Créer une connexion VPN de site à site – Azure PowerShell

Cet article vous montre comment utiliser PowerShell pour créer une connexion de passerelle VPN site à site à partir de votre réseau local vers un réseau virtuel (VNet).

Une connexion de passerelle VPN de site à site permet de connecter votre réseau local à un réseau virtuel Azure via un tunnel VPN IPsec/IKE (IKEv1 ou IKEv2). Ce type de connexion requiert un périphérique VPN local disposant d’une adresse IP publique exposée en externe. Les étapes décrites dans cet article créent une connexion entre la passerelle VPN et l’appareil VPN local en utilisant une clé partagée. Pour plus d’informations sur les passerelles VPN, consultez l’article À propos de la passerelle VPN.

Avant de commencer

Vérifiez que votre environnement répond aux critères suivants avant de commencer la configuration :

• Vérifiez que vous disposez d’une passerelle VPN basée sur un itinéraire fonctionnel. Pour créer une passerelle VPN, consultez Créer une passerelle VPN.

• Si vous ne maîtrisez pas les plages d’adresses IP situées dans votre configuration de réseau local, vous devez contacter une personne en mesure de vous aider. Lorsque vous créez cette configuration, vous devez spécifier les préfixes des plages d’adresses IP qu’Azure acheminera vers votre emplacement local. Aucun des sous-réseaux de votre réseau local ne peut chevaucher les sous-réseaux du réseau virtuel auquel vous souhaitez vous connecter.

• Appareils VPN :

  • Vérifiez que vous disposez d’un périphérique VPN compatible et d’une personne qui peut le configurer. Pour plus d’informations sur les périphériques VPN compatibles et la configuration de votre périphérique, consultez l’article À propos des périphériques VPN.
  • Déterminez si votre appareil VPN prend en charge les passerelles en mode actif-actif. Cet article crée une passerelle VPN en mode actif-actif, ce qui est recommandée pour la connectivité à haute disponibilité. Le mode actif-actif spécifie que les deux instances de machine virtuelle de passerelle sont actives. Ce mode nécessite deux adresses IP publiques, une pour chaque instance de machine virtuelle de passerelle. Vous configurez votre appareil VPN pour vous connecter à l’adresse IP de chaque instance de machine virtuelle de passerelle.
    Si votre appareil VPN ne prend pas en charge ce mode, n’activez pas ce mode pour votre passerelle. Pour plus d’informations, consultez Concevoir une connectivité à haute disponibilité pour les connexions intersite et de réseau virtuel à réseau virtuel et À propos des passerelles VPN en mode actif-actif.

Azure PowerShell

Cet article utilise des cmdlets PowerShell. Pour exécuter les cmdlets, vous pouvez utiliser Azure Cloud Shell. Cloud Shell est un interpréteur de commandes interactif et gratuit, que vous pouvez utiliser pour suivre les étapes mentionnées dans cet article. Il contient des outils Azure courants préinstallés et configurés pour être utilisés avec votre compte.

Pour ouvrir Cloud Shell, il vous suffit de sélectionner Ouvrir Cloud Shell dans le coin supérieur droit d’un bloc de code. Vous pouvez également ouvrir Cloud Shell dans un onglet distinct du navigateur en accédant à https://shell.azure.com/powershell. Sélectionnez Copier pour copier les blocs de code, collez ceux-ci dans Cloud Shell, puis sélectionnez Entrée pour les exécuter.

Vous pouvez également installer et exécuter des cmdlets Azure PowerShell en local sur votre ordinateur. Les cmdlets PowerShell sont fréquemment mises à jour. Si vous n'avez pas installé la dernière version, les valeurs spécifiées dans les instructions peuvent échouer. Pour rechercher les versions d’Azure PowerShell installées sur votre ordinateur, utilisez la cmdlet Get-Module -ListAvailable Az. Pour installer ou mettre à jour les cmdlets, consultez Installer le module Azure PowerShell.

Créer une passerelle de réseau local

La passerelle de réseau local (LNG) fait généralement référence à votre emplacement local. Ce n’est pas la même chose qu’une passerelle de réseau virtuel. Donnez au site un nom auquel Azure pourra se référer, puis spécifiez l’adresse IP du périphérique VPN local vers lequel vous allez créer une connexion. Vous spécifiez également les préfixes d’adresse IP routés via la passerelle VPN vers l’appareil VPN. Les préfixes d’adresses que vous spécifiez sont les préfixes situés sur votre réseau local. Vous pouvez facilement mettre à jour ces préfixes si votre réseau local change.

