Acerca de los dispositivos VPN y los parámetros de IPsec/IKE para conexiones de VPN Gateway de sitio a sitio

Para configurar una conexión VPN entre locales de sitio a sitio (S2S) mediante una puerta de enlace de VPN se requiere un dispositivo VPN. Las conexiones de sitio a sitio pueden usarse para crear una solución híbrida o siempre que desee conexiones seguras entre su red local y la red virtual. Este artículo incluye la lista de dispositivos VPN validados y una lista de parámetros IPsec/IKE para las puertas de enlace de VPN.

Importante

Si tiene problemas de conectividad entre los dispositivos VPN locales y las puertas de enlace de VPN, consulte Problemas conocidos de compatibilidad de dispositivos.

Elementos que hay que tener en cuenta para consultar las tablas:

  • Ha habido un cambio terminológico en las puertas de enlace de VPN de Azure. Solo han cambiado los nombres. No hay cambio de funcionalidad.
    • Enrutamiento estático = PolicyBased
    • Enrutamiento dinámico = RouteBased
  • Las especificaciones de VPN Gateway HighPerformance y VPN Gateway RouteBased son las mismas, a menos que se indique lo contrario. Por ejemplo, los dispositivos VPN validados que son compatibles con las puertas de enlace de VPN RouteBased también son compatibles con las puertas de enlace de VPN HighPerformance.

Dispositivos VPN validados y guías de configuración de dispositivos

En colaboración con proveedores de dispositivos, hemos validado un conjunto de dispositivos VPN estándar. Todos los dispositivos de las familias de dispositivos en la lista siguiente deben trabajar con puertas de enlace de VPN. Estos son los algoritmos recomendados para la configuración del dispositivo.

Algoritmos recomendados Cifrado Integridad Grupo DH
IKE AES256 SHA256 DH2
IPSec AES256GCM AES256GCM Ninguno

Con el fin de configurar el dispositivo VPN, consulte los vínculos correspondientes a la familia de dispositivos apropiada. Los vínculos a las instrucciones de configuración se proporcionan de forma óptima y los valores predeterminados enumerados en la guía de configuración no necesitan contener los mejores algoritmos criptográficos. Para obtener soporte para los dispositivos VPN, póngase en contacto con el fabricante.

Proveedor Familia de dispositivos Versión mínima de sistema operativo Instrucciones de configuración PolicyBased Instrucciones de configuración RouteBased
A10 Networks, Inc. Thunder CFW ACOS 4.1.1 No compatible Guía de configuración
AhnLab TrusGuard TG 2.7.6
TG 3.5.x
No probado Guía de configuración
Allied Telesis Enrutadores VPN de la serie AR Serie AR 5.4.7+ Guía de configuración Guía de configuración
Arista Enrutador CloudEOS vEOS 4.24.0FX No probado Guía de configuración
Barracuda Networks, Inc. Barracuda CloudGen Firewall PolicyBased: 5.4.3
RouteBased: 6.2.0
Guía de configuración Guía de configuración
Punto de comprobación Puerta de enlace de seguridad R80.10 Guía de configuración Guía de configuración
Cisco ASA 8.3
8.4+ (IKEv2*)
Compatible Guía de configuración*
Cisco ASR PolicyBased: IOS 15.1
RouteBased: IOS 15.2
Compatible Compatible
Cisco CSR RouteBased: IOS-XE 16.10 No probado Script de configuración
Cisco ISR PolicyBased: IOS 15.0
RouteBased*: IOS 15.1
Compatible Compatible
Cisco Meraki (MX) MX v15.12 No compatible Guía de configuración
Cisco vEdge (SO Viptela) 18.4.0 (modo Activo/Pasivo) No compatible Configuración manual (activa/pasiva)
Citrix NetScaler MPX, SDX, VPX 10.1 y versiones posteriores Guía de configuración No compatible
F5 Serie BIG-IP 12.0 Guía de configuración Guía de configuración
Fortinet FortiGate FortiOS 5.6 No probado Guía de configuración
Fsas Technologies Serie Si-R G V04: V04.12
V20: V20.14
Guía de configuración Guía de configuración
Hillstone Networks Next-Gen Firewalls (NGFW) 5.5R7 No probado Guía de configuración
HPE Aruba Puerta de enlace EdgeConnect SDWAN Versión 9.2 de ECOS
Orchestrator OS v9.2
Guía de configuración Guía de configuración
Internet Initiative Japan (IIJ) Serie SEIL SEIL/X 4.60
SEIL/B1 4.60
SEIL/x86 3.20
Guía de configuración No compatible
Juniper SRX PolicyBased: JunOS 10.2
Routebased: JunOS 11.4
Compatible Script de configuración
Juniper Serie J PolicyBased: JunOS 10.4r9
RouteBased: JunOS 11.4
Compatible Script de configuración
Juniper ISG ScreenOS 6.3 Compatible Script de configuración
Juniper SSG ScreenOS 6.2 Compatible Script de configuración
Juniper MX JunOS 12.x Compatible Script de configuración
Microsoft Servicio de acceso remoto y enrutamiento Windows Server 2012 No compatible Compatible
Open Systems AG Mission Control Security Gateway N/D Compatible No compatible
Palo Alto Networks Todos los dispositivos que ejecutan PAN-OS PAN-OS
PolicyBased: 6.1.5 o posterior
RouteBased: 7.1.4
Compatible Guía de configuración
Sentrium (desarrollador) VyOS VyOS 1.2.2 No probado Guía de configuración
ShareTech UTM de próxima generación (serie NU) 9.0.1.3 No compatible Guía de configuración
SonicWall Serie TZ, serie NSA
Serie SuperMassive
Serie E-Class NSA
SonicOS 5.8.x
SonicOS 5.9.x
SonicOS 6.x
No compatible Guía de configuración
Sophos Firewall de última generación XG XG v17 No probado Guía de configuración

