Виртуальная сеть vpn windows 10 что это такое
Обновлено: 21.11.2024
Многие рабочие нагрузки, выполняемые локально и в мультиоблачных средах, требуют подключения к виртуальным машинам (ВМ), работающим в Microsoft Azure. Чтобы подключить сервер к виртуальной сети Azure, у вас есть несколько вариантов, включая Site-to-Site VPN, Azure Express Route и Point-to-Site VPN.
Центр администрирования Windows и сетевой адаптер Azure позволяют одним щелчком подключить сервер к виртуальной сети с помощью VPN-подключения "точка-сеть". Этот процесс автоматизирует настройку шлюза виртуальной сети и локального VPN-клиента.
Когда использовать сетевой адаптер Azure
Подключения VPN "точка-сеть" сетевого адаптера Azure полезны, когда вы хотите подключиться к виртуальной сети из удаленного места, например из филиала, магазина или другого места. Вы также можете использовать сетевой адаптер Azure вместо Site-to-Site VPN, если вам требуется всего несколько серверов для подключения к виртуальной сети. Для подключения к сетевому адаптеру Azure не требуется VPN-устройство или общедоступный IP-адрес.
Требования
Для использования сетевого адаптера Azure для подключения к виртуальной сети необходимо следующее:
- Учетная запись Azure с хотя бы одной активной подпиской.
- Существующая виртуальная сеть.
- Доступ к Интернету для целевых серверов, которые вы хотите подключить к виртуальной сети Azure.
- Подключение Центра администрирования Windows к Azure. Дополнительные сведения см. в разделе Настройка интеграции с Azure.
- Последняя версия Центра администрирования Windows. Дополнительные сведения см. в Центре администрирования Windows.
Необязательно устанавливать Windows Admin Center на сервер, который вы хотите подключить к Azure. Однако вы можете сделать это в сценарии с одним сервером.
Добавить сетевой адаптер Azure на сервер
Чтобы настроить сетевой адаптер Azure, перейдите к расширению сети для него в центре администрирования Windows.
В центре администрирования Windows:
Перейдите к серверу, на котором размещены виртуальные машины, которые вы хотите добавить в сетевой адаптер Azure.
В разделе "Инструменты" выберите "Сети".
Выберите Добавить сетевой адаптер Azure.
На панели "Добавить сетевой адаптер Azure" введите следующую необходимую информацию, а затем выберите "Создать":
Подписка
Местоположение
Виртуальная сеть
Подсеть шлюза (если не существует)
Артикул шлюза (если не существует)
Клиентское адресное пространство
Пул клиентских адресов – это указанный вами диапазон частных IP-адресов. Клиенты, подключающиеся через VPN типа «точка-сеть», динамически получают IP-адреса из этого диапазона. Используйте диапазон частных IP-адресов, который не пересекается с локальным расположением, из которого вы подключаетесь, или виртуальной сетью, к которой вы хотите подключиться. Мы рекомендуем использовать IP-адреса из диапазона, предназначенного для частных сетей (10.x.x.x, 192.168.x.x или от 172.16.0.0 до 172.31.255.255).
Сертификат аутентификации
Azure использует сертификаты для проверки подлинности клиентов, подключающихся к виртуальной сети через VPN-подключение типа "точка-сеть". Сведения об открытом ключе корневого сертификата загружаются в Azure. Затем корневой сертификат считается «доверенным» Azure для подключения типа «точка-сеть» к виртуальной сети. Клиентские сертификаты должны быть сгенерированы из доверенного корневого сертификата и установлены на клиентском сервере. Сертификат клиента используется для аутентификации клиента, когда он инициирует подключение к виртуальной сети.
Сетевые устройства, такие как VPN-шлюз и шлюз приложений, работающие внутри виртуальной сети, предоставляются за дополнительную плату. Дополнительные сведения см. в разделе Цены на виртуальную сеть.
