Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les étapes de configuration d’une stratégie IPsec/IKE pour les connexions VPN de site à site (S2S) dans Azure Stack Hub.
Paramètres de stratégie IPsec et IKE pour les passerelles VPN
La norme de protocole IPsec et IKE prend en charge un large éventail d’algorithmes de chiffrement dans différentes combinaisons. Pour voir quels paramètres sont pris en charge dans Azure Stack Hub afin de pouvoir répondre à vos exigences de conformité ou de sécurité, consultez les paramètres IPsec/IKE.
Cet article fournit des instructions sur la création et la configuration d’une stratégie IPsec/IKE et l’applique à une connexion nouvelle ou existante.
Considérations
Notez les considérations importantes suivantes lors de l’utilisation de ces stratégies :
- La stratégie IPsec/IKE fonctionne uniquement sur les références SKU de passerelle Standard et HighPerformance (basées sur des itinéraires).
- Vous ne pouvez spécifier qu’une seule combinaison de stratégies pour une connexion donnée.
- Vous devez spécifier tous les algorithmes et paramètres pour IKE (mode principal) et IPsec (mode rapide). La spécification de stratégie partielle n’est pas autorisée.
- Consultez les spécifications de votre fournisseur d’appareils VPN pour vous assurer que la stratégie est prise en charge sur vos appareils VPN locaux. Les connexions de site à site ne peuvent pas être établies si les stratégies sont incompatibles.
Prerequisites
Avant de commencer, vérifiez que vous disposez des conditions préalables suivantes :
- Un abonnement Azure. Si vous n’avez pas encore d’abonnement Azure, vous pouvez vous inscrire à un compte gratuit.
- Applets de commande PowerShell Azure Resource Manager. Pour plus d’informations sur l’installation des applets de commande PowerShell, consultez Installer PowerShell pour Azure Stack Hub.
Partie 1 - Créer et définir une stratégie IPsec/IKE
Cette section décrit les étapes requises pour créer et mettre à jour la stratégie IPsec/IKE sur une connexion VPN de site à site :
- Créez un réseau virtuel et une passerelle VPN.
- Créez une passerelle de réseau local pour la connexion intersite.
- Créez une stratégie IPsec/IKE avec des algorithmes et des paramètres sélectionnés.
- Créez une connexion IPSec avec la stratégie IPsec/IKE.
- Ajoutez/mettez à jour/supprimez une stratégie IPsec/IKE pour une connexion existante.
Les instructions de cet article vous aident à configurer et configurer des stratégies IPsec/IKE, comme illustré dans la figure suivante :
Partie 2 - Algorithmes de chiffrement pris en charge et points forts clés
Le tableau suivant répertorie les algorithmes de chiffrement pris en charge et les points forts clés configurables par Azure Stack Hub :
| IPsec/IKEv2 | Options |
|---|---|
| Chiffrement IKEv2 | AES256, AES192, AES128, DES3, DES |
| Intégrité IKEv2 | SHA384, SHA256, SHA1, MD5 |
| Groupe DH | ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256, DHGroup24 |
| Chiffrement IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None |
| Intégrité IPsec | GCMAES256, GCMAES192, GCMAES128, SHA256 |
| Groupe PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, None |
| Durée de vie de QM SA | (Facultatif : les valeurs par défaut sont utilisées si elles ne sont pas spécifiées) Secondes (entier ; min. 300/default 27000 secondes) KBytes (entier ; min. 1024/default 102400000 KBytes) |
| Sélecteur de trafic | Les sélecteurs de trafic basés sur des stratégies ne sont pas pris en charge dans Azure Stack Hub. |
Note
La définition de la durée de vie de la sap QM trop faible nécessite une rekeying inutile, ce qui peut dégrader les performances.
Votre configuration d’appareil VPN local doit correspondre ou contenir les algorithmes et paramètres suivants que vous spécifiez sur la stratégie Azure IPsec/IKE :
- Algorithme de chiffrement IKE (mode principal/phase 1).
