Créer une connexion VPN de site à site – Azure CLI

Cet article vous montre comment utiliser Azure CLI pour créer une connexion de passerelle VPN de site à site (S2S) depuis votre réseau local vers un réseau virtuel.

Une connexion de passerelle VPN de site à site permet de connecter votre réseau local à un réseau virtuel Azure via un tunnel VPN IPsec/IKE (IKEv1 ou IKEv2). Ce type de connexion requiert un périphérique VPN local disposant d’une adresse IP publique exposée en externe. Les étapes décrites dans cet article créent une connexion entre la passerelle VPN et l’appareil VPN local en utilisant une clé partagée. Pour plus d’informations sur les passerelles VPN, consultez l’article À propos de la passerelle VPN.

Avant de commencer

Vérifiez que votre environnement répond aux critères suivants avant de commencer la configuration :

• Vérifiez que vous disposez d’une passerelle VPN basée sur un itinéraire fonctionnel. Pour créer une passerelle VPN, consultez Créer une passerelle VPN.

• Si vous ne maîtrisez pas les plages d’adresses IP situées dans votre configuration de réseau local, vous devez contacter une personne en mesure de vous aider. Lorsque vous créez cette configuration, vous devez spécifier les préfixes des plages d’adresses IP qu’Azure acheminera vers votre emplacement local. Aucun des sous-réseaux de votre réseau local ne peut chevaucher les sous-réseaux du réseau virtuel auquel vous souhaitez vous connecter.

• Appareils VPN :

  • Vérifiez que vous disposez d’un périphérique VPN compatible et d’une personne qui peut le configurer. Pour plus d’informations sur les périphériques VPN compatibles et la configuration de votre périphérique, consultez l’article À propos des périphériques VPN.
  • Déterminez si votre appareil VPN prend en charge les passerelles en mode actif-actif. Cet article crée une passerelle VPN en mode actif-actif, ce qui est recommandée pour la connectivité à haute disponibilité. Le mode actif-actif spécifie que les deux instances de machine virtuelle de passerelle sont actives. Ce mode nécessite deux adresses IP publiques, une pour chaque instance de machine virtuelle de passerelle. Vous configurez votre appareil VPN pour vous connecter à l’adresse IP de chaque instance de machine virtuelle de passerelle.
    Si votre appareil VPN ne prend pas en charge ce mode, n’activez pas ce mode pour votre passerelle. Pour plus d’informations, consultez Concevoir une connectivité à haute disponibilité pour les connexions intersite et de réseau virtuel à réseau virtuel et À propos des passerelles VPN en mode actif-actif.

• Cet article nécessite la version 2.0 ou ultérieure d’Azure CLI.

  • Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations, consultez Démarrage rapide pour Bash dans Azure Cloud Shell.

    

  • Si vous préférez exécuter les commandes de référence de l’interface de ligne de commande localement, installez l’interface Azure CLI. Si vous exécutez sur Windows ou macOS, envisagez d’exécuter Azure CLI dans un conteneur Docker. Pour plus d’informations, consultez Guide pratique pour exécuter Azure CLI dans un conteneur Docker.

    • Si vous utilisez une installation locale, connectez-vous à Azure CLI à l’aide de la commande az login. Pour finir le processus d’authentification, suivez les étapes affichées dans votre terminal. Pour connaître les autres options de connexion, consultez Se connecter avec Azure CLI.

    • Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des extensions avec Azure CLI.

    • Exécutez az version pour rechercher la version et les bibliothèques dépendantes installées. Pour effectuer une mise à niveau vers la dernière version, exécutez az upgrade.

Créer la passerelle de réseau local

La passerelle de réseau local fait généralement référence à votre emplacement local. Donnez au site un nom auquel Azure pourra se référer, puis spécifiez l’adresse IP du périphérique VPN local vers lequel vous allez créer une connexion. Spécifiez également les préfixes d’adresses IP qui seront acheminés via la passerelle VPN vers le périphérique VPN. Les préfixes d’adresses que vous spécifiez sont les préfixes situés sur votre réseau local. Vous pouvez facilement mettre à jour ces préfixes si votre réseau local change.

Utilisez les valeurs suivantes :

• La valeur --gateway-ip-address est l’adresse IP de votre périphérique VPN local.
• La valeur --local-address-prefixes représente vos espaces d’adressage local.

Utilisez la commande az network local-gateway create pour ajouter une passerelle de réseau local. L’exemple suivant montre comment une passerelle de réseau local avec plusieurs préfixes d’adresses. Remplacez les valeurs par les vôtres.

az network local-gateway create --gateway-ip-address [IP address of your on-premises VPN device] --name Site1 --resource-group TestRG1 --local-address-prefixes 10.3.0.0/16 10.0.0.0/24

Configuration de votre périphérique VPN

Les connexions de site à site vers un réseau local nécessitent un appareil VPN. Dans cette étape, vous configurez votre périphérique VPN. Lorsque vous configurez votre appareil VPN, vous avez besoin des valeurs suivantes :

• Clé partagée: cette clé partagée est la même que celle que vous spécifiez lorsque vous créez votre connexion VPN de site à site. Dans nos exemples, nous utilisons une simple clé partagée. Nous vous conseillons de générer une clé plus complexe.

