(0) exportieren Drucken
Alle erweitern

Informationen zu VPN-Geräten für virtuelle Netzwerke

Letzte Aktualisierung: Juli 2014

Eine sichere Standort-zu-Standort-VPN-Verbindung kann verwendet werden, um eine Zweigstellenlösung zu erstellen oder bei Bedarf eine sichere Verbindung zwischen dem lokalen Netzwerk und dem virtuellen Netzwerk herstellen zu können. Standort-zu-Standort-Verbindungen erfordern eine öffentliche IPv4-IP-Adresse und ein kompatibles VPN-Gerät oder RRAS unter Windows Server 2012. Sie sollten die folgenden Faktoren berücksichtigen, um eine Standort-zu-Standort-VPN-Verbindung zu erstellen, die Ihren Anforderungen optimal gerecht wird:

Wenn Sie eine Standort-zu-Standort-VPN-Verbindung erstellen, geben Sie ein statisches oder ein dynamisches Gateway an. Wählen Sie den Gatewaytyp aus, der von Ihrem Router unterstützt wird und für den benötigten Typ von IPSec-Parametern und -Konfiguration geeignet ist. Die Tabellen unten zeigen die unterstützten Konfigurationen für statische und dynamische VPNs. Wenn Sie beabsichtigen, eine Standort-zu-Standort-Konfiguration gleichzeitig mit einer Punkt-zu-Standort-Konfiguration zu verwenden, müssen Sie ein VPN-Gateway mit dynamischem Routing konfigurieren.

  • VPNs mit statischem Routing – VPNs mit statischem Routing werden auch als richtlinienbasierte VPNs bezeichnet. Bei richtlinienbasierten VPNs werden Pakete anhand einer benutzerdefinierten Richtlinie verschlüsselt und über eine Schnittstelle weitergeleitet. Die Richtlinie wird meist als Zugriffsliste definiert. Für VPNs mit statischem Routing ist ein VPN-Gateway mit statischem Routing erforderlich.
    Hinweis – VPNs mit mehreren Standorten, VNet-zu-VNet und Punkt-zu-Standort werden mit VPN-Gateways mit statischem Routing nicht unterstützt.

  • VPNs mit dynamischem Routing – VPNs mit dynamischem Routing werden auch als weiterleitungsbasierte VPNs bezeichnet. In weiterleitungsbasierten VPNs wird eine Tunnelschnittstelle verwendet, die speziell zum Weiterleiten von Paketen erstellt wird. Jedes Paket, das in der Tunnelschnittstelle eintrifft, wird über die VPN-Verbindung weitergeleitet. Für VPNs mit dynamischem Routing ist ein VPN-Gateway mit dynamischem Routing erforderlich.
    Hinweis – Ein VPN-Gateway mit statischem Routing ist für VPNs mit mehreren Standorten, VNet-zu-VNet und Punkt-zu-Standort erforderlich.

Die folgende Tabelle zeigt die Anforderungen für Gateways in statischen und dynamischen VPNs.

 

Eigenschaft VPN-Gateway mit statischem Routing VPN-Gateway mit dynamischem Routing

Standort-zu-Standort-Konnektivität (S2S)

Richtlinienbasierte VPN-Konfiguration

Weiterleitungsbasierte VPN-Konfiguration

Punkt-zu-Standort-Konnektivität (P2S)

Nicht unterstützt

Unterstützt (kann zusammen mit Standort-zu-Standort-Verbindungen verwendet werden)

Authentifizierungsmethode

Vorinstallierter Schlüssel

  • Vorinstallierter Schlüssel für Standort-zu-Standort-Konnektivität

  • Zertifikate für Punkt-zu-Standort-Konnektivität

Maximale Anzahl von Standort-zu-Standort-Verbindungen (S2S)

1

1

Maximale Anzahl von Punkt-zu-Standort-Verbindungen (P2S)

Nicht unterstützt

128

Aktive Routing-Unterstützung (BGP)

