Har man en nyere og st\u00f8rre ZyXEL Router, der supporterer IKEv2, s\u00e5 er n\u00e6ste problem at finde ud af hvordan man konfigurerer skidtet… Der er masser af indl\u00e6g om hvordan man konfigurerer IKEv1 ZyXEL routere mod en Azure Static Routing Gateway, men jeg har faktisk ikke fundet indl\u00e6g om hvordan man konfigurerer IKEv2 ZyXEL routere mod en Azure Dynamics Routing Gateway – derfor dette indl\u00e6g:<\/p>\n
- \n
- Start med at oprette et Virtual Network p\u00e5 dine Azure konto – det er beskrevet rigeligt p\u00e5 nettet, s\u00e5 det vil jeg ikke uddybet men blot gennemg\u00e5 kort:\n
- \n
- Tilf\u00f8j DNS-servere<\/li>\n
- Afkryds site-to-site VPN<\/li>\n
- Udfyld oplysningerne om din routers WAN-adresse (offentlige IP-adresse)<\/li>\n
- Udfyld oplysningerne om dit LAN (netv\u00e6rks IP-adressen og st\u00f8rrelsen som CIDR)
\nHint: Har du mere end et subnet p\u00e5 dit LAN, kan du evt. tilf\u00f8je flere (det kan ogs\u00e5 g\u00f8res senere ved at Eksportere XML-filen med netv\u00e6rksops\u00e6tningen, rette den og importere den igen<\/li>\n - Udfyld felterne for at oprette et Virtual Network Address Space til brug for dine Azureservere. Ret evt. det foresl\u00e5ede Adress Space og tilf\u00f8j et Subnet til dine servere, samt et Gateway Subnet<\/li>\n
- Du vil nu have\u00a0et element af typen\u00a0Networks i Azure.
\n\u00c5ben dens Dashboard og v\u00e6lg Create Gateway\/Dynamic Routing v.hj.a. det store plus-ikon i bunden af sk\u00e6rmen.
\nDette punkt tager lidt tid – typisk omkring et kvarter.<\/li>\n - N\u00e5r gateway’en er oprettet vises Gateway IP Address p\u00e5 dashboardet. Det er dit Azure netv\u00e6rks offentlige IP-adresse (svarende til din routers WAN-adresse) – den skal du bruge senere, s\u00e5 skriv den ned.<\/li>\n
- Samtidigt skal du trykke p\u00e5 det store i-ikon der hedder Manage Keys, s\u00e5 du kan kopiere den automatisk genererede n\u00f8gle (Pre-shared key) til udklipsholderen<\/li>\n<\/ul>\n<\/li>\n
- Skal du have flere netv\u00e6rk koblet op til samme Azure Virtual Network (fx hvis du har flere kontorer), s\u00e5 skal du nu Eksportere XML-filen med netv\u00e6rksops\u00e6tningen og manuelt rette den ved at tilf\u00f8je de ekstra netv\u00e6rk og den ekstra gateway (WAN-adresse p\u00e5 de \u00f8vrige routere), samt importere den igen. F\u00f8r filen rettes kan den evt. se s\u00e5dan her ud (det er de fremh\u00e6vede\u00a0blokke der manuelt skal kopieres og rettes hvis du vil tilf\u00f8je flere sites):\n
<NetworkConfiguration xmlns:xsd=\"http:\/\/www.w3.org\/2001\/XMLSchema\" xmlns:xsi=\"http:\/\/www.w3.org\/2001\/XMLSchema-instance\" xmlns=\"http:\/\/schemas.microsoft.com\/ServiceHosting\/2011\/07\/NetworkConfiguration\">\r\n\u00a0 <VirtualNetworkConfiguration>\r\n\u00a0\u00a0\u00a0 <Dns>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0 <DnsServers>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <DnsServer name=\"NS1\" IPAddress=\"10.X.X.4\" \/>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <DnsServer name=\"NS2\" IPAddress=\"10.Y.Y.8\" \/>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0 <\/DnsServers>\r\n\u00a0\u00a0\u00a0 <\/Dns>\r\n\u00a0\u00a0\u00a0 <LocalNetworkSites>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0 <LocalNetworkSite name=\"LocalLAN\"><\/strong>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <AddressSpace><\/strong>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <AddressPrefix>10.X.X.0\/24<\/AddressPrefix><\/strong>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/AddressSpace><\/strong>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <VPNGatewayAddress>92.X.X.10<\/VPNGatewayAddress><\/strong>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0 <\/LocalNetworkSite><\/strong>\r\n\u00a0\u00a0\u00a0 <\/LocalNetworkSites>\r\n\u00a0\u00a0\u00a0 <VirtualNetworkSites>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0 <VirtualNetworkSite name=\"VPN\" Location=\"West Europe\">\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <AddressSpace>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <AddressPrefix>10.X.X.0\/23<\/AddressPrefix>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/AddressSpace>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <Subnets>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <Subnet name=\"Azure\">\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <AddressPrefix>10.X.X.0\/24<\/AddressPrefix>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/Subnet>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <Subnet name=\"GatewaySubnet\">\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <AddressPrefix>10.Y.Y.0\/29<\/AddressPrefix>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/Subnet>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/Subnets>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <DnsServersRef>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <DnsServerRef name=\"NS1\" \/>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <DnsServerRef name=\"NS2\" \/>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/DnsServersRef>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <Gateway>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <ConnectionsToLocalNetwork>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <LocalNetworkSiteRef name=\"LocalLAN\"><\/strong>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <Connection type=\"IPsec\" \/><\/strong>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/LocalNetworkSiteRef><\/strong>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/ConnectionsToLocalNetwork>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/Gateway>\r\n\u00a0\u00a0\u00a0\u00a0\u00a0 <\/VirtualNetworkSite>\r\n\u00a0\u00a0\u00a0 <\/VirtualNetworkSites>\r\n\u00a0 <\/VirtualNetworkConfiguration>\r\n<\/NetworkConfiguration><\/pre>\n
Tilf\u00f8jer du ikke noget, vil dit Azure netv\u00e6rk nu se s\u00e5dan her ud (VPN’en vil dog v\u00e6re afbrudt indtil du har konfigureret din router):<\/div>\n![\"Azure](\"http:\/\/blog.systemconnect.dk\/wp-content\/uploads\/2015\/08\/Azure-Dashboard.png\")
<\/a><\/div>\nGateway IP Adress er den f\u00f8romtalte offentlige IP-adresse p\u00e5 dit Azure netv\u00e6rk (Azurews WAN-adresse om man vil). Bem\u00e6rk at Gateway Typen er Dynamic Routing og at antallet af og ops\u00e6tningen af \u00a0Virtual Machines naturligvis afh\u00e6nger af din \u00f8vrige Azure ops\u00e6tning.
\n![\"Azure](\"http:\/\/blog.systemconnect.dk\/wp-content\/uploads\/2015\/08\/Azure-Configure.png\")
<\/a><\/p>\nBem\u00e6rk at DNS-servere og Local Network, samt Virtual Network Address Spaces afh\u00e6nger af din ops\u00e6tning. Netv\u00e6ket ud for Azure i ovenst\u00e5ende skal vi bruges senere – s\u00e5 noter dig den og dens CIDR.<\/li>\n
- Nu skal din ZyXEL Zywall 110 ops\u00e6ttes:\n
- \n
- Start med at definere et objekt med det subnet du har p\u00e5 Azure. Det kan v\u00e6re lidt tricky at omregne en CIDR til en netmask, hvis du ikke ved hvordan. Men det m\u00e5 du lige google:
\n![\"VPN](\"http:\/\/blog.systemconnect.dk\/wp-content\/uploads\/2015\/08\/VPN-Subnet-Object.png\")
