Konfigurace zásad IPsec/IKE pro připojení VPN typu site-to-site
Tento článek popisuje postup konfigurace zásad IPsec/IKE pro připojení VPN typu site-to-site (S2S) ve službě Azure Stack Hub.
Parametry zásad IPsec a IKE pro brány VPN
Standard protokolu IPsec a IKE podporuje širokou škálu kryptografických algoritmů v různých kombinacích. Pokud chcete zjistit, které parametry jsou podporované ve službě Azure Stack Hub, abyste splnili požadavky na dodržování předpisů nebo zabezpečení, přečtěte si parametry protokolu IPsec/IKE.
Tento článek obsahuje pokyny k vytvoření a konfiguraci zásad IPsec/IKE a jeho použití na nové nebo existující připojení.
Úvahy
Při používání těchto zásad si všimněte následujících důležitých aspektů:
- Zásady IPsec/IKE fungují pouze na SKU brány Standard a HighPerformance (založené na směrování).
- Pro dané připojení můžete zadat pouze jednu kombinaci zásad.
- Musíte zadat všechny algoritmy a parametry pro protokol IKE (hlavní režim) i protokol IPsec (rychlý režim). Částečná specifikace zásad není povolená.
- Obraťte se na specifikace dodavatele zařízení VPN a ujistěte se, že jsou zásady podporované na místních zařízeních VPN. Nelze navázat připojení typu Site-to-Site, pokud jsou zásady nekompatibilní.
Požadavky
Než začnete, ujistěte se, že máte následující požadavky:
- Předplatné Azure. Pokud ještě nemáte předplatné Azure, můžete si zaregistrovat bezplatný účet.
- Rutiny PowerShellu v Azure Resource Manageru Další informace o instalaci rutin PowerShellu najdete v tématu Instalace PowerShellu pro službu Azure Stack Hub.
Část 1 – Vytvoření a nastavení zásad IPsec/IKE
Tato část popisuje kroky potřebné k vytvoření a aktualizaci zásad IPsec/IKE v připojení VPN typu site-to-site:
- Vytvořte virtuální síť a bránu VPN.
- Vytvořte bránu místní sítě pro připojení mezi místními sítěmi.
- Vytvořte zásadu IPsec/IKE s vybranými algoritmy a parametry.
- Vytvořte připojení IPSec pomocí zásad IPsec/IKE.
- Přidání, aktualizace nebo odebrání zásad IPsec/IKE pro existující připojení
Pokyny v tomto článku vám pomůžou nastavit a nakonfigurovat zásady IPsec/IKE, jak je znázorněno na následujícím obrázku:
Část 2 – Podporované kryptografické algoritmy a silné stránky klíčů
Následující tabulka uvádí podporované kryptografické algoritmy a silné stránky klíčů konfigurovatelné službou Azure Stack Hub:
| IPsec/IKEv2 | Možnosti |
|---|---|
| Šifrování IKEv2 | AES256, AES192, AES128, DES3, DES |
| Integrita IKEv2 | SHA384, SHA256, SHA1, MD5 |
| Skupina DH | ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256, DHGroup24 |
| Šifrování IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Žádný |
| Integrita protokolu IPsec | GCMAES256, GCMAES192, GCMAES128, SHA256 |
| Skupina PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, None |
| Životnost QM SA | (Volitelné: Výchozí hodnoty se použijí, pokud nejsou zadané) Sekundy (celé číslo; min. 300/výchozí 27000 sekund) KBytes (celé číslo; min. 1024/výchozí 102400000 KBytes) |
| Selektor provozu | Selektory provozu založené na zásadách se ve službě Azure Stack Hub nepodporují. |
Poznámka
Nastavení příliš krátké životnosti přidružení QM vyžaduje zbytečné pře-klíčování, což může snížit výkon.
Konfigurace místního zařízení VPN se musí shodovat nebo obsahovat následující algoritmy a parametry, které zadáte v zásadách Azure IPsec/IKE:
- Šifrovací algoritmus IKE (hlavní režim nebo fáze 1).
