Partager via

Configurer le tunneling forcé pour un VPN point à site Virtual WAN

  • Article

Le tunneling forcé vous permet d’envoyer tout le trafic (y compris le trafic Internet) des utilisateurs distants vers Azure. Dans Virtual WAN, le tunneling forcé pour les utilisateurs distants du VPN point à site signifie que l’itinéraire par défaut 0.0.0.0/0 est publié aux utilisateurs VPN distants.

Créer un hub Virtual WAN

Les étapes décrites dans cet article supposent que vous avez déjà déployé un réseau étendu virtuel avec un ou plusieurs hubs.

Pour créer un nouveau réseau étendu virtuel et un nouveau hub, suivez les étapes décrites dans les articles suivants :

Configuration d’un VPN point à site

Les étapes décrites dans cet article supposent également que vous avez déjà déployé une passerelle VPN point à site dans le hub Virtual WAN. Il suppose également que vous avez créé des profils VPN point à site à affecter à la passerelle.

Pour créer la passerelle VPN point à site et les profils associés, consultez Créer une passerelle VPN point à site.

Il existe deux façons de configurer le tunneling forcé et de publier l’itinéraire par défaut (0.0.0.0.0/0) auprès de vos clients VPN d’utilisateurs distants connectés à Virtual WAN.

  • Vous pouvez spécifier un itinéraire statique 0.0.0.0/0 dans la DefaultRouteTable avec la connexion au réseau virtuel du tronçon suivant. Cela force l’envoi de tout le trafic Internet à une appliance virtuelle réseau déployée dans ce réseau virtuel spoke. Pour obtenir des instructions plus détaillées, tenez compte de l’autre workflow décrit dans Route le trafic via des appliances virtuelles réseau.
  • Vous pouvez utiliser Azure Firewall Manager pour configurer Virtual WAN afin d’envoyer tout le trafic Internet via le Pare-feu Azure déployé dans le hub Virtual WAN. Pour découvrir les étapes de configuration et un didacticiel, consultez la documentation d’Azure Firewall Manager Sécurisation des hubs virtuels. Vous pouvez également procéder à la configuration à l’aide d’une stratégie de routage du trafic Internet. Pour plus d’informations, consultez Intention et stratégies de routage.
  • Vous pouvez utiliser Firewall Manager pour envoyer le trafic Internet via un fournisseur de sécurité tiers. Pour plus d’informations sur cette fonctionnalité, consultez Fournisseurs de sécurité approuvés.
  • Vous pouvez configurer l’une de vos branches (VPN site à site, circuit ExpressRoute) pour publier l’itinéraire 0.0.0.0/0 vers Virtual WAN.

Après avoir configuré l’une des quatre méthodes ci-dessus, vérifiez que l’indicateur EnableInternetSecurity est activé pour votre passerelle VPN point à site. Cet indicateur doit être défini sur true pour que vos clients soient correctement configurés pour le tunneling forcé.

Pour activer l’indicateur EnableInternetSecurity, utilisez la commande PowerShell suivante en remplaçant les valeurs appropriées pour votre environnement.

Update-AzP2sVpnGateway -ResourceGroupName "sampleRG" -Name "p2sgwsamplename" -EnableInternetSecurityFlag

Téléchargement du profil VPN point à site

Pour télécharger le profil VPN point à site, consultez les profils globaux et hub. Les informations contenues dans le fichier zip téléchargé à partir du Portail Azure sont essentielles pour configurer correctement vos clients.

Configuration du tunneling forcé pour les clients VPN Azure (OpenVPN)

Les étapes de configuration du tunneling forcé sont différentes selon le système d’exploitation de l’appareil de l’utilisateur final.

Clients Windows

Notes

Pour les clients Windows, le tunneling forcé avec le client VPN Azure est disponible uniquement avec la version logicielle 2:1900:39.0 ou ultérieure.

  1. Vérifiez que la version de votre client VPN Azure est compatible avec le tunneling forcé. Pour ce faire, cliquez sur les trois points en bas du client VPN Azure, puis sur Aide. Sinon, utilisez le raccourci clavier pour accéder à l’aide (Ctrl-H). Le numéro de version apparaît en haut de l’écran. Vérifiez que votre numéro de version est 2:1900:39.0 ou une version ultérieure.

  2. Ouvrez le fichier zip téléchargé à partir de la section précédente. Vous devez voir un dossier intitulé AzureVPN. Ouvrez le dossier, puis ouvrez azurevpnconfig.xml dans votre outil de modification XML favori.

  3. Le fichier azureconfig.xml inclut un champ appelé version. Si le numéro entre les balises de version est 1, remplacez le numéro de version par 2.

    <version>2</version>

  4. Importez le profil dans le client VPN Azure. Pour plus d’informations sur l’importation d’un profil, consultez les instructions d’importation du client VPN Azure.

  5. Connectez-vous à la connexion nouvellement ajoutée. Vous acheminez maintenant de force tout le trafic vers Azure Virtual WAN.

Clients MacOS

Une fois qu’un client macOS apprend l’itinéraire par défaut à partir d’Azure, le tunneling forcé est configuré automatiquement sur l’appareil client. Il n’y a aucune étape supplémentaire à effectuer. Pour obtenir des instructions sur l’utilisation du client VPN Azure macOS pour se connecter à la passerelle VPN point à site Virtual WAN, consultez le Guide de configuration macOS.