<\/a><\/li>\n- …og herefter et objekt med det range du har lokalt. Det er vigtigt at definere det som et range og ikke et subnet, for Azure pinger ALTID den f\u00f8rste adresse (og det er ret buggy for i et subnet vil den s\u00e5 pinge x.x.x.0). I sagens natur b\u00f8r du have noget p\u00e5 den adresse der svarer p\u00e5 PING, ellers vil Azure p\u00e5 et tidspunkt tro at forbindelsen er d\u00f8d, lukke forbindelsen\u00a0og fors\u00f8ge\u00a0at connecte igen forfra (og det afbryder din forbindelse i noget tid):
\n![\"LAN1_RANGE\"](\"http:\/\/blog.systemconnect.dk\/wp-content\/uploads\/2015\/08\/LAN1_RANGE.png\")
<\/a><\/li>\n- Herefter definerer du en VPN Gateway s\u00e5dan her:
\n![\"Ny](\"http:\/\/blog.systemconnect.dk\/wp-content\/uploads\/2015\/08\/Ny-Phase-1.png\")
<\/a>Det er n\u00f8dvendigt at vise “Advanced Settings” i vinduet for at f\u00e5 alt hvad du har brug for frem. Det vigtige her er at du udfylder som f\u00f8lger:<\/p>\n- \n
- My Address\/Interface: Det WAN-interface som har det IP-nummer du har angivet p\u00e5 Azure som din routers WAN-adresse (VPNGatewayAddress i XML-filen)<\/li>\n
- Peer Gateway Address\/Static Address: Angiver den offentlige IP-adresse p\u00e5 dit Azure Virtual Network – eller Azures WAN-adresse om man vil<\/li>\n
- Authentication\/Pre-Shares Key: Inds\u00e6tter den key du kopierede til tastaturbufferen fra Azure (da du valgte i-ikonet kaldet Manage Key). Kommer forbindelsen IKKE op er det typisk her det kan v\u00e6re galt!<\/li>\n
- Authentication\/Local ID Type v\u00e6lg IPv4 og under Content angiver din WAN-adresse.<\/li>\n
- Authentication\/Peer ID Type v\u00e6lger IPv4 og under Content angiver den offentlige IP-adresse p\u00e5 dit Azure Virtual Network – eller Azures WAN-adresse om man vil<\/li>\n
- Phase 1 Settings angiver:\n
- \n
- SA Life Time: 9000
\nVigtigt: Jf. Azure dokumentationen skal denne st\u00e5 til 28800 (8 timer), men pudsigt nok re-key’er Azure allerede efter knap 3 timer (ca. 10000 sekuner) – og det fungerer ikke med ZyWALLs lige p.t. n\u00e5r Azure initierer re-key’ing (VPN’en d\u00f8r nogle minutter, men kommer s\u00e5 op igen). Workarounden er at s\u00e6tte SA Life Time til 9000 sekunder (ca. 2,5 time) s\u00e5 ZyWALL’en altid starter en re-key’ing f\u00f8r Azure g\u00f8r – for n\u00e5r ZyWALL’en starter den, s\u00e5 virker den.<\/li>\n - Proposal AES256 \/ SHA256
\nAndre mindre kr\u00e6vende kombinationer virker ogs\u00e5 – og faktisk er det kun AES256 \/ SHA1 der officielt er supporteret, men det kan du selv lege med. Til geng\u00e6ld skal du v\u00e6re OBS p\u00e5 at Azure p.t. v\u00e6lger den d\u00e5rligste af de listede krypteringsalgoritmer, s\u00e5 min anbefaling er kun at ops\u00e6tte \u00e9n – nemlig den du \u00f8nsker at bruge. Kommer forbindelsen IKKE op er det typisk her det kan v\u00e6re galt!
\nSe evt.: https:\/\/azure.microsoft.com\/da-dk\/documentation\/articles\/vpn-gateway-about-vpn-devices\/#devices-not-on-the-compatible-list<\/a><\/li>\n- Key Group: DH2<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n<\/li>\n
- \n
- \n
- Endelig opretter du en (eller flere – hvis du har flere subnets p\u00e5 samme router) VPN Connection:
\n![\"Ny](\"http:\/\/blog.systemconnect.dk\/wp-content\/uploads\/2015\/08\/Ny-Phase-2.png\")
<\/a>Det er n\u00f8dvendigt at vise “Advanced Settings” i vinduet for at f\u00e5 alt hvad du har brug for frem. Det vigtige her er at du udfylder som f\u00f8lger:<\/p>\n- \n
- MSS Adjustment\/Custom Size: 1350
\nKommer forbindelsen IKKE op er det typisk her det kan v\u00e6re galt!<\/li>\n - Under VPN Gateway, v\u00e6lg Site-to-site og VPN Gateway – v\u00e6lg den du opsatte ovenfor i punkt C.<\/li>\n
- Policy\/Local Policy:\u00a0V\u00e6lg det objekt du oprettede ovenfor i punkt\u00a0B.