• Adresses IP publiques de vos instances de passerelle de réseau virtuel : obtenez l’adresse IP de chaque instance de machine virtuelle. Si votre passerelle est en mode actif-actif, vous aurez une adresse IP pour chaque instance de machine virtuelle de passerelle. Veillez à configurer votre appareil avec les deux adresses IP, une pour chaque machine virtuelle de passerelle active. Les passerelles en mode secours-actif n’ont qu’une seule adresse IP.

  Pour trouver l’adresse IP publique de votre passerelle de réseau virtuel, utilisez la commande az network public-ip list. Pour faciliter la lecture, la sortie est mise en forme pour afficher la liste des adresses IP publiques sous forme de tableau. Dans l’exemple, VNet1GWpip1 est le nom de la ressource d’adresse IP publique.

  az network public-ip list --resource-group TestRG1 --output table
  

Selon le périphérique VPN dont vous disposez, vous pouvez éventuellement télécharger un script de configuration de périphérique VPN. Pour plus d’informations, consultez la page Télécharger des script de configuration de périphérique VPN.

Les liens suivants fournissent d’autres informations de configuration :

• Pour plus d’informations sur les périphériques VPN compatibles, consultez À propos des périphériques VPN.

• Avant de configurer votre périphérique VPN, recherchez les éventuels problèmes de compatibilité de périphérique connus.

• Pour obtenir des liens vers les paramètres de configuration des périphériques, consultez Périphériques VPN validés. Nous fournissons les liens de configuration des périphériques du mieux que nous pouvons, mais il est toujours préférable de demander au fabricant de votre périphérique les informations de configuration les plus récentes.

  La liste affiche les versions que nous avons testées. Si la version du système d’exploitation de votre périphérique VPN n’est pas dans la liste, elle peut quand même être compatible. Vérifiez auprès du fabricant de votre périphérique.

• Pour plus d’informations sur la configuration des périphériques VPN, consultez Vue d’ensemble des configurations de périphériques VPN partenaires.

• Pour plus d’informations sur la modification des exemples de configuration des périphériques, consultez la page Modifier les exemples.

• Pour les exigences de chiffrement, consultez sur les exigences de chiffrement et les passerelles VPN Azure.

• Pour plus d’informations sur les paramètres dont vous avez besoin pour terminer votre configuration, consultez Paramètres IPsec/IKE par défaut. Les informations comprennent la version IKE, le groupe Diffie-Hellman (DH), la méthode d’authentification, les algorithmes de chiffrement et de hachage, la durée de vie de l’association de sécurité (SA), le secret PFS (Perfect Forward Secrecy) et la détection DPD (Dead Peer Detection).

• Pour les étapes de configuration de stratégie IPsec/IKE, consultez Configurer des stratégies de connexion IPsec/IKE personnalisées pour les connexions VPN site à site et VNet à VNet.

• Pour connecter plusieurs périphériques VPN basés sur la stratégie, consultez Connecter une passerelle VPN à plusieurs périphériques VPN basés sur la stratégie locaux.

Créer la connexion VPN

Créez une connexion VPN site à site entre votre passerelle de réseau virtuel et votre périphérique VPN local. Si vous utilisez une passerelle en mode actif-actif (recommandé), chaque instance de machine virtuelle de passerelle a une adresse IP distincte. Pour configurer correctement la connectivité hautement disponible, vous devez mettre en place un tunnel entre chaque instance de machine virtuelle et votre appareil VPN. Les deux tunnels font partie de la même connexion.

Créez la connexion à l’aide de la commande az network vpn-connection create. La clé partagée doit correspondre à la valeur que vous avez utilisée pour la configuration de votre périphérique VPN.

az network vpn-connection create --name VNet1toSite1 --resource-group TestRG1 --vnet-gateway1 VNet1GW -l eastus --shared-key abc123 --local-gateway2 Site1

Après un bref délai, la connexion sera établie.

Vérifier la connexion VPN

Vous pouvez vérifier que votre connexion a réussi à l’aide de la commande az network vpn-connection show. Dans l’exemple, « --name » fait référence au nom de la connexion que vous voulez tester. Tout au long de l’établissement de la connexion, l’état de la connexion indique « Connexion en cours ». Une fois la connexion établie, l’état indique « Connecté ». Modifiez l’exemple suivant avec les valeurs correspondant à votre environnement.

az network vpn-connection show --name <connection-name> --resource-group <resource-group-name>

Si vous souhaitez utiliser une autre méthode pour vérifier votre connexion, consultez l’article Vérifier une connexion de passerelle VPN.

Tâches courantes

Cette section contient des commandes courantes qui sont utiles lorsque vous travaillez avec des configurations de site à site. Pour obtenir la liste complète des commandes de mise en réseau CLI, consultez Networking - az network (Mise en réseau - az network).

