN-gateways gebruiken in de standaardconfiguratie (standaardbeleid). Voor op routes gebaseerde VPN-gateways die zijn gemaakt met het Azure Resource Management-implementatiemodel, kunt u voor elke afzonderlijke verbinding een aangepast beleid opgeven. Raadpleeg IPsec-/IKE-beleid configureren voor gedetailleerde instructies.

Daarnaast moet u TCP MSS klemen bij 1350. Of als uw VPN-apparaten MSS-klemming niet ondersteunen, kunt u de MTU op de tunnelinterface instellen op 1400 bytes.

In de volgende tabellen:

  • SA = Security Association
  • IKE Phase 1 wordt ook 'Main Mode' genoemd
  • IKE Phase 2 wordt ook 'Quick Mode' genoemd

Parameters voor IKE Phase 1 (Main Mode)

Eigenschappen PolicyBased RouteBased
IKE-versie IKEv1 IKEv1 en IKEv2
Diffie-Hellman-groep Groep 2 (1024 bits) Groep 2 (1024 bits)
Authenticatiemethode Vooraf gedeelde sleutel Vooraf gedeelde sleutel
Versleutelings- en hash-algoritmen 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
1. AES256, SHA1
2. AES256, SHA256
3. AES128, SHA1
4. AES128, SHA256
5. 3DES, SHA1
6. 3DES, SHA256
SA-levensduur 28.800 seconden 28.800 seconden
Aantal snelle modus-SA 100 100

Parameters voor IKE Phase 2 (Quick Mode)

Eigenschappen PolicyBased RouteBased
IKE-versie IKEv1 IKEv1 en IKEv2
Versleutelings- en hash-algoritmen 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
RouteBased QM SA-aanbiedingen
SA-levensduur (tijd) 3.600 seconden 27.000 seconden
SA-levensduur (bytes) 102.400.000 kB 102.400.000 kB
Perfect Forward Secrecy (PFS) Nee RouteBased QM SA-aanbiedingen
Dead Peer Detection (DPD) Niet ondersteund Ondersteund

Aanbiedingen RouteBased VPN IPsec Security Association (IKE Quick Mode SA)

De volgende tabel bevat aanbiedingen van IPSec-SA (IKE Quick Mode). De aanbiedingen staan in volgorde van voorkeur waarin de aanbieding is gepresenteerd of geaccepteerd.

Azure-gateway als initiator

- Versleuteling Verificatie PFS-groep
1 GCM AES256 GCM (AES256) Geen
2 AES256 SHA1 Geen
3 3DES SHA1 Geen
4 AES256 SHA256 Geen
5 AES128 SHA1 Geen
6 3DES SHA256 Geen

Azure-gateway als antwoorder

- Versleuteling Verificatie PFS-groep
1 GCM AES256 GCM (AES256) Geen
2 AES256 SHA1 Geen
3 3DES SHA1 Geen
4 AES256 SHA256 Geen
5 AES128 SHA1 Geen
6 3DES SHA256 Geen
7 DES SHA1 Geen
8 AES256 SHA1 1
9 AES256 SHA1 2
10 AES256 SHA1 14
11 AES128 SHA1 1
12 AES128 SHA1 2
13 AES128 SHA1 14
14 3DES SHA1 1
15 3DES SHA1 2
16 3DES SHA256 2
17 AES256 SHA256 1
18 AES256 SHA256 2
19 AES256 SHA256 14
20 AES256 SHA1 24
21 AES256 SHA256 24
22 AES128 SHA256 Geen
23 AES128 SHA256 1
24 AES128 SHA256 2
25 AES128 SHA256 14
26 3DES SHA1 14
  • U kunt IPsec ESP NULL-versleuteling opgeven met RouteBased VPN-gateways en HighPerformance VPN-gateways. Versleuteling op basis van null biedt geen beveiliging voor gegevens die onderweg zijn en mag alleen worden gebruikt wanneer maximale doorvoer en minimale latentie vereist zijn. Clients kunnen ervoor kiezen om dit te gebruiken in VNet-naar-VNet-communicatiescenario's of wanneer versleuteling ergens anders in de oplossing wordt toegepast.
  • Voor cross-premises connectiviteit via internet gebruikt u de standaardinstellingen van de Azure VPN-gateway met versleutelings- en hash-algoritmen die in de voorgaande tabellen worden vermeld om de beveiliging van uw kritieke communicatie te garanderen.

Bekende compatibiliteitsproblemen

Belangrijk

Dit zijn de bekende compatibiliteitsproblemen tussen VPN-apparaten van derden en Azure VPN-gateways. Het team van Azure werkt samen met de leveranciers aan een oplossing voor de hier vermelde problemen. Zodra de problemen zijn opgelost, wordt deze pagina bijgewerkt met de meest actuele informatie. Bekijk deze pagina daarom regelmatig.

16 februari 2017

Palo Alto Networks-apparaten met versie vóór 7.1.4 voor op route gebaseerde VPN van Azure: Als u VPN-apparaten van Palo Alto Networks gebruikt met een PAN-OS-versie vóór 7.1.4 en verbindingsproblemen ondervindt met op route gebaseerde VPN-gateways van Azure, voert u de volgende stappen uit:

  1. Controleer de firmwareversie van uw Palo Alto Networks-apparaat. Als de PAN-OS-versie ouder is dan 7.1.4, voert u een upgrade uit naar 7.1.4.
  2. Op het Palo Alto Networks-apparaat wijzigt u de levensduur van de beveiligingskoppeling fase 2 (of de beveiligingskoppeling in snelle modus) in 28.800 seconden (8 uur) wanneer er verbinding met de Azure VPN-gateway wordt gemaakt.
  3. Als u nog steeds verbindingsproblemen ondervindt, opent u een ondersteuningsaanvraag vanuit Azure Portal.