Configuration du tunneling forcé pour les clients IKEv2

Pour les clients IKEv2, vous ne pouvez pas utiliser directement les profils exécutables téléchargés à partir du Portail Azure. Pour configurer correctement le client, vous devez exécuter un script PowerShell ou distribuer le profil VPN via Intune.

En fonction de la méthode d’authentification configurée sur votre passerelle VPN point à site, utilisez un autre fichier de configuration EAP. Des exemples de fichier de configuration EAP sont fournis ci-dessous.

IKEv2 avec authentification par certificat utilisateur

Pour utiliser des certificats utilisateur pour authentifier les utilisateurs distants, utilisez l’exemple de script PowerShell ci-dessous. Pour importer correctement le contenu des fichiers XML VPNSettings et EAP dans PowerShell, accédez au répertoire approprié avant d’exécuter la commande PowerShell Get-Content.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"

# get the VPN Server FQDN from the profile downloaded from Azure Portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

L’exemple suivant montre un fichier XML EAP pour l’authentification basée sur un certificat utilisateur. Remplacez le champ IssuerHash par l’empreinte numérique du certificat racine pour vous assurer que votre appareil client sélectionne le certificat approprié à présenter au serveur VPN pour l’authentification.

<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
    <EapMethod>
        <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
        <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
        <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
        <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
    </EapMethod>
    <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
        <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
            <Type>13</Type>
            <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                <CredentialsSource>
                    <CertificateStore>
                        <SimpleCertSelection>true</SimpleCertSelection>
                    </CertificateStore>
                </CredentialsSource>
                <ServerValidation>
                    <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                    <ServerNames></ServerNames>
                </ServerValidation>
                <DifferentUsername>false</DifferentUsername>
                <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                    <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                        <CAHashList Enabled="true">
                            <IssuerHash> REPLACE THIS WITH ROOT CERTIFICATE THUMBPRINT </IssuerHash>
                        </CAHashList>
                    </FilteringInfo>
                </TLSExtensions>
            </EapType>
        </Eap>
    </Config>
</EapHostConfig>

IKEv2 avec authentification par certificat machine

Pour utiliser des certificats machine pour authentifier les utilisateurs distants, utilisez l’exemple de script PowerShell ci-dessous. Pour importer correctement le contenu des fichiers XML VPNSettings et EAP dans PowerShell, accédez au répertoire approprié avant d’exécuter la commande PowerShell Get-Content.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "UserCertVPNConnection"

# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod MachineCertificate 

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

IKEv2 avec authentification de serveur RADIUS avec nom d’utilisateur et mot de passe (EAP-MSCHAPv2)

Pour utiliser l’authentification RADIUS basée sur le nom d’utilisateur et le mot de passe (EAP-MASCHAPv2) pour authentifier les utilisateurs distants, utilisez l’exemple de script PowerShell ci-dessous. Pour importer correctement le contenu des fichiers XML VPNSettings et EAP dans PowerShell, accédez au répertoire approprié avant d’exécuter la commande PowerShell Get-Content.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"

# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Point-to-sitev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

Voici un exemple de fichier XML EAP.

<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
    <EapMethod>
        <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">26</Type>
        <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
        <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
        <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
    </EapMethod>
    <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
        <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
            <Type>26</Type>
            <EapType xmlns="http://www.microsoft.com/provisioning/MsChapV2ConnectionPropertiesV1">
                <UseWinLogonCredentials>false</UseWinLogonCredentials>
            </EapType>
        </Eap>
    </Config>
</EapHostConfig>

IKEv2 avec authentification du serveur RADIUS avec des certificats utilisateur (EAP-TLS)

Pour utiliser l’authentification RADIUS basée sur un certificat (EAP-TLS) pour authentifier les utilisateurs distants, utilisez l’exemple de script PowerShell ci-dessous. Notez que pour importer le contenu des fichiers XML VpnSettings et EAP dans PowerShell, vous devrez accéder au répertoire approprié avant d’exécuter la commande PowerShell Get-Content.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"

# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

Voici un exemple de fichier XML EAP. Remplacez le champ TrustedRootCA par l’empreinte du certificat de votre autorité de certification et le champ IssuerHash comme empreinte numérique du certificat racine.

<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
    <EapMethod>
        <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
        <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
        <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
        <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
    </EapMethod>
    <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
        <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
            <Type>13</Type>
            <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                <CredentialsSource>
                    <CertificateStore>
                        <SimpleCertSelection>false</SimpleCertSelection>
                    </CertificateStore>
                </CredentialsSource>
                <ServerValidation>
                    <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                    <ServerNames></ServerNames>
                    <TrustedRootCA> CERTIFICATE AUTHORITY THUMBPRINT </TrustedRootCA>
                </ServerValidation>
                <DifferentUsername>true</DifferentUsername>
                <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation>
                <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName>
                <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                    <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                        <CAHashList Enabled="true">
                            <IssuerHash> ROOT CERTIFICATE THUMBPRINT  </IssuerHash>
                        </CAHashList>
                    </FilteringInfo>
                </TLSExtensions>
            </EapType>
        </Eap>
    </Config>
</EapHostConfig>

Étapes suivantes

Pour plus d’informations sur Virtual WAN, consultez la FAQ.