Nicht unterstützt

Nicht unterstützt

In Partnerschaft mit Geräteherstellern haben wir eine Reihe gängiger Standort-zu-Standort-VPN-Geräte (S2S) bestätigt. Eine Liste der bekanntermaßen mit dem virtuellen Netzwerk kompatiblen VPN-Geräte finden Sie unten unter Bekanntermaßen kompatible VPN-Geräte. Alle Geräte in den in dieser Liste aufgeführten Gerätefamilien sollten in virtuellen Netzwerken verwendet werden können. Informationen zum Konfigurieren des VPN-Geräts finden Sie in der Gerätekonfigurationsvorlage für die entsprechende Gerätefamilie.

Wenn das Gerät nicht als bekanntermaßen kompatibles VPN-Gerät aufgelistet wird und Sie das Gerät für eine VPN-Verbindung verwenden möchten, müssen Sie sicherstellen, dass es die Mindestanforderungen erfüllt, die in der Tabelle Gatewayanforderungen aufgeführt sind. Die Geräte, die die Mindestanforderungen erfüllen, sollten auch in virtuellen Netzwerken gut funktionieren. Vom Gerätehersteller erhalten Sie zusätzliche Informationen zur Unterstützung sowie Konfigurationsanweisungen.

Wir haben zusammen mit VPN-Geräteherstellern bestimmte VPN-Gerätefamilien bewertet. Im folgenden Abschnitt finden Sie eine Liste aller Gerätefamilien, die mit unserem Gateway für virtuelle Netzwerke bekanntermaßen verwendet werden können. Alle Geräte in den aufgelisteten Gerätefamilien können bekanntermaßen verwendet werden, sofern keine Ausnahme angegeben ist. Informationen zur Unterstützung von VPN-Geräten erhalten Sie vom Gerätehersteller.

 

Hersteller Gerätefamilie Minimale Betriebssystemversion Konfigurationsbeispiel für statisches Routing Konfigurationsbeispiel für dynamisches Routing

Allied Telesis

VPN-Router der AR-Serie

2.9.2

In Kürze erhältlich

Nicht kompatibel

Brocade

Vyatta 5400 vRouter

Virtual Router 6.6R3 GA

Konfigurationsanweisungen

Nicht kompatibel

Prüfpunkt

Sicherheitsgateway

R75,40

R75.40VS

Konfigurationsanweisungen

Konfigurationsanweisungen

Cisco

ASA

8.3

Cisco ASA-Vorlagen

Nicht kompatibel

Cisco

ASR

IOS 15.1 (statisch)

IOS 15.2 (dynamisch)

Cisco ASR-Vorlagen

Cisco ASR-Vorlagen

Cisco

ISR

IOS 15,0 (statisch)

IOS 15,1 (dynamisch)

Cisco ISR-Vorlagen

Cisco ISR-Vorlagen

Citrix

CloudBridge-MPX-Gerät oder virtuelles VPX-Gerät

Nicht zutreffend

Integrationsanweisungen

Nicht kompatibel

Dell SonicWALL

TZ-Serie

NSA-Serie

SuperMassive-Serie

E-Class-NSA-Serie

SonicOS 5,8.x

SonicOS 5.9.x

SonicOS 6.x

Konfigurationsanweisungen

Konfigurationsanweisungen

F5

BIG-IP-Reihe

Nicht zutreffend

Konfigurationsanweisungen

Nicht kompatibel

Fortinet

FortiGate

FortiOS 5.0.7

Konfigurationsanweisungen

Konfigurationsanweisungen

Juniper

SRX

JunOS 10.2 (statisch)

JunOS 11.4 (dynamisch)

Juniper SRX-Vorlagen

Juniper SRX-Vorlagen

Juniper

J-Reihe

JunOS 10.4r9 (statisch)

JunOS 11.4 (dynamisch)