Если существующего шлюза виртуальной сети Azure нет, Windows Admin Center создаст его для вас. Процесс настройки может занять до 25 минут. После создания сетевого адаптера Azure вы можете начать получать доступ к виртуальным машинам в виртуальной сети непосредственно со своего сервера.
Если вам больше не нужно подключение, в разделе "Сети" выберите сетевой адаптер Azure, который вы хотите отключить, в верхнем меню выберите "Отключить", а затем во всплывающем окне "Подтверждение отключения VPN" выберите "Да".
VPN-шлюз — это особый тип шлюза виртуальной сети, который используется для отправки зашифрованного трафика между виртуальной сетью Azure и локальным расположением через общедоступный Интернет. Вы также можете использовать VPN-шлюз для отправки зашифрованного трафика между виртуальными сетями Azure по сети Microsoft. Каждая виртуальная сеть может иметь только один VPN-шлюз. Однако вы можете создать несколько подключений к одному и тому же VPN-шлюзу. Когда вы создаете несколько подключений к одному и тому же шлюзу VPN, все туннели VPN используют доступную полосу пропускания шлюза.
Что такое виртуальный сетевой шлюз?
Виртуальный сетевой шлюз состоит из двух или более виртуальных машин, которые автоматически настраиваются и развертываются в определенной созданной вами подсети, которая называется подсетью шлюза. Виртуальные машины шлюза содержат таблицы маршрутизации и запускают определенные службы шлюза. Вы не можете напрямую настроить виртуальные машины, которые являются частью шлюза виртуальной сети, хотя параметры, выбранные при настройке шлюза, влияют на создаваемые виртуальные машины шлюза.
Что такое VPN-шлюз?
При настройке шлюза виртуальной сети вы настраиваете параметр, определяющий тип шлюза. Тип шлюза определяет, как будет использоваться шлюз виртуальной сети и какие действия он будет выполнять. Тип шлюза «Vpn» указывает, что тип создаваемого шлюза виртуальной сети — «VPN-шлюз». Это отличает его от шлюза ExpressRoute, который использует другой тип шлюза. В виртуальной сети может быть два виртуальных сетевых шлюза; один VPN-шлюз и один шлюз ExpressRoute. Дополнительные сведения см. в разделе Типы шлюзов.
При создании VPN-шлюза виртуальные машины шлюза развертываются в подсети шлюза и настраиваются с указанными вами параметрами. Этот процесс может занять 45 минут или более, в зависимости от выбранного вами SKU шлюза. После создания VPN-шлюза можно создать туннельное VPN-подключение IPsec/IKE между этим VPN-шлюзом и другим VPN-шлюзом (VNet-to-VNet) или создать кросс-локальное туннельное VPN-подключение IPsec/IKE между VPN-шлюзом и локальное VPN-устройство (Site-to-Site). Вы также можете создать VPN-подключение "точка-сеть" (VPN через OpenVPN, IKEv2 или SSTP), которое позволит вам подключаться к вашей виртуальной сети из удаленного места, например из конференции или из дома.
Настройка VPN-шлюза
Подключение VPN-шлюза зависит от нескольких ресурсов, для которых настроены определенные параметры. Большинство ресурсов можно настроить отдельно, хотя некоторые ресурсы необходимо настраивать в определенном порядке.
Связь
Поскольку с помощью VPN-шлюза можно создать несколько конфигураций подключения, вам необходимо определить, какая конфигурация лучше всего соответствует вашим потребностям. Для соединений «точка-сеть», «сеть-сеть» и сосуществующих подключений ExpressRoute/Site-to-Site применяются разные инструкции и требования к конфигурации. Схемы подключения и соответствующие ссылки на этапы настройки см. в разделе Проект VPN-шлюза.
Таблица планирования
Следующая таблица поможет вам выбрать лучший вариант подключения для вашего решения. Обратите внимание, что ExpressRoute не является частью VPN-шлюза, но включен в таблицу.