Utilisez l’un des exemples suivants. Les valeurs utilisées dans les exemples sont les suivantes :

• GatewayIPAddress est l’adresse IP de votre appareil VPN local, et non votre passerelle VPN Azure.
• AddressPrefix est votre espace d’adressage local.

Exemple de préfixe d’adresse unique

New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '[IP address of your on-premises VPN device]' -AddressPrefix '10.0.0.0/24'

Exemple de préfixe de plusieurs adresses

New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '[IP address of your on-premises VPN device]' -AddressPrefix @('10.3.0.0/16','10.0.0.0/24')

Configuration de votre périphérique VPN

Les connexions de site à site vers un réseau local nécessitent un appareil VPN. Dans cette étape, vous configurez votre périphérique VPN. Pour configurer votre appareil VPN, vous avez besoin des éléments suivants :

• Clé partagée: cette clé partagée est la même que celle que vous spécifiez lorsque vous créez votre connexion VPN de site à site. Dans nos exemples, nous utilisons une simple clé partagée. Nous vous conseillons de générer une clé plus complexe.

• Adresses IP publiques de vos instances de passerelle de réseau virtuel : obtenez l’adresse IP de chaque instance de machine virtuelle. Si votre passerelle est en mode actif-actif, vous aurez une adresse IP pour chaque instance de machine virtuelle de passerelle. Veillez à configurer votre appareil avec les deux adresses IP, une pour chaque machine virtuelle de passerelle active. Les passerelles en mode secours-actif n’ont qu’une seule adresse IP. Dans l’exemple, VNet1GWpip1 est le nom de la ressource d’adresse IP publique.

  Get-AzPublicIpAddress -Name VNet1GWpip1 -ResourceGroupName TestRG1
  

Selon le périphérique VPN dont vous disposez, vous pouvez éventuellement télécharger un script de configuration de périphérique VPN. Pour plus d’informations, consultez la page Télécharger des script de configuration de périphérique VPN.

Les liens suivants fournissent d’autres informations de configuration :

• Pour plus d’informations sur les périphériques VPN compatibles, consultez À propos des périphériques VPN.

• Avant de configurer votre périphérique VPN, recherchez les éventuels problèmes de compatibilité de périphérique connus.

• Pour obtenir des liens vers les paramètres de configuration des périphériques, consultez Périphériques VPN validés. Nous fournissons les liens de configuration des périphériques du mieux que nous pouvons, mais il est toujours préférable de demander au fabricant de votre périphérique les informations de configuration les plus récentes.

  La liste affiche les versions que nous avons testées. Si la version du système d’exploitation de votre périphérique VPN n’est pas dans la liste, elle peut quand même être compatible. Vérifiez auprès du fabricant de votre périphérique.

• Pour plus d’informations sur la configuration des périphériques VPN, consultez Vue d’ensemble des configurations de périphériques VPN partenaires.

• Pour plus d’informations sur la modification des exemples de configuration des périphériques, consultez la page Modifier les exemples.

• Pour les exigences de chiffrement, consultez sur les exigences de chiffrement et les passerelles VPN Azure.

• Pour plus d’informations sur les paramètres dont vous avez besoin pour terminer votre configuration, consultez Paramètres IPsec/IKE par défaut. Les informations comprennent la version IKE, le groupe Diffie-Hellman (DH), la méthode d’authentification, les algorithmes de chiffrement et de hachage, la durée de vie de l’association de sécurité (SA), le secret PFS (Perfect Forward Secrecy) et la détection DPD (Dead Peer Detection).

• Pour les étapes de configuration de stratégie IPsec/IKE, consultez Configurer des stratégies de connexion IPsec/IKE personnalisées pour les connexions VPN site à site et VNet à VNet.

• Pour connecter plusieurs périphériques VPN basés sur la stratégie, consultez Connecter une passerelle VPN à plusieurs périphériques VPN basés sur la stratégie locaux.

Créer la connexion VPN

Créez une connexion VPN site à site entre votre passerelle de réseau virtuel et votre périphérique VPN local. Si vous utilisez une passerelle en mode actif-actif (recommandé), chaque instance de machine virtuelle de passerelle a une adresse IP distincte. Pour configurer correctement la connectivité hautement disponible, vous devez mettre en place un tunnel entre chaque instance de machine virtuelle et votre appareil VPN. Les deux tunnels font partie de la même connexion.

