VpnTunnelOptionsSpecification
In this article:
VpnTunnelOptionsSpecification#
Опции туннеля VPN-соединения.
Contents#
IKEVersions — Версии IKE, разрешённые для туннеля VPN. На данный момент отсутствует поддержка обеих версий IKE одновременно.
Тип: Список объектов IKEVersionsRequestListValue
Возможные значения:
ikev1|ikev2Базовое значение:
ikev1Необходимо: Нет
Phase1DHGroupNumbers — Номера групп Диффи-Хеллмана, разрешённые для туннеля VPN для первой фазы IKE.
Тип: Список объектов Phase1DHGroupNumbersRequestListValue
Возможные значения:
2|5|14|15|16|17|18|19|20|21Ограничения: Не более шести значений
Базовое значение: Группы
5,14,15,16,17,18Необходимо: Нет
Phase1EncryptionAlgorithms — Алгоритмы шифрования, разрешённые для туннеля VPN для первой фазы IKE.
Тип: Список объектов Phase1EncryptionAlgorithmsRequestListValue
Возможные значения:
aes128|aes256|aes_ctr128|aes_ctr256|aes_gcm128|aes_gcm256|camellia128|camellia256|chacha20poly1305Ограничения: В
ikev1не поддерживаютсяaes_ccm128,aes_ccm256,aes_gcm128,aes_gcm256иchacha20poly1305. Все алгоритмы поддерживают разрядность 192, при условии если одновременно указаны разрядность 128 и 256. Разрядность 192 в отдельном виде не поддерживается.Базовое значение: Все поддерживаемые алгоритмы, в зависимости от версии IKE
Необходимо: Нет
Phase1IntegrityAlgorithms — Алгоритмы обеспечения целостности, разрешённые для туннеля VPN для первой фазы IKE.
Тип: Список объектов Phase1IntegrityAlgorithmsRequestListValue
Возможные значения:
sha1|sha256|sha384|sha512Базовое значение:
sha1,sha256,sha384,sha512Необходимо: Нет
Phase1LifetimeSeconds — Время жизни первой фазы IKE (в секундах).
Тип: Integer
Ограничения: Целочисленное значение между 900 и 28800.
Базовое значение: 28800
Необходимо: Нет
Phase2DHGroupNumbers — Номера групп Диффи-Хеллмана, разрешённые для туннеля VPN для второй фазы IKE.
Тип: Список объектов Phase2DHGroupNumbersRequestListValue
Возможные значения:
0|2|5|14|15|16|17|18|19|20|21Ограничения: Данная опция поддерживает максимум одно значение. В
ikev1не поддерживаются номера групп19,20и21. Значение0применимо только для Phase2 и означает, что функция PFS (Perfect Forward Secrecy) отключена. Во избежание компрометации сессионного ключа шифрования отключать PFS не рекомендуется .Базовое значение:
14Необходимо: Нет
Phase2EncryptionAlgorithms — Алгоритмы шифрования, разрешённые для туннеля VPN для второй фазы IKE.
Тип: Список объектов Phase2EncryptionAlgorithmsRequestListValue
Возможные значения:
aes128|aes256|aes_ccm128|aes_ccm256|aes_ctr128|aes_ctr256|aes_gcm128|aes_gcm256|camellia128|camellia256|chacha20poly1305Ограничения: В
ikev1не поддерживаютсяchacha20poly1305. Все алгоритмы поддерживают 192 разрядность, при условии если одновременно указаны разрядность 128 и 256. Разрядность 192 в отдельном виде не поддерживается.Базовое значение: Все поддерживаемые алгоритмы, в зависимости от версии IKE
Необходимо: Нет
Phase2IntegrityAlgorithms — Алгоритмы обеспечения целостности, разрешённые для туннеля VPN для второй фазы IKE.
Тип: Список объектов Phase2IntegrityAlgorithmsRequestListValue
Возможные значения:
sha1|sha256|sha384|sha512Базовое значение:
sha1,sha256,sha384,sha512Необходимо: Нет
Phase2LifetimeSeconds — Время жизни второй фазы IKE (в секундах).
