Konfigurieren der IPsec/IKE-Richtlinie für Standort-zu-Standort-VPN-Verbindungen
In diesem Artikel werden die Schritte zum Konfigurieren einer IPsec/IKE-Richtlinie für Standort-zu-Standort-VPN-Verbindungen (S2S) in Azure Stack Hub beschrieben.
IPsec- und IKE-Richtlinienparameter für VPN-Gateways
Der IPsec- und IKE-Protokollstandard unterstützt eine vielzahl von kryptografischen Algorithmen in verschiedenen Kombinationen. Wenn Sie sehen möchten, welche Parameter in Azure Stack Hub unterstützt werden, damit Sie Ihre Compliance- oder Sicherheitsanforderungen erfüllen können, lesen Sie IPsec/IKE-Parameter.
Dieser Artikel enthält Anweisungen zum Erstellen und Konfigurieren einer IPsec/IKE-Richtlinie und zum Anwenden auf eine neue oder vorhandene Verbindung.
Betrachtungen
Beachten Sie bei der Verwendung dieser Richtlinien die folgenden wichtigen Überlegungen:
- Die IPsec/IKE-Richtlinie funktioniert nur für die Standard- und Hochleistungs- (routenbasierte) Gateway-SKUs.
- Sie können nur eine Richtlinienkombination für eine bestimmte Verbindung angeben.
- Sie müssen alle Algorithmen und Parameter für IKE (Hauptmodus) und IPsec (Schnellmodus) angeben. Die teilweise Spezifikation der Richtlinie ist nicht zulässig.
- Überprüfen Sie die Spezifikationen Ihres VPN-Geräteherstellers, um sicherzustellen, dass die Richtlinie auf Ihren lokalen VPN-Geräten unterstützt wird. Standort-zu-Standort-Verbindungen können nicht erstellt werden, wenn die Richtlinien nicht kompatibel sind.
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie über die folgenden Voraussetzungen verfügen:
- Ein Azure-Abonnement. Wenn Sie noch nicht über ein Azure-Abonnement verfügen, können Sie sich für ein kostenloses Kontoregistrieren.
- Die PowerShell-Cmdlets des Azure Resource Manager. Weitere Informationen zum Installieren der PowerShell-Cmdlets finden Sie unter Installieren von PowerShell für Azure Stack Hub.
Teil 1 – Erstellen und Festlegen der IPsec/IKE-Richtlinie
In diesem Abschnitt werden die Schritte beschrieben, die zum Erstellen und Aktualisieren der IPsec/IKE-Richtlinie für eine Standort-zu-Standort-VPN-Verbindung erforderlich sind:
- Erstellen Sie ein virtuelles Netzwerk und ein VPN-Gateway.
- Erstellen Sie ein lokales Netzwerkgateway für die standortübergreifende Verbindung.
- Erstellen Sie eine IPsec/IKE-Richtlinie mit ausgewählten Algorithmen und Parametern.
- Erstellen Sie eine IPSec-Verbindung mit der IPsec/IKE-Richtlinie.
- Hinzufügen/Aktualisieren/Entfernen einer IPsec/IKE-Richtlinie für eine vorhandene Verbindung.
Die Anweisungen in diesem Artikel helfen Ihnen beim Einrichten und Konfigurieren von IPsec/IKE-Richtlinien, wie in der folgenden Abbildung gezeigt:
Teil 2 : Unterstützte kryptografische Algorithmen und wichtige Stärken
In der folgenden Tabelle sind die unterstützten kryptografischen Algorithmen und schlüsselstärken aufgeführt, die von Azure Stack Hub konfiguriert werden können:
| IPsec/IKEv2 | Optionen |
|---|---|
| IKEv2-Verschlüsselung | AES256, AES192, AES128, DES3, DES |
| IKEv2-Integrität | SHA384, SHA256, SHA1, MD5 |
| DH Group | ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256, DHGroup24 |
| IPsec-Verschlüsselung | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Keine |
| IPsec-Integrität | GCMAES256, GCMAES192, GCMAES128, SHA256 |
| PFS-Gruppe | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, Keine |
| QM-SA-Gültigkeitsdauer | (Optional: Standardwerte werden verwendet, wenn nicht angegeben) Sekunden (ganze Zahl; Min. 300/Standard 27000 Sekunden) KBytes (ganze Zahl; Min. 1024/Standard 1024000000 KByte) |
| Datenverkehrsselektor | Richtlinienbasierte Traffic-Selektoren werden im Azure Stack Hub nicht unterstützt. |
Anmerkung
Das Festlegen der QM SA-Lebensdauer zu niedrig erfordert unnötiges Erneutschlüsseln, was die Leistung beeinträchtigen kann.