\nKommer forbindelsen IKKE op er det typisk her det kan v\u00e6re galt!<\/li>\n - Policy\/Remote policy: V\u00e6lg det objekt du oprettede ovenfor i punkt A.
\nKommer forbindelsen IKKE op er det typisk her det kan v\u00e6re galt!<\/li>\n - Phase 2 Settings:\n
- \n
- SA Life Time: 3600<\/li>\n
- Active Protocol: ESP<\/li>\n
- Encapsulation: Tunnel<\/li>\n
- Proposal: AES256 \/ SHA1, AES128 \/ SHA1,\u00a0samt\u00a03DES \/\u00a0SHA1
\nAndre mindre kr\u00e6vende kombinationer virker ogs\u00e5, men det kan du selv lege med. Kommer forbindelsen IKKE op er det typisk her det kan v\u00e6re galt! Angiv alle tre foresl\u00e5ede for at give forbindelsen de bedste muligheder!
\nSe evt.: https:\/\/azure.microsoft.com\/da-dk\/documentation\/articles\/vpn-gateway-about-vpn-devices\/#devices-not-on-the-compatible-list<\/span><\/u><\/a><\/li>\n- Perfect Forward Secrecy (PFS): DH1<\/li>\n<\/ol>\n<\/li>\n
- Enable Connectivity Check som anf\u00f8rt i billedet. Azure svarer p\u00e5 sin x.x.x.0-adresse, men du kan ogs\u00e5 v\u00e6lge ip-nummere p\u00e5 en maskine du typisk har t\u00e6ndt p\u00e5 Azure.\u00a0Ping skal\u00a0sker for at holde Azure forbindelsen \u00e5ben – ellers lukkes den ved inaktivitet – og du vil opleve at forbindelsen kan v\u00e6re nogle sekunder om at \u00e5bne igen.
\nBem\u00e6rk dog at Azure maskiner som default ikke svarer p\u00e5 den type Connectivity Check (ping). Se evt. nedenst\u00e5ende note *1 for hvordan du l\u00f8ser det.<\/li>\n<\/ol>\n<\/div>\n<\/li>\n<\/ol>\n<\/li>\n<\/ol>\nDet var d\u00e9t – nu skulle VPN’erne gerne komme op p\u00e5 din router og p\u00e5 Azure. Nogle siger at der kan g\u00e5 op mod 2 timer – men det har jeg aldrig oplevet… Det kan i \u00f8vrigt hj\u00e6lpe at trykke Connect knappen i Azure…<\/p>\n
Bem\u00e6rk: Denne vejledning er skrevet til og testet p\u00e5 en ZyXEL ZyWALL 110 HP VPN Firewall med firmwaren 4.13 (AAAA.0) C0, men ogs\u00e5 burde fungerer p\u00e5 disse routere:<\/p>\n
- \n
- ZyXEL ZyWALL 310<\/li>\n
- ZyXEL ZyWALL1100<\/li>\n
- ZyXEL USG40<\/li>\n
- ZyXEL USG40W<\/li>\n
- ZyXEL USG60<\/li>\n
- ZyXEL USG60W<\/li>\n
- ZyXEL USG110<\/li>\n
- ZyXEL USG210<\/li>\n
- ZyXEL USG310<\/li>\n
- ZyXEL USG1100<\/li>\n
- ZyXEL USG1900<\/li>\n<\/ul>\n
\n- \n
- Note *1: Typisk svarer en Azure maskine ikke p\u00e5 ping da det er blokeret i Windows’ firewall, men det kan du f\u00e5 den til ved at k\u00f8re f\u00f8lgende kommando p\u00e5 den som administrator:<\/li>\n<\/ul>\n
netsh advfirewall firewall add rule name=\"ICMP Allow incoming V4 echo request\" dir=in action=allow enable=yes protocol=icmpv4:8,any<\/pre>\n
\n27.09.2015: Opdateret omkring at der skal defineres et address range til det lokale LAN – ellers ping’er Azure x.x.x.0 p\u00e5 dit netv\u00e6rk – og den svarer jo ikke p\u00e5 ping. Dermed vil Azure f\u00f8r eller siden tro at forbindelsen er d\u00f8d og re-connected. Og det kan afbryde forbindelsen nogle sekunder. Pr\u00e6ciser ogs\u00e5 at Azure kan pinges p\u00e5 sin x.x.x.0-adresse (det er faktisk ogs\u00e5 den der pinges fra). Det er lidt buggy at det er lavet s\u00e5dan, men n\u00e5r bare man ved det…<\/p>\n
