Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica cómo puede configurar puertas de enlace VPN de Azure para cumplir sus requisitos criptográficos tanto para los túneles VPN S2S entre sitios como para las conexiones de red virtual a red virtual dentro de Azure.
Acerca de IKEv1 e IKEv2 para conexiones VPN de Azure
Tradicionalmente permitíamos conexiones IKEv1 solo para SKU básicas y conexiones IKEv2 para todas las SKU de VPN Gateway que no fueran SKU básicas. Las SKU básicas solo permiten 1 conexión y, junto con otras limitaciones, como el rendimiento, los clientes que usaban dispositivos heredados que solo admiten protocolos IKEv1 tenían una experiencia limitada. Con el fin de mejorar la experiencia de los clientes que usan protocolos IKEv1, ahora se permiten conexiones IKEv1 para todas las SKU de VPN Gateway, excepto SKU de nivel Básico. Consulte SKU de VPN Gateway para más información. Tenga en cuenta que las puertas de enlace de VPN que usan IKEv1 pueden experimentar reconexiones del túnel cuando se vuelven a especificar las claves en el modo principal.
Cuando las conexiones IKEv1 e IKEv2 se aplican a la misma instancia de VPN Gateway, el tránsito entre estas dos conexiones se habilita automáticamente.
Información sobre los parámetros de la directiva de IPsec e IKE para las puertas de enlace de VPN de Azure
El protocolo IPsec e IKE estándar admite una gran variedad de algoritmos criptográficos en diversas combinaciones. Si no solicita una combinación específica de algoritmos y parámetros criptográficos, las instancias de Azure VPN Gateway usan un conjunto de propuestas predeterminadas. Los conjuntos de directivas predeterminados se eligieron para maximizar la interoperabilidad con una amplia gama de dispositivos VPN de terceros en las configuraciones predeterminadas. Como resultado, las directivas y el número de propuestas no pueden cubrir todas las posibles combinaciones de algoritmos criptográficos disponibles y puntos fuertes clave.
Política predeterminada
La directiva predeterminada establecida para Azure VPN Gateway se muestra en el artículo: Acerca de los dispositivos VPN y los parámetros de IPsec/IKE para conexiones de VPN Gateway de sitio a sitio.
Requisitos criptográficos
Para las comunicaciones que requieren determinados algoritmos o parámetros criptográficos, normalmente debido a requisitos de seguridad o de conformidad, ahora puede configurar las instancias de Azure VPN Gateway para usar una directiva personalizada de IPsec o IKE con determinados algoritmos criptográficos y severidades de clave, en lugar de conjuntos de directivas predeterminadas de Azure.
Por ejemplo, las directivas del modo principal de IKEv2 para las instancias de Azure VPN Gateway usan solo el Grupo Diffie-Hellman 2 (1024 bits), mientras que es posible que necesite especificar grupos más sólidos para su uso en IKE, por ejemplo, el Grupo 14 (2048 bits), el Grupo 24 (grupo de MODP de 2048 bits) o ECP (grupos de curva elíptica) de 256 o 384 bits (Grupo 19 y Grupo 20, respectivamente). También se aplican requisitos similares a las directivas de modo rápido de IPsec.
Directiva personalizada de IPsec o IKE con puertas de enlace de VPN de Azure
Ahora las puertas de enlace de VPN de Azure admiten directivas de IPsec o IKE personalizadas y por conexión. Para una conexión entre sitios o entre redes virtuales puede elegir una combinación específica de algoritmos criptográficos para IPsec e IKE con el nivel de clave deseado, como se muestra en el ejemplo siguiente:
Puede crear una directiva de IPsec o IKE y aplicarla a una conexión nueva o existente.
Flujo de trabajo
- Cree las redes virtuales, las puertas de enlace de VPN o las puertas de enlace de red local para su topología de conectividad, como se describe en otros documentos y procedimientos.
- Cree una directiva IPsec o IKE.
- Puede aplicar la directiva cuando se crea una conexión de S2S o entre redes virtuales.