Juniper J-Series-Vorlagen

Juniper J-Series-Vorlagen

Juniper

ISG

ScreenOS 6.3 (statisch und dynamisch)

Juniper ISG-Vorlagen

Juniper ISG-Vorlagen

Juniper

SSG

ScreenOS 6,2 (statisch und dynamisch)

Juniper SSG-Vorlagen

Juniper SSG-Vorlagen

Microsoft

Routing- und RAS-Dienst

Windows Server 2012

Nicht kompatibel

Vorlagen für den Routing- und RAS-Dienst (RRAS)

Openswan

Openswan

2.6.32

(demnächst verfügbar)

Nicht kompatibel

Watchguard

All

Fireware XTM v11.x

Konfigurationsanweisungen

Nicht kompatibel

Nachdem Sie die bereitgestellte Vorlage zur VPN-Gerätekonfiguration heruntergeladen haben, müssen Sie einige der Werte ändern und an die jeweilige Umgebung anpassen. Wenn Sie die VPN-Gerätevorlage aus dem Verwaltungsportal heruntergeladen haben, werden Sie feststellen, dass für einige Zeichenfolgen bereits Werte eingetragen wurden, die auf Ihr virtuelles Netzwerk zutreffen. Dennoch müssen Sie die Vorlage anpassen und einige zusätzliche Werte festlegen, die für Ihre Umgebung spezifisch sind.

Öffnen Sie die Vorlage in Editor. Suchen und ersetzen Sie alle Vorkommen der Zeichenfolge <text> durch die entsprechenden Werte für Ihre Umgebung. Achten Sie darauf, auch die spitzen Klammern < und > anzugeben. Wenn Sie einen Namen angeben, muss dieser Name eindeutig sein. Wenn ein Befehl nicht funktioniert, informieren Sie sich in der Dokumentation des Geräteherstellers.

 

Vorlagentext Ändern in

<RP_OnPremisesNetwork>

Ein frei wählbarer Name für dieses Objekt. Beispiel: myOnPremisesNetwork

<RP_AzureNetwork>

Ein frei wählbarer Name für dieses Objekt. Beispiel: myAzureNetwork

<RP_AccessList>

Ein frei wählbarer Name für dieses Objekt. Beispiel: myAzureAccessList

<RP_IPSecTransformSet>

Ein frei wählbarer Name für dieses Objekt. Beispiel: myIPSecTransformSet

<RP_IPSecCryptoMap>

Ein frei wählbarer Name für dieses Objekt. Beispiel: myIPSecCryptoMap

<SP_AzureNetworkIpRange>

Geben Sie den Bereich an. Beispiel: 192.168.0.0

<SP_AzureNetworkSubnetMask>

Geben Sie die Subnetzmaske an. Beispiel: 255.255.0.0

<SP_OnPremisesNetworkIpRange>

Geben Sie den Bereich im lokalen Netzwerk an. Beispiel: 10.2.1.0

<SP_OnPremisesNetworkSubnetMask>

Geben Sie die Subnetzmaske im lokalen Netzwerk an. Beispiel: 255.255.255.0

<SP_AzureGatewayIpAddress>

Diese Information ist spezifisch für Ihr virtuelles Netzwerk. Sie wird im Verwaltungsportal unter Gateway-IP-Adresse angezeigt.

<SP_PresharedKey>

Diese Information ist spezifisch für Ihr virtuelles Netzwerk. Sie wird im Verwaltungsportal unter Schlüssel verwalten angezeigt.