08.10.2015: Opdateret omkring Local\/Peer ID Type og Content, Phase 1 & 2 Proposals, og Perfect Forward Secrecy\u00a0da erfaring viser at det kan give korte disconnects hvis de ikke st\u00e5r som angivet!<\/p>\n
17.10.2015: Opdateret omkring SA Life Time i Phase 1, da forbindelsen g\u00e5r ned n\u00e5r Azure initierer re-key’ing. S\u00e5 det er vigtigt at ZyWALL’en g\u00f8r det hver gang!<\/p>\n
06.11.2015: Selv med alle disse workarounds er VPN-forbindelserne ikke rock solid. Der er udfald nogle gange hver dag i 5-6 minutter. Det er ved Phase 2 rekeying der fejles, men jeg er ikke helt klar over hvad der fejler og har endnu ikke fundet workarounds. Til geng\u00e6ld har jeg f\u00e5et f\u00f8lgende svar fra ZyXEL-support d.d. vedr. de mange n\u00f8dvendige workarounds og problemer, s\u00e5 jeg g\u00e6tter p\u00e5 vi blot m\u00e5 afvente en ny firmware der m\u00e5ske stabiliserer tingene og som m\u00e5ske kommer i 2016:<\/p>\n
- \n
- […]
\nJeg fik unders\u00f8gt n\u00e6rmere, med en af mine kontaktpersoner, og han informede vi desv\u00e6rre ikke underst\u00f8tter IKEv2 endnu, men jeg fik informationen, at det kan ske den nye firmware version, som er planlagt til at blive udgivet n\u00e6ste \u00e5r, m\u00e5ske vil underst\u00f8tte en IKEv2 l\u00f8sning.
\nInd til da kan vi desv\u00e6rre ikke v\u00e6re til mere hj\u00e6lp.
\n[…]<\/li>\n - […]
\nP\u00e5 nuv\u00e6rende tidspunkt fungerer produktet ikke ordenligt med IKEv2, hvilket er derfor der arbejdes p\u00e5 en firmware som kan g\u00f8re det kompatibelt.
\n[…]<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"Roder man med Microsoft Azure og vil man gerne koble flere netv\u00e6rk op til et Azure irtuel\u00a0LAN med VPN, ja s\u00e5 SKAL man bruge en “Dynamic Routing Gateway” – og ikke en “Static Routing Gateway”. Ulempen ifm. s\u00e5dan en “Dynamic … L\u00e6s resten
- […]
- Note *1: Typisk svarer en Azure maskine ikke p\u00e5 ping da det er blokeret i Windows’ firewall, men det kan du f\u00e5 den til ved at k\u00f8re f\u00f8lgende kommando p\u00e5 den som administrator:<\/li>\n<\/ul>\n
- MSS Adjustment\/Custom Size: 1350
- SA Life Time: 9000
- …og herefter et objekt med det range du har lokalt. Det er vigtigt at definere det som et range og ikke et subnet, for Azure pinger ALTID den f\u00f8rste adresse (og det er ret buggy for i et subnet vil den s\u00e5 pinge x.x.x.0). I sagens natur b\u00f8r du have noget p\u00e5 den adresse der svarer p\u00e5 PING, ellers vil Azure p\u00e5 et tidspunkt tro at forbindelsen er d\u00f8d, lukke forbindelsen\u00a0og fors\u00f8ge\u00a0at connecte igen forfra (og det afbryder din forbindelse i noget tid):
- Nu skal din ZyXEL Zywall 110 ops\u00e6ttes:\n