Подключение шлюза VPN типа "точка-сеть" (P2S) позволяет создать безопасное подключение к виртуальной сети с отдельного клиентского компьютера. Соединение P2S устанавливается путем его запуска с клиентского компьютера. Это решение полезно для удаленных сотрудников, которые хотят подключаться к виртуальным сетям Azure из удаленного расположения, например из дома или с конференции. P2S VPN также является полезным решением для использования вместо S2S VPN, когда у вас есть только несколько клиентов, которым необходимо подключиться к виртуальной сети. Эта статья относится к модели развертывания Resource Manager.
Какой протокол использует P2S?
Виртуальная частная сеть "точка-сеть" может использовать один из следующих протоколов:
Протокол OpenVPN®, VPN-протокол на основе SSL/TLS. Решение TLS VPN может преодолевать брандмауэры, поскольку большинство брандмауэров открывают исходящий TCP-порт 443, который использует TLS. OpenVPN можно использовать для подключения с устройств Android, iOS (версия 11.0 и выше), Windows, Linux и Mac (версия macOS 10.13 и выше).
Secure Socket Tunneling Protocol (SSTP) — частный VPN-протокол на основе TLS. Решение TLS VPN может преодолевать брандмауэры, поскольку большинство брандмауэров открывают исходящий TCP-порт 443, который использует TLS. SSTP поддерживается только на устройствах Windows. Azure поддерживает все версии Windows с поддержкой SSTP и TLS 1.2 (Windows 8.1 и более поздние версии).
IKEv2 VPN, основанное на стандартах решение IPsec VPN. IKEv2 VPN можно использовать для подключения с устройств Mac (macOS версии 10.11 и выше).
IKEv2 и OpenVPN для P2S доступны только для модели развертывания Resource Manager. Они недоступны для классической модели развертывания.
Как аутентифицируются VPN-клиенты P2S?
Прежде чем Azure примет VPN-подключение P2S, пользователь должен пройти аутентификацию. Azure предлагает два механизма для аутентификации подключающегося пользователя.
Аутентификация с использованием собственного сертификата Azure
При использовании собственной проверки подлинности сертификата Azure клиентский сертификат, присутствующий на устройстве, используется для проверки подлинности подключающегося пользователя. Клиентские сертификаты генерируются из доверенного корневого сертификата, а затем устанавливаются на каждый клиентский компьютер. Вы можете использовать корневой сертификат, созданный с помощью корпоративного решения, или создать самозаверяющий сертификат.
Проверка сертификата клиента выполняется шлюзом VPN во время установления VPN-подключения P2S. Корневой сертификат необходим для проверки и должен быть загружен в Azure.
Аутентификация с использованием встроенной аутентификации Azure Active Directory
Аутентификация Azure AD позволяет пользователям подключаться к Azure, используя свои учетные данные Azure Active Directory. Собственная проверка подлинности Azure AD поддерживается только для протокола OpenVPN и Windows 10 и 11, а также требует использования VPN-клиента Azure.
Благодаря встроенной аутентификации Azure AD вы можете использовать условный доступ Azure AD, а также функции многофакторной аутентификации (MFA) для VPN.
На высоком уровне вам необходимо выполнить следующие шаги для настройки аутентификации Azure AD:
Аутентификация с использованием доменного сервера Active Directory (AD)
Аутентификация домена AD позволяет пользователям подключаться к Azure, используя учетные данные домена своей организации. Для этого требуется сервер RADIUS, который интегрируется с сервером AD. Организации также могут использовать существующее развертывание RADIUS.
Сервер RADIUS можно развернуть локально или в виртуальной сети Azure. Во время проверки подлинности VPN-шлюз Azure действует как сквозной канал и пересылает сообщения проверки подлинности между сервером RADIUS и подключаемым устройством. Таким образом, доступность шлюза для сервера RADIUS важна. Если сервер RADIUS присутствует локально, то для доступности требуется VPN-подключение S2S из Azure к локальному сайту.