- Algorithme d’intégrité IKE (mode principal/phase 1).
- Groupe DH (mode principal/phase 1).
- Algorithme de chiffrement IPsec (mode rapide/phase 2).
- Algorithme d’intégrité IPsec (mode rapide/phase 2).
- Groupe PFS (mode rapide/phase 2).
- Les durées de vie de l’accès partagé sont des spécifications locales uniquement et n’ont pas besoin de correspondre.
Si GCMAES est utilisé comme algorithme de chiffrement IPsec, vous devez sélectionner le même algorithme GCMAES et la même longueur de clé pour l’intégrité IPsec ; par exemple, en utilisant GCMAES128 pour les deux.
Dans le tableau précédent :
- IKEv2 correspond au mode principal ou à la phase 1.
- IPsec correspond au mode rapide ou à la phase 2.
- Le groupe DH spécifie le groupe Diffie-Hellmen utilisé en mode principal ou en phase 1.
- Le groupe PFS spécifie le groupe Diffie-Hellmen utilisé en mode rapide ou en phase 2.
La durée de vie de la sap en mode principal IKEv2 est fixée à 28 800 secondes sur les passerelles VPN Azure Stack Hub.
Le tableau suivant répertorie les groupes de Diffie-Hellman correspondants pris en charge par la stratégie personnalisée :
| groupe Diffie-Hellman | DHGroup | PFSGroup | Longueur de la clé |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | MODP 768 bits |
| 2 | DHGroup2 | PFS2 | MODP 1024 bits |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | MODP 2048 bits |
| 19 | ECP256 | ECP256 | ECP 256 bits |
| 20 | ECP384 | ECP384 | ECP 384 bits |
| Vingt-quatre | DHGroup24 | PFS24 | MODP 2048 bits |
Pour plus d’informations, consultez RFC3526 et RFC5114.
Partie 3 - Créer une connexion VPN de site à site avec une stratégie IPsec/IKE
Cette section décrit les étapes de création d’une connexion VPN de site à site avec une stratégie IPsec/IKE. Les étapes suivantes créent la connexion, comme illustré dans la figure suivante :
Pour obtenir des instructions détaillées sur la création d’une connexion VPN de site à site, consultez Créer une connexion VPN de site à site.
Étape 1 : Créer le réseau virtuel, la passerelle VPN et la passerelle de réseau local
Déclarer des variables
Pour cet exercice, commencez par déclarer les variables suivantes. Veillez à remplacer les espaces réservés par vos propres valeurs lors de la configuration pour la production :
$Sub1 = "<YourSubscriptionName>"
$RG1 = "TestPolicyRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GW1IPName1 = "VNet1GWIP1"
$GW1IPconf1 = "gw1ipconf1"
$Connection16 = "VNet1toSite6"
$LNGName6 = "Site6"
$LNGPrefix61 = "10.61.0.0/16"
$LNGPrefix62 = "10.62.0.0/16"
$LNGIP6 = "131.107.72.22"
Connectez-vous à votre abonnement et créez un groupe de ressources
Veillez à basculer vers le mode PowerShell pour utiliser les applets de commande Resource Manager. Pour plus d’informations, consultez Se connecter à Azure Stack Hub avec PowerShell en tant qu’utilisateur.
Ouvrez votre console PowerShell et connectez-vous à votre compte ; par exemple:
Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1
Créer le réseau virtuel, la passerelle VPN et la passerelle de réseau local
L’exemple suivant crée le réseau virtuel , TestVNet1, ainsi que trois sous-réseaux et la passerelle VPN. Lors de la substitution de valeurs, il est important que vous nommez spécifiquement votre sous-réseau de passerelle GatewaySubnet. Si vous nommez-le autre chose, la création de votre passerelle échoue.