Ihre lokale VPN-Gerätekonfiguration muss mit den folgenden Algorithmen und Parametern übereinstimmen oder enthalten, die Sie in der Azure IPsec/IKE-Richtlinie angeben:
- IKE-Verschlüsselungsalgorithmus (Hauptmodus/Phase 1).
- IKE-Integritätsalgorithmus (Hauptmodus/Phase 1).
- DH Group (Hauptmodus/Phase 1).
- IPsec-Verschlüsselungsalgorithmus (Schnellmodus/Phase 2).
- IPsec-Integritätsalgorithmus (Schnellmodus/Phase 2).
- PFS Group (Schnellmodus/Phase 2).
- Die SA-Lebensdauern sind nur lokale Spezifikationen und müssen nicht identisch sein.
Wenn GCMAES als IPsec-Verschlüsselungsalgorithmus verwendet wird, müssen Sie den gleichen GCMAES-Algorithmus und die Schlüssellänge für die IPsec-Integrität auswählen; Verwenden Sie z. B. GCMAES128 für beide.
In der vorherigen Tabelle:
- IKEv2 entspricht dem Hauptmodus oder phase 1.
- IPsec entspricht dem Schnellmodus oder Phase 2.
- DH Group gibt die Diffie-Hellmen Gruppe an, die im Hauptmodus oder Phase 1 verwendet wird.
- PFS Group gibt die Diffie-Hellmen Gruppe an, die im Schnellmodus oder in Phase 2 verwendet wird.
Die Lebensdauer des IKEv2 Main Mode SA wird auf den Azure Stack Hub VPN-Gateways auf 28.800 Sekunden festgelegt.
Die folgende Tabelle enthält die entsprechenden Diffie-Hellman-Gruppen, die von der benutzerdefinierten Richtlinie unterstützt werden:
| Diffie-Hellman Gruppe | DHGroup | PFSGroup | Schlüssellänge |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | 768-Bit-MODP |
| 2 | DHGroup2 | PFS2 | 1024-Bit-MODP |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048-Bit-MODP |
| 19 | ECP256 | ECP256 | 256-Bit-ECP |
| 20 | ECP384 | ECP384 | 384-Bit-ECP |
| 24 | DHGroup24 | PFS24 | 2048-Bit-MODP |
Weitere Informationen finden Sie unter RFC3526 und RFC5114.
Teil 3 – Erstellen einer neuen Standort-zu-Standort-VPN-Verbindung mit der IPsec/IKE-Richtlinie
In diesem Abschnitt werden die Schritte zum Erstellen einer Standort-zu-Standort-VPN-Verbindung mit einer IPsec/IKE-Richtlinie beschrieben. Die folgenden Schritte erstellen die Verbindung, wie in der folgenden Abbildung dargestellt:
Ausführlichere schrittweise Anleitungen zum Erstellen einer Standort-zu-Standort-VPN-Verbindung finden Sie unter Erstellen einer Standort-zu-Standort-VPN-Verbindung.
Schritt 1 : Erstellen des virtuellen Netzwerks, des VPN-Gateways und des lokalen Netzwerkgateways
Deklarieren von Variablen
Beginnen Sie für diese Übung, indem Sie die folgenden Variablen deklarieren. Achten Sie darauf, die Platzhalter bei der Konfiguration für die Produktion durch Ihre eigenen Werte zu ersetzen:
$Sub1 = "<YourSubscriptionName>"
$RG1 = "TestPolicyRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GW1IPName1 = "VNet1GWIP1"
$GW1IPconf1 = "gw1ipconf1"
$Connection16 = "VNet1toSite6"
$LNGName6 = "Site6"
$LNGPrefix61 = "10.61.0.0/16"
$LNGPrefix62 = "10.62.0.0/16"
$LNGIP6 = "131.107.72.22"
Herstellen einer Verbindung mit Ihrem Abonnement und Erstellen einer neuen Ressourcengruppe
Stellen Sie sicher, dass Sie zum PowerShell-Modus wechseln, um die Cmdlets des Ressourcen-Managers zu verwenden. Weitere Informationen finden Sie unter Herstellen einer Verbindung zu Azure Stack Hub mit PowerShell als Benutzer.
Öffnen Sie Ihre PowerShell-Konsole, und stellen Sie eine Verbindung mit Ihrem Konto her. Zum Beispiel:
Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1
Erstellen Sie das virtuelle Netzwerk, das VPN-Gateway und das lokale Netzwerkgateway
Im folgenden Beispiel wird das virtuelle Netzwerk TestVNet1sowie drei Subnetze und das VPN-Gateway erstellt. Beim Ersetzen der Werte ist es wichtig, dass Sie Ihrem Gatewaysubnetz den Namen GatewaySubnet geben. Wenn Sie etwas anderes benennen, schlägt die Gatewayerstellung fehl.