IKE Phase 1 – Setup

Eigenschaft VPN-Gateway mit statischem Routing VPN-Gateway mit dynamischem Routing

IKE-Version

IKEv1

IKEv2

Diffie-Hellman-Gruppe

Gruppe 2 (1024 Bit)

Gruppe 2 (1024 Bit)

Authentifizierungsmethode

Vorinstallierter Schlüssel

Vorinstallierter Schlüssel

Verschlüsselungsalgorithmen

AES256

AES128

3DES

AES256

3DES

Hashalgorithmus

SHA1 (SHA128)

SHA1 (SHA128)

Phase 1 Sicherheitszuordnung (SA) Lebensdauer (Zeit)

28.800 Sekunden

28.800 Sekunden

IKE Phase 2 – Setup

Eigenschaft VPN-Gateway mit statischem Routing VPN-Gateway mit dynamischem Routing

IKE-Version

IKEv1

IKEv2

Hashalgorithmus

SHA1 (SHA128)

SHA1 (SHA128)

Phase 2 Sicherheitszuordnung (SA) Lebensdauer (Zeit)

3.600 Sekunden

-

Phase 2 Sicherheitszuordnung (SA) Lebensdauer (Durchsatz)

102.400.000 KB

-

IPsec-SA-Verschlüsselungs- & Authentifizierungsangebote (sortiert nach Präferenz)

  1. ESP-AES256

  2. ESP-AES128

  3. ESP-3DES

  4. Nicht zutreffend

Siehe IPsec-Sicherheitszuordnungsangebote (SA Offers) bei Gateways mit dynamischem Routing.

PFS (Perfect Forward Secrecy)

Nein

Nein

Erkennung toter Peers

Nicht unterstützt

Unterstützt

In der folgenden Tabelle werden die IPsec-SA-Verschlüsselungs- und Authentifizierungsangebote aufgeführt. Die Angebote sind nach ihrer Präferenz beim Aufbau oder Akzeptieren einer Verbindung sortiert.

 

IPsec-SA-Verschlüsselungs- und Authentifizierungsangebote Azure-Gateway als Initiator Azure-Gateway als Responder

1

ESP AES_256 SHA

ESP AES_128 SHA

2

ESP AES_128 SHA

ESP 3_DES MD5

3

ESP 3_DES MD5

ESP 3_DES SHA

4

ESP 3_DES SHA

AH SHA1 mit ESP AES_128 mit NULL-HMAC

5

AH SHA1 mit ESP AES_256 mit NULL-HMAC

AH SHA1 mit ESP 3_DES mit NULL-HMAC

6

AH SHA1 mit ESP AES_128 mit NULL-HMAC

AH MD5 mit ESP 3_DES mit NULL-HMAC, keine vorgesehene Lebensdauer

7

AH SHA1 mit ESP 3_DES mit NULL-HMAC

AH SHA1 mit ESP 3_DES SHA1, keine Lebensdauer

8

AH MD5 mit ESP 3_DES mit NULL-HMAC, keine vorgesehene Lebensdauer

AH MD5 mit ESP 3_DES MD5, keine Lebensdauer

9

AH SHA1 mit ESP 3_DES SHA1, keine Lebensdauer

ESP DES MD5

10

AH MD5 mit ESP 3_DES MD5, keine Lebensdauer

ESP DES SHA1, keine Lebensdauer

11

ESP DES MD5

AH SHA1 mit ESP DES NULL-HMAC, keine vorgesehene Lebensdauer

12

ESP DES SHA1, keine Lebensdauer

AH MD5 mit ESP DES NULL-HMAC, keine vorgesehene Lebensdauer

13

AH SHA1 mit ESP DES NULL-HMAC, keine vorgesehene Lebensdauer

AH SHA1 mit ESP DES SHA1, keine Lebensdauer

14

AH MD5 mit ESP DES NULL-HMAC, keine vorgesehene Lebensdauer

AH MD5 mit ESP DES MD5, keine Lebensdauer

15

AH SHA1 mit ESP DES SHA1, keine Lebensdauer

ESP SHA, keine Lebensdauer

16

AH MD5 mit ESP DES MD5, keine Lebensdauer

ESP MD5, keine Lebensdauer

17

-

AH SHA, keine Lebensdauer

18

-

AH MD5, keine Lebensdauer

Siehe auch

Anzeigen:
© 2014 Microsoft