Сервер RADIUS также можно интегрировать со службами сертификатов AD. Это позволяет использовать сервер RADIUS и развертывание корпоративного сертификата для проверки подлинности сертификата P2S в качестве альтернативы проверке подлинности сертификата Azure. Преимущество заключается в том, что вам не нужно загружать корневые сертификаты и отозванные сертификаты в Azure.
Сервер RADIUS также можно интегрировать с другими внешними системами идентификации. Это открывает множество вариантов аутентификации для P2S VPN, включая многофакторные варианты.
Каковы требования к конфигурации клиента?
Для клиентов Windows у вас должны быть права администратора на клиентском устройстве, чтобы инициировать VPN-подключение с клиентского устройства к Azure.
Пользователи используют собственные VPN-клиенты на устройствах Windows и Mac для P2S. Azure предоставляет ZIP-файл конфигурации VPN-клиента, который содержит параметры, необходимые этим собственным клиентам для подключения к Azure.
- Для устройств Windows конфигурация VPN-клиента состоит из установочного пакета, который пользователи устанавливают на свои устройства.
- Для устройств Mac он состоит из файла mobileconfig, который пользователи устанавливают на свои устройства.
Zip-файл также содержит значения некоторых важных параметров на стороне Azure, которые можно использовать для создания собственного профиля для этих устройств. Некоторые значения включают адрес шлюза VPN, настроенные типы туннелей, маршруты и корневой сертификат для проверки шлюза.
С 1 июля 2018 г. поддержка TLS 1.0 и 1.1 прекращается в VPN-шлюзе Azure. VPN-шлюз будет поддерживать только TLS 1.2. Затрагиваются только соединения «точка-сайт»; соединения между сайтами не будут затронуты. Если вы используете TLS для VPN типа «точка-сеть» на клиентах Windows 10, вам не нужно предпринимать никаких действий. Если вы используете TLS для соединений типа "точка-сеть" на клиентах Windows 7 и Windows 8, инструкции по обновлению см. в разделе часто задаваемых вопросов о VPN-шлюзе.
Какие SKU шлюза поддерживают P2S VPN?
| VPN Шлюз Поколение | SKU | S2S/VNet-to-VNet Туннели | P2S Подключения SSTP | P2S Подключения IKEv2/OpenVPN | Совокупный Эталон пропускной способности | BGP< /th> | Зонально-избыточный |
|---|---|---|---|---|---|---|---|
| Generation1 | Basic | Макс. 10 | Макс. 128 | Не поддерживается | 100 Мбит/с | Не поддерживается | Нет |
| Generation1 | VpnGw1 | Макс. 30 | Макс. 128 | Макс. 250 | 650 Мбит/с | Поддерживается | Нет |
| Generation1 | VpnGw2< /td> | Макс. 30 | Макс. 128 | Макс. 500 | 1 Гбит/с | Поддерживается | Нет |
| Generation1 | VpnGw3< /td> | Макс. 30 | Макс. 128 | Макс. 1000 | 1,25 Гбит/с | Поддерживается | Нет |
| Поколение 1 | VpnGw1AZ< /td> | Макс. 30 | Макс. 128 | Макс. 250 | 650 Мбит/с | Поддерживается | Да |
| Generation1 | VpnGw2AZ< /td> | Макс. 30 | Макс. 128 | Макс.500 | 1 Гбит/с | Поддерживается | Да |
| Generation1 | VpnGw3AZ< /td> | Макс. 30 | Макс. 128 | Макс. 1000 | 1,25 Гбит/с | Поддерживается | Да |
| Generation2 | VpnGw2< /td> | Макс. 30 | Макс. 128 | Макс. 500 | 1,25 Гбит/с | Поддерживается | Нет |
| Generation2 | VpnGw3< /td> | Макс. 30 | Макс. 128 | Макс. 1000 | 2,5 Гбит/с | Поддерживается | Нет |
| Generation2 | VpnGw4< /td> | Макс. 100* | Макс. 128 | Макс. 5000 | 5 Гбит/с | Поддерживается | Нет |
| Generation2 | VpnGw5< /td> | Макс. 100* | Макс. 128 | Макс. 10000 | 10 Гбит/с | Поддерживается | Нет |
| Generation2 | VpnGw2AZ< /td> | Макс. 30 | Макс. 128 | Макс. 500 | 1,25 Гбит/с | Поддерживается | Да |
| Generation2 | VpnGw3AZ< /td> | Макс. 30 | Макс. 128 | Макс. 1000 | 2,5 Гбит/с | Поддерживается | Да |
| Generation2 | VpnGw4AZ< /td> | Макс. 100* | Макс. 128 | Макс. 5000 | 5 Гбит/с | Поддерживается | Да |
| Generation2 | VpnGw5AZ< /td> | Макс. 100* | Макс. 128 | Макс. 10000 | 10 Гбит/с | Поддерживается | Да |
(*) Используйте виртуальную глобальную сеть, если вам нужно более 100 туннелей S2S VPN.