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" `
-VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 `
-Subnet $subnet1 -PublicIpAddress $gw1pip1
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku VpnGw1
New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 `
-Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix `
$LNGPrefix61,$LNGPrefix62
Schritt 2 : Erstellen einer Standort-zu-Standort-VPN-Verbindung mit einer IPsec/IKE-Richtlinie
Erstellen einer IPsec/IKE-Richtlinie
Dieses Beispielskript erstellt eine IPsec/IKE-Richtlinie mit den folgenden Algorithmen und Parametern:
- IKEv2: AES128, SHA1, DHGroup14
- IPsec: AES256, SHA256, keine, SA-Gültigkeitsdauer 14.400 Sekunden und 102.400.000 KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup none -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
Wenn Sie GCMAES für IPsec verwenden, müssen Sie den gleichen GCMAES-Algorithmus und die schlüssellänge sowohl für die IPsec-Verschlüsselung als auch für die Integrität verwenden.
Erstellen der Standort-zu-Standort-VPN-Verbindung mit der IPsec/IKE-Richtlinie
Erstellen Sie eine Standort-zu-Standort-VPN-Verbindung, und wenden Sie die zuvor erstellte IPsec/IKE-Richtlinie an:
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'Azs123'
Wichtig
Sobald eine IPsec/IKE-Richtlinie für eine Verbindung angegeben ist, sendet oder akzeptiert das Azure-VPN-Gateway nur den IPsec/IKE-Vorschlag mit angegebenen kryptografischen Algorithmen und wichtigen Stärken für diese bestimmte Verbindung. Stellen Sie sicher, dass Ihr lokales VPN-Gerät für die Verbindung die genaue Richtlinienkombination verwendet oder akzeptiert, andernfalls kann der VPN-Tunnel von Standort zu Standort nicht hergestellt werden.
Teil 4 – Aktualisieren der IPsec/IKE-Richtlinie für eine Verbindung
Im vorherigen Abschnitt wurde gezeigt, wie IPsec/IKE-Richtlinie für eine vorhandene Standort-zu-Standort-Verbindung verwaltet wird. In diesem Abschnitt werden die folgenden Vorgänge für eine Verbindung erläutert:
- Zeigen Sie die IPsec/IKE-Richtlinie einer Verbindung an.
- Hinzufügen oder Aktualisieren einer IPsec/IKE-Richtlinie zu einer Verbindung.
- Entfernen Sie die IPsec/IKE-Richtlinie aus einer Verbindung.
Anmerkung
Die IPsec-/IKE-Richtlinie wird nur für routenbasierte VPN-Gateways vom Typ Standard und HighPerformance unterstützt. Es funktioniert nicht für die Basic Gateway-SKU.
Anzeigen der IPsec/IKE-Richtlinie einer Verbindung
Das folgende Beispiel zeigt, wie die IPsec/IKE-Richtlinie für eine Verbindung konfiguriert wird. Die Skripts bauen auf den obigen Übungen auf.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Der letzte Befehl listet ggf. die aktuelle IPsec/IKE-Richtlinie auf, die für die Verbindung konfiguriert ist. Das folgende Beispiel ist eine Beispielausgabe für die Verbindung:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
Wenn keine IPsec/IKE-Richtlinie konfiguriert ist, erhält der Befehl $connection6.policy eine leere Rückgabe. Es bedeutet nicht, dass IPsec/IKE nicht für die Verbindung konfiguriert ist; dies bedeutet, dass keine benutzerdefinierte IPsec/IKE-Richtlinie vorhanden ist. Die tatsächliche Verbindung verwendet die Standardrichtlinie, die zwischen Ihrem lokalen VPN-Gerät und dem Azure VPN-Gateway ausgehandelt wird.
Hinzufügen oder Aktualisieren einer IPsec/IKE-Richtlinie für eine Verbindung
Die Schritte zum Hinzufügen einer neuen Richtlinie oder zum Aktualisieren einer vorhandenen Richtlinie für eine Verbindung sind identisch: Erstellen Sie eine neue Richtlinie, und wenden Sie dann die neue Richtlinie auf die Verbindung an.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$newpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
$connection6.SharedKey = "AzS123"
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6
Sie können die Verbindung erneut abrufen, um zu überprüfen, ob die Richtlinie aktualisiert wird:
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Die Ausgabe der letzten Zeile sollte wie im folgenden Beispiel aussehen:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
3. Entfernen einer IPsec/IKE-Richtlinie aus einer Verbindung
Nachdem Sie die benutzerdefinierte Richtlinie aus einer Verbindung entfernt haben, kehrt das Azure VPN-Gateway zu dem Standard-IPsec/IKE-Vorschlagzurück und verhandelt mit Ihrem lokalen VPN-Gerät neu.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.SharedKey = "AzS123"
$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6
Sie können dasselbe Skript verwenden, um zu überprüfen, ob die Richtlinie aus der Verbindung entfernt wurde.