Guía de configuración: varios SA
Synology MR2200ac
RT2600ac
RT1900ac
SRM1.1.5/VpnPlusServer-1.2.0 No probado Guía de configuración
Ubiquiti EdgeRouter EdgeOS v1.10 No probado BGP a través de IKEv2/IPsec

VTI a través de IKEv2/IPsec
Ultra 3E-636L3 5.2.0.T3, compilación 13 No probado Guía de configuración
WatchGuard All Fireware XTM
PolicyBased: v11.11.x
RouteBased: v11.12.x
Guía de configuración Guía de configuración
Zyxel Serie ZyWALL USG
Serie ZyWALL ATP
Serie ZyWALL VPN
ZLD v4.32+ No probado VTI a través de IKEv2/IPsec

BGP a través de IKEv2/IPsec

Nota:

(*) Las versiones de Cisco ASA 8.4 y posteriores incorporan compatibilidad con IKEv2, puede conectarse a la puerta de enlace de VPN de Azure mediante la directiva personalizada de IPsec/IKE con la opción "UsePolicyBasedTrafficSelectors". Puede consultar este artículo de procedimientos.

(\*\*) Los enrutadores de la serie ISR 7200 solo admiten VPN basadas en directivas.

Descarga de los scripts de configuración de dispositivos VPN desde Azure

Para determinados dispositivos, puede descargar los scripts de configuración directamente desde Azure. Para más información y las instrucciones de descarga, consulte Descarga de scripts de configuración de dispositivos VPN para conexiones VPN S2S.

Dispositivos VPN no validados

Si el dispositivo no aparece en la tabla de dispositivos VPN validados, es posible que todavía funcione con una conexión de sitio a sitio. Póngase en contacto con el fabricante del dispositivo para obtener instrucciones de soporte técnico y configuración.

Editar los ejemplos de configuración de dispositivos

Después de descargar el ejemplo de configuración del dispositivo VPN proporcionado, deberá reemplazar algunos de los valores para reflejar la configuración de su entorno.

Para editar una muestra:

  1. Abra el ejemplo con el Bloc de notas.
  2. Busque y reemplace todas las cadenas de <texto> por los valores que pertenezcan al entorno. Asegúrese de incluir < y >. Cuando se especifica un nombre, el nombre que seleccione debe ser único. Si un comando no funciona, consulte la documentación del fabricante del dispositivo.
Texto de ejemplo Cambiar a
<RP_OnPremisesNetwork> Nombre elegido para este objeto. Ejemplo: miRedLocal
<RP_AzureNetwork> Nombre elegido para este objeto. Ejemplo: miRedAzure
<RP_AccessList> Nombre elegido para este objeto. Ejemplo: miListaAccesoAzure
<RP_IPSecTransformSet> Nombre elegido para este objeto. Ejemplo: miConjuntoTransIPSec
<RP_IPSecCryptoMap> Nombre elegido para este objeto. Ejemplo: miAsignCifradoIPSec
<SP_AzureNetworkIpRange> Especifique el rango. Ejemplo: 192.168.0.0
<SP_AzureNetworkSubnetMask> Especifique la máscara de subred. Ejemplo: 255.255.0.0
<SP_OnPremisesNetworkIpRange> Especifique el rango local. Ejemplo: 10.2.1.0
<SP_OnPremisesNetworkSubnetMask> Especifique la máscara de subred local. Ejemplo: 255.255.255.0
<SP_AzureGatewayIpAddress> Esta información es específica de la red virtual y se encuentra en el Portal de administración como Dirección IP de puerta de enlace.
<SP_PresharedKey> Esta información es específica de la red virtual y se encuentra en el Portal de administración, en Administrar clave.

Parámetros de IPsec/IKE predeterminados

Las tablas siguientes contienen las combinaciones de algoritmos y parámetros que usan las puertas de enlace de VPN de Azure en la configuración predeterminada (Directivas predeterminadas). Para puertas de enlace de VPN basadas en enrutamiento creadas mediante el modelo de implementación de Azure Resource Management, puede especificar una directiva personalizada en cada conexión individual. Consulte Configuración de la directiva IPsec/IKE para obtener instrucciones detalladas.