Изменение размера SKU VpnGw разрешено в пределах одного поколения, за исключением изменения размера SKU Basic. Базовый номер SKU является устаревшим номером SKU и имеет ограничения по функциям. Чтобы перейти с базового на другой SKU, необходимо удалить VPN-шлюз Basic SKU и создать новый шлюз с желаемой комбинацией поколения и размера SKU. (см. Работа с устаревшими SKU).
Эти лимиты соединений являются отдельными. Например, у вас может быть 128 подключений SSTP, а также 250 подключений IKEv2 на SKU VpnGw1.
Информацию о ценах можно найти на странице цен.
Информацию об SLA (соглашении об уровне обслуживания) можно найти на странице SLA.
IPsec ограничивает пропускную способность одного VPN-шлюза (подключения S2S и P2S) до 1,25 Гбит/с. Если у вас много соединений P2S, это может негативно повлиять на ваши соединения S2S. Тесты совокупной пропускной способности были протестированы путем максимального сочетания подключений S2S и P2S. Одно соединение P2S будет иметь гораздо меньшую пропускную способность, чем ограничение в 1,25 Гбит/с.
Обратите внимание, что все тесты не гарантируются из-за условий интернет-трафика и поведения вашего приложения
Чтобы помочь нашим клиентам понять относительную производительность SKU с использованием различных алгоритмов, мы использовали общедоступные инструменты iPerf и CTSTraffic для измерения производительности соединений между сайтами. В таблице ниже перечислены результаты тестов производительности для SKU поколения 1, VpnGw. Как видите, наилучшая производительность достигается при использовании алгоритма GCMAES256 как для шифрования IPsec, так и для проверки целостности. Мы получили среднюю производительность при использовании AES256 для шифрования IPsec и SHA256 для целостности. Когда мы использовали DES3 для шифрования IPsec и SHA256 для целостности, мы получили самую низкую производительность.
Туннель VPN подключается к экземпляру шлюза VPN. Пропускная способность каждого экземпляра указана в приведенной выше таблице пропускной способности и доступна по всем туннелям, подключенным к этому экземпляру.
Базовый номер SKU не поддерживает аутентификацию IKEv2 или RADIUS.
Какие политики IKE/IPsec настроены на шлюзах VPN для P2S?
IKEv2
| Шифр | Целостность | PRF | Группа DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256< /td> | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256< /td> | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | G ROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256< /td> | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IP-сек
| Шифр | Целостность | Группа PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24< /td> |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | < td>GCM_AES256GROUP_ECP384 | |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
Какие политики TLS настроены на шлюзах VPN для P2S?
TLS
| Политики | |
|---|---|
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA25 /tr> | |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_trSHA384 | >TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | |
| TLS_A565WITHS_RSA_RSA_RSA_ |
Как настроить соединение P2S?