- Algoritmus integrity protokolu IKE (hlavní režim/fáze 1)
- DH Group (hlavní režim/fáze 1).
- Šifrovací algoritmus IPsec (rychlý režim nebo fáze 2)
- Algoritmus integrity protokolu IPsec (rychlý režim nebo fáze 2)
- Skupina PFS (rychlý režim/fáze 2).
- Životnosti SA jsou pouze místní specifikace a nemusí se shodovat.
Pokud se GCMAES používá jako šifrovací algoritmus IPsec, musíte pro integritu protokolu IPsec vybrat stejný algoritmus GCMAES a délku klíče; Například použití GCMAES128 pro oba.
V předchozí tabulce:
- IKEv2 odpovídá hlavnímu režimu nebo fázi 1.
- Protokol IPsec odpovídá rychlému režimu nebo fázi 2.
- Skupina DH určuje skupinu Diffie-Hellmen použitou v hlavním režimu nebo fázi 1.
- Skupina PFS určuje skupinu Diffie-Hellmen použitou v rychlém režimu nebo fázi 2.
Životnost přidružení zabezpečení hlavního režimu IKEv2 je u bran VPN služby Azure Stack Hub pevně nastavena na 28 800 sekund.
Následující tabulka uvádí odpovídající skupiny Diffie-Hellman podporované vlastní zásadou:
| skupina Diffie-Hellman | DHGroup | PFSGroup | Délka klíče |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | 768-bitový MODP |
| 2 | DHGroup2 | PFS2 | 1024bitová verze MODP |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048bitový MODP |
| 19 | ECP256 | ECP256 | 256bitové ECP |
| 20 | ECP384 | ECP384 | 384bitová verze ECP |
| 24 | DHGroup24 | PFS24 | 2048-bitový MODP |
Další informace najdete v RFC3526 a RFC5114.
Část 3 – Vytvoření nového připojení VPN typu site-to-site pomocí zásad IPsec/IKE
Tato část vás provede postupem vytvoření připojení VPN typu site-to-site pomocí zásad IPsec/IKE. Následující kroky vytvoří připojení, jak je znázorněno na následujícím obrázku:
Podrobnější podrobné pokyny k vytvoření připojení VPN typu site-to-site najdete v tématu Vytvoření připojení VPN typu site-to-site.
Krok 1 : Vytvoření virtuální sítě, brány VPN a brány místní sítě
Deklarace proměnných
V tomto cvičení začněte deklarováním následujících proměnných. Při konfiguraci pro produkční prostředí nezapomeňte zástupné symboly nahradit vlastními hodnotami:
$Sub1 = "<YourSubscriptionName>"
$RG1 = "TestPolicyRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GW1IPName1 = "VNet1GWIP1"
$GW1IPconf1 = "gw1ipconf1"
$Connection16 = "VNet1toSite6"
$LNGName6 = "Site6"
$LNGPrefix61 = "10.61.0.0/16"
$LNGPrefix62 = "10.62.0.0/16"
$LNGIP6 = "131.107.72.22"
Připojte se k vašemu předplatnému a vytvořte novou skupinu prostředků
Nezapomeňte přepnout do režimu PowerShellu, abyste mohli používat rutiny Resource Manageru. Další informace najdete v tématu Připojení ke službě Azure Stack Hub pomocí PowerShellu jako uživatele.
Otevřete konzolu PowerShellu a připojte se ke svému účtu; například:
- moduly Az
- moduly AzureRM
Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1
Vytvoření virtuální sítě, brány VPN a brány místní sítě
Následující příklad vytvoří virtuální síť TestVNet1společně se třemi podsítěmi a bránou VPN. Při nahrazování hodnot je důležité, abyste konkrétně pojmenovali GatewaySubnet gateway. Pokud ji pojmenujete jinak, vytvoření brány se nezdaří.