En las tablas siguientes:

  • SA = Asociación de seguridad
  • La fase 1 de IKE también se denomina "Modo principal"
  • La fase 2 de IKE también se denomina "Modo rápido"

Parámetros de la fase 1 de IKE (Modo principal)

Propiedad PolicyBased RouteBased
Versión de IKE IKEv1 IKEv1 e IKEv2
Grupo Diffie-Hellman Grupo 2 (1024 bits) Grupo 2 (1024 bits)
Método de autenticación Clave previamente compartida Clave previamente compartida
Algoritmos de cifrado y hash 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
1. AES256, SHA1
2. AES256, SHA256
3. AES128, SHA1
4. AES128, SHA256
5. 3DES, SHA1
6. 3DES, SHA256
Vigencia de SA 28.800 segundos 28.800 segundos
Número de SA de modo rápido 100 100

Parámetros de la fase 2 de IKE (modo rápido)

Propiedad PolicyBased RouteBased
Versión de IKE IKEv1 IKEv1 e IKEv2
Algoritmos de cifrado y hash 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
Ofertas de SA de QM del tipo routebased
Vigencia de SA (tiempo) 3\.600 segundos 27 000 segundos
Vigencia de SA (bytes) 102.400.000 KB 102.400.000 KB
Confidencialidad directa perfecta (PFS) No Ofertas de SA de QM del tipo routebased
Dead Peer Detection (DPD) No compatible Compatible

Fijación de MSS TCP de Azure VPN Gateway

La fijación de MSS se realiza bidireccionalmente en Azure VPN Gateway. En la tabla siguiente se muestra el tamaño del paquete en diferentes escenarios.

Flujo de paquetes IPv4 IPv6
A través de Internet 1340 bytes 1360 bytes
A través de la puerta de enlace de Express Route 1250 bytes 1250 bytes

Ofertas de asociación de seguridad de IPsec (SA de modo rápido de IKE) de VPN del tipo routebased

En la tabla siguiente se enumeran las ofertas de SA de IPsec (modo rápido de IKE). Las ofertas se enumeran en el orden de preferencia en el que se presentan o se aceptan.

Puerta de enlace de Azure como iniciador

- Cifrado Autenticación Grupo PFS
1 GCM AES256 GCM (AES256) None
2 AES256 SHA1 None
3 3DES SHA1 None
4 AES256 SHA256 None
5 AES128 SHA1 None
6 3DES SHA256 None

Puerta de enlace de Azure como respondedor

- Cifrado Autenticación Grupo PFS
1 GCM AES256 GCM (AES256) None
2 AES256 SHA1 None
3 3DES SHA1 None
4 AES256 SHA256 None
5 AES128 SHA1 None
6 3DES SHA256 None
7 DES SHA1 None
8 AES256 SHA1 1
9 AES256 SHA1 2
10 AES256 SHA1 14
11 AES128 SHA1 1
12 AES128 SHA1 2
13 AES128 SHA1 14
14 3DES SHA1 1
15 3DES SHA1 2
16 3DES SHA256 2
17 AES256 SHA256 1
18 AES256 SHA256 2
19 AES256 SHA256 14
20 AES256 SHA1 24
21 AES256 SHA256 24
22 AES128 SHA256 None
23 AES128 SHA256 1
24 AES128 SHA256 2
25 AES128 SHA256 14
26 3DES SHA1 14
  • Puede especificar el cifrado IPsec ESP NULL con puertas de enlace de VPN RouteBased y HighPerformance. El cifrado basado en null no proporciona protección de datos en tránsito, solo se debe usar al máximo rendimiento y es necesaria la mínima latencia. Los clientes pueden elegir usarlo en escenarios de comunicación entre redes virtuales o cuando se aplique el cifrado en otra parte de la solución.
  • Para la conectividad entre locales mediante Internet, use la configuración predeterminada de la puerta de enlace VPN de Azure con los algoritmos de cifrado y hash de las tablas anteriores para garantizar la seguridad de su comunicación crítica.

Problemas conocidos de compatibilidad de dispositivos

Importante

Estos son los problemas conocidos de compatibilidad entre dispositivos VPN de terceros y puertas de enlace de VPN de Azure. El equipo de Azure está trabajando activamente con los proveedores para solucionar los problemas enumerados aquí. Una vez que se resuelvan, esta página se actualizará con la información más reciente. Consúltela periódicamente.

16 de febrero de 2017

Dispositivos de Palo Alto Networks con una versión anterior a la 7.1.4 para VPN basada en rutas de Azure: si usa dispositivos VPN de Palo Alto Networks con una versión de PAN-OS anterior a la 7.1.4 y experimenta problemas de conectividad a las puertas de enlace de VPN basadas en rutas de Azure, realice los siguientes pasos:

  1. Compruebe la versión de firmware del dispositivo de Palo Alto Networks. Si su versión de PAN-OS es anterior a la 7.1.4, actualice a esta versión.
  2. En el dispositivo de Palo Alto Networks, cambie la duración de la fase 2 SA (o SA de modo rápido) a 28 800 segundos (8 horas) al conectarse a la puerta de enlace de VPN de Azure.
  3. Si sigue experimentando problemas de conectividad, presente una solicitud de soporte técnico desde Azure Portal.