La clé partagée doit correspondre à la valeur que vous avez utilisée pour la configuration de votre périphérique VPN. Notez que la valeur « -ConnectionType » de la connexion de site à site est IPsec.

1. Définissez les variables.

   $gateway1 = Get-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1
   $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
   

2. Créez la connexion.

   New-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1 `
   -Location 'East US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
   -ConnectionType IPsec -SharedKey 'abc123'
   

Vérifier la connexion VPN

Il existe différentes façons de vérifier votre connexion VPN.

Vous pouvez vérifier que votre connexion a réussi via l’applet de commande « Get-AzVirtualNetworkGatewayConnection » avec ou sans « -Debug ».

1. Utilisez l’exemple d’applet de commande suivant, en configurant les valeurs sur les vôtres. Si vous y êtes invité, sélectionnez A pour exécuter tout. Dans l’exemple, «  -Name » fait référence au nom de la connexion que vous voulez tester.

   Get-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1
   

2. Une fois l’applet de commande exécutée, affichez les valeurs. Dans l’exemple ci-dessous, l’état de la connexion indique « Connecté » et vous pouvez voir les octets d’entrée et de sortie.

   "connectionStatus": "Connected",
   "ingressBytesTransferred": 33509044,
   "egressBytesTransferred": 4142431
   

Pour modifier des préfixes d’adresses IP d’une passerelle de réseau local

Si les préfixes d’adresse IP que vous souhaitez acheminer vers votre emplacement local changent, vous pouvez modifier la passerelle de réseau local. Lorsque vous utilisez ces exemples, modifiez les valeurs pour correspondre à votre environnement.

Pour ajouter des préfixes d’adresses :

1. Définissez la variable pour LocalNetworkGateway.

   $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
   

2. Modifiez les préfixes. Les valeurs spécifiées remplacent les valeurs précédentes.

   Set-AzLocalNetworkGateway -LocalNetworkGateway $local `
   -AddressPrefix @('10.101.0.0/24','10.101.1.0/24','10.101.2.0/24')
   

Pour supprimer des préfixes d’adresses :

Abandonnez les préfixes dont vous n'avez plus besoin. Dans cet exemple, nous n’avons plus besoin du préfixe 10.101.2.0/24 (de l’exemple précédent) : nous mettons donc à jour la passerelle de réseau local et nous excluons ce préfixe.

1. Définissez la variable pour LocalNetworkGateway.

   $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
   

2. Définissez la passerelle avec les préfixes mis à jour.

   Set-AzLocalNetworkGateway -LocalNetworkGateway $local `
   -AddressPrefix @('10.101.0.0/24','10.101.1.0/24')
   

Pour modifier l’adresse IP d’une passerelle de réseau local

Si vous changez l’adresse IP publique de votre appareil VPN, vous devez modifier la passerelle de réseau local avec l’adresse IP mise à jour. Lorsque vous modifiez cette valeur, vous pouvez également modifier les préfixes d’adresse en même temps. Quand vous effectuez une modification, veillez à utiliser le nom existant de votre passerelle de réseau local. Si vous utilisez un autre nom, vous créez une nouvelle passerelle de réseau local au lieu de remplacer les informations de la passerelle existante.

New-AzLocalNetworkGateway -Name Site1 `
-Location "East US" -AddressPrefix @('10.101.0.0/24','10.101.1.0/24') `
-GatewayIpAddress "5.4.3.2" -ResourceGroupName TestRG1

Pour supprimer une connexion de passerelle

Si vous ne connaissez pas le nom de votre connexion, vous pouvez le trouver en utilisant l’applet de commande « Get-AzVirtualNetworkGatewayConnection ».

Remove-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 `
-ResourceGroupName TestRG1

Étapes suivantes

• Une fois la connexion achevée, vous pouvez ajouter des machines virtuelles à vos réseaux virtuels. Pour plus d’informations, consultez Machines virtuelles.
• Pour plus d’informations sur le protocole BGP, consultez les articles Vue d’ensemble du protocole BGP et Comment configurer BGP.
• Pour plus d’informations sur la création d’une connexion VPN de site à site à l’aide d’un modèle Azure Resource Manager, consultez Créer une connexion VPN de site à site.
• Pour en savoir plus sur la création d’une connexion VPN de réseau virtuel à réseau virtuel à l’aide du modèle Azure Resource Manager, consultez Déployer une géo-réplication HBase.