- Az moduly
- moduly AzureRM
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" `
-VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 `
-Subnet $subnet1 -PublicIpAddress $gw1pip1
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku VpnGw1
New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 `
-Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix `
$LNGPrefix61,$LNGPrefix62
Krok 2: Vytvoření připojení VPN typu site-to-site pomocí zásad IPsec/IKE
Vytvoření zásady IPsec/IKE
Tento ukázkový skript vytvoří zásadu IPsec/IKE s následujícími algoritmy a parametry:
- IKEv2: AES128, SHA1, DHGroup14
- IPsec: AES256, SHA256, none, doba trvání SA 14400 sekund a 102400000 KB
- Az moduly
- moduly AzureRM
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup none -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
Pokud používáte GCMAES pro protokol IPsec, musíte použít stejný algoritmus ACMAES a délku klíče pro šifrování IPsec i integritu.
Vytvoření připojení VPN typu site-to-site pomocí zásad IPsec/IKE
Vytvořte připojení VPN typu site-to-site a použijte zásadu IPsec/IKE, kterou jste vytvořili dříve:
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'Azs123'
Důležitý
Jakmile je pro připojení zadána zásada IPsec/IKE, brána Azure VPN Gateway odešle nebo přijme návrh protokolu IPsec/IKE pouze se zadanými kryptografickými algoritmy a sílami klíčů pro dané konkrétní připojení. Ujistěte se, že vaše místní zařízení VPN pro připojení používá nebo přijímá přesnou kombinaci zásad, jinak se tunel VPN typu site-to-site nedá navázat.
Část 4 – Aktualizace zásad IPsec/IKE pro připojení
Předchozí část ukázala, jak spravovat zásady IPsec/IKE pro stávající připojení typu site-to-site. Tato část vás provede následujícími operacemi připojení:
- Zobrazí zásady protokolu IPsec/IKE připojení.
- Přidejte nebo aktualizujte zásady IPsec/IKE na připojení.
- Odeberte zásadu IPsec/IKE z připojení.
Poznámka
Zásady protokolu IPsec/IKE jsou podporovány pouze u bran VPN založených na trasách standardní a vysokovýkonné. Nefunguje na SKU brány Basic.
Zobrazení zásad IPsec/IKE připojení
Následující příklad ukazuje, jak získat zásady IPsec/IKE nakonfigurované pro připojení. Skripty také pokračují v návaznosti na předchozí cvičení.
- moduly Az
- moduly AzureRM
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Poslední příkaz vypíše aktuální zásadu IPsec/IKE nakonfigurovanou pro připojení( pokud existuje). Následující příklad je ukázkový výstup připojení:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
Pokud nejsou nakonfigurované žádné zásady IPsec/IKE, příkaz $connection6.policy získá prázdný návrat. Neznamená to, že pro připojení není nakonfigurovaný protokol IPsec/IKE; znamená to, že neexistují žádné vlastní zásady IPsec/IKE. Skutečné připojení používá výchozí zásady vyjednané mezi místním zařízením VPN a bránou Azure VPN.
Přidání nebo aktualizace zásad IPsec/IKE pro připojení
Postup přidání nové zásady nebo aktualizace existujících zásad v připojení jsou stejné: vytvořte novou zásadu a pak na připojení použijte novou zásadu.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$newpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
$connection6.SharedKey = "AzS123"
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6
Můžete obnovit připojení a zkontrolovat, jestli se politika aktualizuje:
- moduly Az
- AzureRM moduly
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Měl by se zobrazit výstup z posledního řádku, jak je znázorněno v následujícím příkladu:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
3. Odebrání zásad IPsec/IKE z připojení
Po odebrání vlastních zásad z připojení se brána Azure VPN vrátí k výchozího návrhu protokolu IPsec/IKEa znovu vyjednává s místním zařízením VPN.
- moduly Az
- moduly AzureRM
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.SharedKey = "AzS123"
$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6
Stejný skript můžete použít ke kontrole, jestli byla zásada z připojení odstraněna.