Тип: Integer
Ограничения: Целочисленное значение между 900 и 3600, не должно превышать значения Phase1LifetimeSeconds.
Базовое значение: 3600
Необходимо: Нет
PreSharedKey — Ключ (PSK), используемый для первичной аутентификации между VPN- и пользовательским шлюзами.
Тип: String
Необходимо: Нет
Ограничение: Ключ должен состоять из алфавитно-цифровых символов, точек (
.), подчёркиваний (_), по длине укладываться между 8 и 64 символами (включительно) и не начинаться с нуля (0).
ReplayWindowSize — Количество пакетов в окне воспроизведения IKE.
Тип: Integer
Ограничения: Целочисленное значение между 32 и 2048
Базовое значение: 1024
Необходимо: Нет
TunnelInsideCidr — Блок /30 из подсети
169.254.252.0/22, который будет использоваться внутри IPsec-туннеля VPN-соединения. Указанный блок должен быть уникален для всех соединений с участием текущего VPN-шлюза (VGW ID), а также публичного IP-адреса клиентского шлюза, к которому устанавливается соединение. По умолчанию внутренние туннельные адреса назначаются следующим образом: первый используемый адрес присваивается VPC, а второй — клиентскому шлюзу. Если нужно, пользователь может указать желаемый адрес для VPC, например,169.254.252.2/30. В этом случае VPN-соединению на стороне VPC будет назначен адрес169.254.252.2, а клиентскому шлюзу — адрес169.254.252.1.Тип: String
Необходимо: Нет
Совместимость алгоритмов для разных версий IKE:
Алгоритм |
IKEv1 |
IKEv2 |
По умолчанию |
||
|---|---|---|---|---|---|
Phase1 |
Phase2 |
Phase1 |
Phase2 |
||
AES128 |
Да |
Да |
Да |
Да |
Да |
AES256 |
Да |
Да |
Да |
Да |
Да |
AES128-CTR |
Да |
Да |
Да |
Да |
Да |
AES256-CTR |
Да |
Да |
Да |
Да |
Да |
CAMELLIA128 |
Да |
Да |
Да |
Да |
Да |
CAMELLIA256 |
Да |
Да |
Да |
Да |
Да |
AES128-GCM-16 |
Нет |
Да |
Да |
Да |
Да |
AES256-GCM-16 |
Нет |
Да |
Да |
Да |
Да |
AES128-CCM-16 |
Нет |
Да |
Нет |
Да |
Да |
AES256-CCM-16 |
Нет |
Да |
Нет |
Да |
Да |
CHACHA20-POLY1305 |
Нет |
Нет |
Да |
Да |
Да |
Алгоритм |
IKEv1 |
IKEv2 |
По умолчанию |
||
|---|---|---|---|---|---|
Phase1 |
Phase2 |
Phase1 |
Phase2 |
||
SHA1 |
Да |
Да |
Да |
Да |
Да |
SHA2-256 |
Да |
Да |
Да |
Да |
Да |
SHA2-384 |
Да |
Да |
Да |
Да |
Да |
SHA2-512 |
Да |
Да |
Да |
Да |
Да |
Группы |
IKEv1 |
IKEv2 |
По умолчанию |
||
|---|---|---|---|---|---|
Phase1 |
Phase2 |
Phase1 |
Phase2 |
||
0 |
Нет |
Да |
Нет |
Да |
Нет |
2 |
Да |
Да |
Да |
Да |
Нет |
5 |
Да |
Да |
Да |
Да |
Только P1 |
14 |
Да |
Да |
Да |
Да |
Да |
15 |
Да |
Да |
Да |
Да |
Только P1 |
16 |
Да |
Да |
Да |
Да |
Только P1 |
17 |
Да |
Да |
Да |
Да |
Только P1 |
18 |
Да |
Да |
Да |
Да |
Только P1 |
19 |
Да |
Нет |
Да |
Да |
Только P1 |
20 |
Да |
Нет |
Да |
Да |
Нет |
21 |
Да |
Нет |
Да |
Да |
Нет |