Настройка P2S требует нескольких определенных шагов. Следующие статьи содержат инструкции по настройке P2S и ссылки для настройки клиентских устройств VPN:
Чтобы удалить конфигурацию подключения P2S
Вы можете удалить конфигурацию подключения с помощью PowerShell или интерфейса командной строки. Примеры см. в разделе часто задаваемых вопросов.
VPN-устройство требуется для настройки VPN-подключения Site-to-Site (S2S) между предприятиями с использованием VPN-шлюза. Подключения Site-to-Site можно использовать для создания гибридного решения или когда вам нужны безопасные соединения между вашими локальными сетями и вашими виртуальными сетями. В этой статье представлен список проверенных VPN-устройств и список параметров IPsec/IKE для VPN-шлюзов.
Если у вас возникают проблемы с подключением между вашими локальными VPN-устройствами и VPN-шлюзами, см. раздел Известные проблемы совместимости устройств.
Что следует учитывать при просмотре таблиц:
- Изменилась терминология VPN-шлюзов Azure. Только имена изменились. Функционал не меняется.
- Статическая маршрутизация = на основе политик
- Динамическая маршрутизация = на основе маршрута
Подтвержденные VPN-устройства и руководства по настройке устройств
В сотрудничестве с поставщиками устройств мы проверили набор стандартных устройств VPN. Все устройства из семейств устройств в следующем списке должны работать с VPN-шлюзами. См. раздел О настройках VPN-шлюза, чтобы понять, какой тип VPN используется (PolicyBased или RouteBased) для решения VPN-шлюза, которое вы хотите настроить.
Чтобы настроить VPN-устройство, воспользуйтесь ссылками, соответствующими соответствующему семейству устройств. Ссылки на инструкции по настройке предоставляются по мере возможности.Для получения поддержки устройств VPN обратитесь к производителю вашего устройства.
(*) Cisco ASA версии 8.4+ добавляет поддержку IKEv2, может подключаться к VPN-шлюзу Azure с помощью пользовательской политики IPsec/IKE с параметром «UsePolicyBasedTrafficSelectors». Обратитесь к этой статье с практическими рекомендациями.
(**) Маршрутизаторы ISR серии 7200 поддерживают только VPN на основе политик.
Загрузить сценарии настройки VPN-устройств из Azure
Для некоторых устройств вы можете загрузить сценарии конфигурации непосредственно из Azure. Дополнительные сведения и инструкции по загрузке см. в разделе Загрузка сценариев настройки устройства VPN.
Устройства с доступными сценариями настройки
Поставщик Семейство устройств Версия микропрограммы Cisco ISR IOS 15.1 (предварительная версия) Cisco ASA ASA ( * ) RouteBased (IKEv2-No BGP) для ASA ниже 9.8 Cisco ASA ASA RouteBased (IKEv2 - Нет BGP) для ASA 9.8+ Juniper SRX_GA 12.x Juniper SSG_GA ScreenOS 6.2.x Juniper JSeries_GA JunOS 12.x Juniper SRX JunOS 12.x RouteBased BGP Ubiquiti EdgeRouter EdgeOS v1.10x RouteBased VTI Ubiquiti < td>EdgeRouterEdgeOS v1.10x RouteBased BGP ( * ) Требуется: NarrowAzureTrafficSelectors (включите параметр UsePolicyBasedTrafficSelectors) и CustomAzurePolicies (IKE/IPsec)
Неподтвержденные VPN-устройства
Если вы не видите свое устройство в списке проверенных VPN-устройств, ваше устройство по-прежнему может работать с подключением Site-to-Site. Обратитесь к производителю устройства за дополнительной поддержкой и инструкциями по настройке.
Редактирование примеров конфигурации устройства
После того как вы загрузите предоставленный образец конфигурации VPN-устройства, вам нужно будет заменить некоторые значения, чтобы они соответствовали параметрам вашей среды.