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" `
-VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 `
-Subnet $subnet1 -PublicIpAddress $gw1pip1
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku VpnGw1
New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 `
-Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix `
$LNGPrefix61,$LNGPrefix62
Étape 2 : Créer une connexion VPN de site à site avec une stratégie IPsec/IKE
Créer une stratégie IPsec/IKE
Cet exemple de script crée une stratégie IPsec/IKE avec les algorithmes et paramètres suivants :
- IKEv2 : AES128, SHA1, DHGroup14
- IPsec : AES256, SHA256, none, SA Lifetime 14400 secondes et 102400000 Ko
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup none -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
Si vous utilisez GCMAES pour IPsec, vous devez utiliser le même algorithme GCMAES et la même longueur de clé pour le chiffrement IPsec et l’intégrité.
Créer la connexion VPN de site à site avec la stratégie IPsec/IKE
Créez une connexion VPN de site à site et appliquez la stratégie IPsec/IKE que vous avez créée précédemment :
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'Azs123'
Important
Une fois qu’une stratégie IPsec/IKE est spécifiée sur une connexion, la passerelle VPN Azure envoie ou accepte uniquement la proposition IPsec/IKE avec des algorithmes de chiffrement et des points forts clés spécifiés sur cette connexion particulière. Vérifiez que votre périphérique VPN local pour la connexion utilise ou accepte la combinaison de stratégies exacte, sinon le tunnel VPN de site à site ne peut pas être établi.
Partie 4 - Mettre à jour la stratégie IPsec/IKE pour une connexion
La section précédente a montré comment gérer la stratégie IPsec/IKE pour une connexion de site à site existante. Cette section décrit les opérations suivantes sur une connexion :
- Afficher la stratégie IPsec/IKE d’une connexion.
- Ajoutez ou mettez à jour la stratégie IPsec/IKE à une connexion.
- Supprimez la stratégie IPsec/IKE d’une connexion.
Note
La stratégie IPsec/IKE est prise en charge uniquement sur les passerelles VPN standard et HighPerformance . Elle ne fonctionne pas sur la référence SKU de passerelle de base .
Afficher la stratégie IPsec/IKE d’une connexion
L’exemple suivant montre comment configurer la stratégie IPsec/IKE sur une connexion. Les scripts continuent également des exercices précédents.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
La dernière commande répertorie la stratégie IPsec/IKE actuelle configurée sur la connexion, le cas échéant. L’exemple suivant est un exemple de sortie pour la connexion :
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
S’il n’existe aucune stratégie IPsec/IKE configurée, la commande $connection6.policy obtient un retour vide. Cela ne signifie pas que IPsec/IKE n’est pas configuré sur la connexion ; cela signifie qu’il n’existe aucune stratégie IPsec/IKE personnalisée. La connexion réelle utilise la stratégie par défaut négociée entre votre appareil VPN local et la passerelle VPN Azure.
Ajouter ou mettre à jour une stratégie IPsec/IKE pour une connexion
Les étapes permettant d’ajouter une nouvelle stratégie ou de mettre à jour une stratégie existante sur une connexion sont les mêmes : créer une stratégie, puis appliquer la nouvelle stratégie à la connexion.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$newpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
$connection6.SharedKey = "AzS123"
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6
Vous pouvez obtenir à nouveau la connexion pour vérifier si la stratégie est mise à jour :
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Vous devez voir la sortie de la dernière ligne, comme illustré dans l’exemple suivant :
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
3. Supprimer une stratégie IPsec/IKE d’une connexion
Après avoir supprimé la stratégie personnalisée d’une connexion, la passerelle VPN Azure revient à la proposition IPsec/IKE par défaut et renégocie avec votre appareil VPN local.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.SharedKey = "AzS123"
$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6
Vous pouvez utiliser le même script pour vérifier si la stratégie a été supprimée de la connexion.
Étapes suivantes
Paramètres de configuration de la passerelle VPN pour Azure Stack Hub