Pour afficher les passerelles de réseau local

Pour afficher une liste des passerelles de réseau local, utilisez la commande az network local-gateway list.

az network local-gateway list --resource-group TestRG1

Pour modifier des préfixes d’adresses IP de passerelle de réseau local - sans connexion de passerelle

Si vous souhaitez ajouter ou supprimer des préfixes d’adresses IP et que votre passerelle n’a pas encore de connexion, vous pouvez mettre à jour les préfixes en utilisant az network local-gateway create. Pour remplacer les paramètres actuels, utilisez le nom existant de votre passerelle de réseau local. Si vous utilisez un nom différent, vous créerez une nouvelle passerelle de réseau local au lieu de remplacer la passerelle existante. Vous pouvez également utiliser cette commande pour mettre à jour l’adresse IP de passerelle du périphérique VPN.

Chaque fois que vous apportez une modification, vous devez renseigner l’intégralité des préfixes, et pas uniquement les préfixes que vous souhaitez modifier. Spécifiez uniquement les préfixes que vous souhaitez conserver. Dans ce cas, 10.0.0.0/24 et 10.3.0.0/16

az network local-gateway create --gateway-ip-address 23.99.221.164 --name Site2 -g TestRG1 --local-address-prefixes 10.0.0.0/24 10.3.0.0/16

Pour modifier des préfixes d’adresses IP de passerelle de réseau local - avec une connexion de passerelle existante

Si vous disposez d’une connexion de passerelle et souhaitez ajouter ou supprimer des préfixes d’adresses IP, vous pouvez mettre à jour les préfixes à l’aide de la commande az network local-gateway update. Cela entraînera une interruption de votre connexion VPN.

Chaque fois que vous apportez une modification, vous devez renseigner l’intégralité des préfixes, et pas uniquement les préfixes que vous souhaitez modifier. Dans cet exemple, 10.0.0.0/24 et 10.3.0.0/16 sont déjà présents. Nous ajoutons les préfixes 10.5.0.0/16 et 10.6.0.0/16, et nous spécifions tous les 4 préfixes lors de la mise à jour.

az network local-gateway update --local-address-prefixes 10.0.0.0/24 10.3.0.0/16 10.5.0.0/16 10.6.0.0/16 --name VNet1toSite2 -g TestRG1

Pour modifier la passerelle de réseau local « gatewayIpAddress »

Si vous changez l’adresse IP publique de votre appareil VPN, vous devez modifier la passerelle de réseau local avec l’adresse IP mise à jour. Quand vous modifiez la passerelle, veillez à spécifier le nom existant de votre passerelle de réseau local. Si vous utilisez un autre nom, vous créez une nouvelle passerelle de réseau local au lieu de remplacer les informations de la passerelle existante.

Pour modifier l’adresse IP de passerelle, remplacez les valeurs « Site2 » et « TestRG1 » par vos propres valeurs à l’aide de la commande az network local-gateway update.

az network local-gateway update --gateway-ip-address 23.99.222.170 --name Site2 --resource-group TestRG1

Vérifiez que l’adresse IP est correcte dans la sortie :

"gatewayIpAddress": "23.99.222.170",

Pour vérifier les valeurs de clé partagée

Vérifiez que la valeur de clé partagée est identique à celle utilisée pour la configuration de votre périphérique VPN. Si ce n’est pas le cas, réexécutez la connexion en utilisant la valeur provenant de l’appareil ou mettez à jour l’appareil avec la valeur obtenue en retour. Les valeurs doivent correspondre. Pour afficher la clé partagée, utilisez az network vpn-connection-list.

az network vpn-connection shared-key show --connection-name VNet1toSite2 --resource-group TestRG1

Pour afficher l’adresse IP publique de la passerelle VPN

Pour trouver l’adresse IP publique de votre passerelle de réseau virtuel, utilisez la commande az network public-ip list. Pour faciliter la lecture, la sortie de cet exemple est mise en forme pour afficher la liste des adresses IP publiques sous forme de tableau.

az network public-ip list --resource-group TestRG1 --output table

Étapes suivantes

• Pour plus d’informations sur le protocole BGP, consultez les articles Vue d’ensemble du protocole BGP et Comment configurer BGP.
• Pour plus d’informations sur le tunneling forcé, consultez À propos du tunneling forcé.
• Pour plus d’informations sur les connexions actives-actives hautement disponibles, consultez Connectivité hautement disponible de réseau local à réseau local et de réseau virtuel à réseau virtuel.
• Pour obtenir la liste des commandes de mise en réseau de l’interface de ligne de commande Azure, consultez l’article Interface de ligne de commande Azure.
• Pour plus d’informations sur la création d’une connexion VPN site à site à l’aide d’un modèle Azure Resource Manager, consultez Créer une connexion VPN site à site.
• Pour plus d’informations sur la création d’une connexion VPN de réseau virtuel à réseau virtuel à l’aide d’un modèle Azure Resource Manager, consultez Déployer une géo-réplication HBase.