Чтобы отредактировать образец:
- Откройте образец с помощью Блокнота.
- Выполните поиск и замените все строки значениями, относящимися к вашей среде. Обязательно включите . Если указано имя, выбранное вами имя должно быть уникальным. Если команда не работает, обратитесь к документации производителя вашего устройства.
Параметры IPsec/IKE по умолчанию
В таблицах ниже приведены комбинации алгоритмов и параметров, которые VPN-шлюзы Azure используют в конфигурации по умолчанию (политики по умолчанию). Для VPN-шлюзов на основе маршрутов, созданных с использованием модели развертывания Azure Resource Management, можно указать пользовательскую политику для каждого отдельного подключения. Подробные инструкции см. в разделе Настройка политики IPsec/IKE.
Кроме того, вы должны зафиксировать TCP MSS на уровне 1350. Или, если ваши VPN-устройства не поддерживают фиксацию MSS, вместо этого вы можете установить MTU на туннельном интерфейсе равным 1400 байтам.
В следующих таблицах:
- SA = Ассоциация безопасности
- Фаза 1 IKE также называется «Основной режим».
- Фаза 2 IKE также называется "Быстрый режим".
Параметры фазы 1 IKE (основной режим)
Свойство PolicyBased RouteBased Версия IKE< /td> IKEv1 IKEv1 и IKEv2 Группа Диффи-Хеллмана Группа 2 (1024 бит) Группа 2 (1024 бита) Метод аутентификации Предварительный общий ключ Предварительный общий ключ< /td> Алгоритмы шифрования и хеширования 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA11. AES256, SHA1
2. AES256, SHA256
3. AES128, SHA1
4. AES128, SHA256
5. 3DES, SHA1
6. 3DES, SHA256Время жизни SA 28 800 секунд 28 800 секунд Параметры фазы 2 IKE (быстрый режим)
Свойство PolicyBased RouteBased Версия IKE< /td> IKEv1 IKEv1 и IKEv2 Алгоритмы шифрования и хеширования 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1RouteBased QM SA предлагает Срок службы SA (время) 3600 секунд 27000 секунд Время жизни SA (байты) 102 400 000 КБ 102 400 000 КБ < td>Perfect Forward Secrecy (PFS) Нет RouteBased QM SA предлагает Dead Peer Detection (DPD) Не поддерживается Поддерживается Предложения RouteBased VPN IPsec Security Association (IKE Quick Mode SA)
В следующей таблице перечислены предложения IPsec SA (быстрый режим IKE). Предложения перечислены в порядке предпочтения, в котором предложение представлено или принято.
Azure Gateway как инициатор
- Шифрование Аутентификация Группа PFS 1 GCM AES256 GCM (AES256) Нет 2 AES256 SHA1 Нет 3 3DES SHA1 Нет 4 AES256 SHA256 Нет 5 AES128 SHA1 Нет 6 3DES SHA256 Нет Azure Gateway в качестве ответчика
Известные проблемы совместимости устройств
Это известные проблемы совместимости между сторонними VPN-устройствами и VPN-шлюзами Azure. Команда Azure активно работает с поставщиками над решением перечисленных здесь проблем. Как только проблемы будут решены, эта страница будет обновлена самой последней информацией. Периодически проверяйте.
Фев. 16 ноября 2017 г.
Устройства Palo Alto Networks с версией до 7.1.4 для VPN на основе маршрута Azure: если вы используете VPN-устройства от Palo Alto Networks с версией PAN-OS до 7.1.4 и испытываете проблемы с подключением к маршруту Azure: на основе VPN-шлюзов выполните следующие действия:
Читайте также:
- Как подключить bluetooth-клавиатуру к компьютеру без bluetooth windows 7
- Буфер обмена, как просмотреть окна 10
- Читает ли exfat окна
- Как установить Punto Switcher для Windows 10
- Не запускается установка Windows 7 с флешки