- Si ya se ha creado la conexión, puede aplicar la directiva a una conexión existente o actualizarla.
Preguntas frecuentes sobre la directiva de IPsec/IKE
¿Se admite la directiva IPsec o IKE personalizada en todas las SKU de Azure VPN Gateway?
La directiva IPsec o IKE personalizada se admite en todas las SKU de Azure VPN Gateway, excepto la SKU básica.
¿Cuántas directivas puedo especificar en una conexión?
Solo puede especificar una combinación de directivas para una conexión.
¿Puedo especificar una directiva parcial en una conexión (por ejemplo, solo algoritmos IKE, pero no IPsec)?
No, es preciso especificar todos los algoritmos y parámetros de IKE (modo principal) e IPsec (modo rápido). No se permite la especificación de una directiva parcial.
¿Qué algoritmos y niveles de seguridad de claves admite la directiva personalizada?
En la tabla siguiente se enumeran los algoritmos criptográficos y los valores de clave admitidos que puede configurar. Es preciso seleccionar una opción en cada campo.
| IPsec o IKEv2 | Opciones |
|---|---|
| Cifrado IKEv2 | GCMAES256, GCMAES128, AES256, AES192, AES128 |
| Integridad de IKEv2 | SHA384, SHA256, SHA1, MD5 |
| DH Group (Grupo DH) | DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, Ninguno |
| Cifrado IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Ninguno |
| Integridad de IPsec | GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5 |
| Grupo PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Ninguno |
| Duración del modo rápido de SA | (Opcional; valores predeterminados si no se especifican) Segundos (entero; mínimo 300, valor predeterminado 27 000) Kilobytes (entero; mínimo 1024, valor predeterminado 102 400 000) |
| Selector de tráfico |
UsePolicyBasedTrafficSelectors ($True o $False, pero opcional; valor predeterminado $False si no se especifica) |
| Tiempo de expiración de DPD | Segundos (entero; mínimo 9, máximo 3600, valor predeterminado 45) |
La configuración de su dispositivo VPN local debe coincidir o contener los siguientes algoritmos y parámetros que se especifican en la directiva IPsec o IKE de Azure:
- Algoritmo de cifrado de IKE (modo principal, fase 1)
- Algoritmo de integridad de IKE (modo principal, fase 1)
- Grupo DH (modo principal, fase 1)
- Algoritmo de cifrado de IPsec (modo rápido, fase 2)
- Algoritmo de integridad de IPsec (modo rápido, fase 2)
- Grupo PFS (modo rápido, fase 2)
- Selector de tráfico (si usa
UsePolicyBasedTrafficSelectors) - Tiempos de vida de las SA (especificaciones locales que no tienen que coincidir)
Si se usa GCMAES para el algoritmo de cifrado IPsec, se debe seleccionar el mismo algoritmo GCMAES y longitud de clave para la integridad de IPsec. por ejemplo, use GCMAES128 para ambos.
En la tabla de algoritmos y claves:
- IKE corresponde al modo principal o fase 1.
- IPsec corresponde al modo rápido o fase 2.
- El grupo DH especifica el grupo Diffie-Hellman utilizado en el modo principal o fase 1.
- El grupo PFS especifica el grupo Diffie-Hellman utilizado en el modo rápido o fase 2.
El tiempo de vida de la SA del modo principal de IKE está fijado en 28 800 segundos en las puertas de enlace VPN de Azure.
UsePolicyBasedTrafficSelectorses un parámetro opcional en la conexión. Si estableceUsePolicyBasedTrafficSelectorsen$Trueen una conexión, se configura la instancia de VPN Gateway para conectarse a un firewall de VPN basado en directivas locales.Si habilita
UsePolicyBasedTrafficSelectors, debe asegurarse de que el dispositivo VPN tiene los selectores de tráfico coincidentes definidos con todas las combinaciones de sus prefijos de red local (puerta de enlace de red local) a o desde los prefijos de red virtual de Azure, en lugar de cualquiera a cualquiera. La puerta de enlace de VPN acepta cualquier selector de tráfico que proponga la puerta de enlace de VPN remota, independientemente de lo que esté configurado en la puerta de enlace de VPN.Por ejemplo, si sus prefijos de red local son 10.1.0.0/16 y 10.2.0.0/16, y sus prefijos de red virtual son 192.168.0.0/16 y 172.16.0.0/16, debe especificar los siguientes selectores de tráfico:
- 10.1.0.0/16 <====> 192.168.0.0/16
- 10.1.0.0/16 <====> 172.16.0.0/16
- 10.2.0.0/16 <====> 192.168.0.0/16
- 10.2.0.0/16 <====> 172.16.0.0/16
Para obtener más información sobre los selectores de tráfico basados en políticas, consulte Conectar una puerta de enlace de VPN a varios dispositivos VPN locales basados en políticas.
Si se establece un tiempo de espera más corto, IKE renueva las claves con mayor frecuencia. Después, la conexión puede parecer desconectada en algunos casos. Es posible que esta situación no sea deseable si las ubicaciones locales están lejos de la región de Azure en la que reside la instancia de VPN Gateway o si el estado del vínculo físico puede llegar a provocar la pérdida de paquetes. Por lo general, se recomienda establecer el tiempo de espera en entre 30 y 45 segundos.
Para obtener más información, consulte Conectar una puerta de enlace de VPN a varios dispositivos VPN locales basados en directivas.
¿Qué grupos Diffie-Hellman admite la directiva personalizada?
En la tabla siguiente se muestran los grupos Diffie-Hellman admitidos en la directiva personalizada:
| Grupo Diffie-Hellman | Grupo DH | Grupo PFS | Longitud de clave |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | MODP de 768 bits |
| 2 | DHGroup2 | PFS2 | MODP de 1024 bits |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | MODP de 2048 bits |
| 19 | ECP256 | ECP256 | ECP de 256 bits |
| 20 | ECP384 | ECP384 | ECP de 384 bits |
| 24 | DHGroup24 | PFS24 | MODP de 2048 bits |
Para más información, consulte RFC3526 y RFC5114.
¿Reemplaza la directiva personalizada los conjuntos de directivas IPsec o IKE predeterminadas en las instancias de VPN Gateway?
Sí. Después de especificar una directiva personalizada en una conexión, Azure VPN Gateway solo usa esa directiva en la conexión, como iniciador de IKE y como respondedor de IKE.
Si elimino una directiva personalizada de IPsec/IKE, ¿la conexión queda desprotegida?
No, IPsec o IKE sigue ayudando a proteger la conexión. Una vez eliminada la directiva personalizada de una conexión, VPN Gateway vuelve a la lista predeterminada de las propuestas de IPsec o IKE y reinicia el protocolo de enlace de IKE con un dispositivo VPN local.
¿Afectarían a mi conexión VPN la incorporación o actualización de una directiva de IPsec o IKE?
Sí. Podría producirse una pequeña interrupción (unos segundos), ya que VPN Gateway anula la conexión existente y vuelve a iniciar el protocolo de enlace de IKE para restablecer el túnel IPsec con los nuevos parámetros y algoritmos criptográficos. Asegúrese de que el dispositivo VPN local también esté configurado con los algoritmos y niveles de clave coincidentes para minimizar dicha interrupción.
¿Se pueden usar distintas políticas en distintas conexiones?
Sí. Una directiva personalizada se aplica en función de la conexión. Puede crear y aplicar distintas directivas de IPsec o IKE en conexiones diferentes.
También puede elegir aplicar directivas personalizadas a un subconjunto de las conexiones. Las restantes usan los conjuntos de directivas de IPsec o IKE predeterminados de Azure.
¿Puedo usar una directiva personalizada en las conexiones de VNet a VNet?
Sí. Puede aplicar una directiva personalizada en las conexiones entre entornos de IPsec y las conexiones entre redes virtuales.
¿Es preciso especificar la misma directiva en los dos recursos de la conexión entre redes virtuales?
Sí. Un túnel de VNet a VNet consta de dos recursos de conexión en Azure, uno para cada dirección. Asegúrese de que ambos recursos de conexión tengan la misma directiva. De lo contrario, no se establecerá la conexión de VNet a VNet.
¿Cuál es el valor predeterminado del tiempo de espera de DPD? ¿Se puede especificar otro tiempo de espera de DPD?
El tiempo de espera predeterminado de DPD es de 45 segundos en las instancias de VPN Gateway. Se puede especificar un valor de tiempo de espera de DPD diferente en cada conexión IPsec o VNet a VNet, de 9 a 3600 segundos.
Nota:
Si se establece un tiempo de espera más corto, IKE renueva las claves con mayor frecuencia. Después, la conexión puede parecer desconectada en algunos casos. Es posible que esta situación no sea deseable si las ubicaciones locales están lejos de la región de Azure en la que reside la instancia de VPN Gateway o si el estado del vínculo físico puede llegar a provocar la pérdida de paquetes. Por lo general, se recomienda establecer el tiempo de espera en entre 30 y 45 segundos.
¿Funciona una directiva IPsec o IKE personalizada en conexiones ExpressRoute?
No. La directiva IPsec o IKE solo funciona en conexiones entre redes virtuales y VPN S2S a través de las puertas de enlace de VPN.
¿Cómo se crean conexiones con el tipo de protocolo IKEv1 o IKEv2?
Puede crear conexiones IKEv1 en todas las SKU de tipo VPN basadas en rutas, excepto la SKU básica, la SKU estándar y otras SKU anteriores.
Puede especificar un tipo de protocolo de conexión IKEv1 o IKEv2 al crear conexiones. Si no especifica un tipo de protocolo de conexión, se utiliza IKEv2 como opción predeterminada cuando proceda. Para más información, consulte la documentación del cmdlet de Azure PowerShell.
Para información sobre los tipos de SKU y la compatibilidad con IKEv1 y IKEv2, consulte Conexión de una puerta de enlace de VPN a varios dispositivos VPN locales basados en directivas.
¿Se permite el tránsito entre las conexiones IKEv1 y IKEv2?
Sí.
¿Puedo usar conexiones IKEv1 de sitio a sitio en la SKU Basic para el tipo de VPN basado en rutas?
No. La SKU básica no admite esta configuración.
¿Puedo cambiar el tipo de protocolo de conexión después de crear la conexión (IKEv1 a IKEv2 y viceversa)?
No. Después de crear la conexión, no puede cambiar los protocolos IKEv1 e IKEv2. Debe eliminar y volver a crear una nueva conexión con el tipo de protocolo deseado.
¿Por qué se reconecta mi conexión IKEv1 con frecuencia?
Si el enrutamiento estático o la conexión IKEv1 basada en rutas se desconecta a intervalos rutinarios, es probable que se deba a que las puertas de enlace de VPN no admiten volver a especificar las claves en local. Cuando se vuelve a especificar la clave del modo principal, los túneles IKEv1 se desconectan y tardan hasta 5 segundos en volver a conectarse. El valor del tiempo de espera de negociación del modo principal determina la frecuencia de renovación de claves. Para evitar estas reconexiones, vuelva a usar IKEv2, que admite volver a especificar las claves in situ.
Si la conexión se restablece a intervalos aleatorios, siga nuestra guía de solución de problemas.
¿Dónde puedo encontrar más información y pasos para la configuración?
Vea los artículos siguientes:
- Configuración de directivas de conexión IPsec o IKE personalizadas para VPN S2S y de red virtual a red virtual: Azure Portal
- Configuración de directivas de conexión IPsec/IKE personalizadas para VPN S2S y de red virtual a red virtual: PowerShell
Pasos siguientes
Consulte Configure IPsec/IKE policy (Configuración de la directiva de IPsec o IKE) para obtener instrucciones paso a paso acerca de cómo configurar directivas personalizadas de IPsec o IKE en una conexión.
Consulte también Conexión de varios dispositivos VPN basados en directivas para obtener más información sobre la opción UsePolicyBasedTrafficSelectors.