Tutoriel : Créer une connexion VPN site à site dans le portail Azure
Dans ce tutoriel, vous utilisez le portail Azure pour créer une connexion de passerelle VPN site à site (S2S) entre votre réseau local et un réseau virtuel. Vous pouvez également créer cette configuration à l’aide de Azure PowerShell ou d' Azure CLI.
Dans ce tutoriel, vous allez :
- Créer un réseau virtuel.
- Créez une passerelle VPN.
- Créer une passerelle de réseau local.
- Créer une connexion VPN.
- Vérifiez la connexion.
- Se connecter à une machine virtuelle.
Prérequis
Vous devez avoir un compte Azure avec un abonnement actif. Si vous n’en avez pas, vous pouvez en créer un gratuitement.
Si vous ne maîtrisez pas les plages d’adresses IP situées dans votre configuration de réseau local, vous devez contacter une personne en mesure de vous aider. Lorsque vous créez cette configuration, vous devez spécifier les préfixes des plages d’adresses IP qu’Azure acheminera vers votre emplacement local. Aucun des sous-réseaux de votre réseau local ne peut chevaucher les sous-réseaux du réseau virtuel auquel vous souhaitez vous connecter.
Appareils VPN :
- Vérifiez que vous disposez d’un périphérique VPN compatible et d’une personne qui peut le configurer. Pour plus d’informations sur les périphériques VPN compatibles et la configuration de votre périphérique, consultez l’article À propos des périphériques VPN.
- Vérifiez que vous disposez d’une adresse IPv4 publique exposée en externe pour votre périphérique VPN.
- Vérifiez que votre appareil VPN prend en charge les passerelles en mode actif-actif. Cet article crée une passerelle VPN en mode actif-actif, ce qui est recommandée pour la connectivité à haute disponibilité. Le mode actif-actif spécifie que les deux instances de machine virtuelle de passerelle sont actives et utilisent deux adresses IP publiques, une pour chaque instance de machine virtuelle de passerelle. Vous configurez votre appareil VPN pour vous connecter à l’adresse IP de chaque instance de machine virtuelle de passerelle. Si votre appareil VPN ne prend pas en charge ce mode, n’activez pas ce mode pour votre passerelle. Pour plus d’informations, consultez Concevoir une connectivité à haute disponibilité pour les connexions intersite et de réseau virtuel à réseau virtuel et À propos des passerelles VPN en mode actif-actif.
Créez un réseau virtuel
Dans cette section, vous créez un réseau virtuel à l’aide des valeurs suivantes :
- Groupe de ressources : TestRG1
- Nom : VNet1
- Région : (États-Unis) USA Est
- Espace d’adressage IPv4 : 10.1.0.0/16
- Nom du sous-réseau : FrontEnd
- Espace d’adressage du sous-réseau :
Remarque
Lorsque vous utilisez un réseau virtuel dans le cadre d’une architecture intersite, veillez à coordonner avec votre administrateur réseau local pour créer une plage d’adresses IP que vous pouvez utiliser spécifiquement pour ce réseau virtuel. Si une plage d’adresses en double existe des deux côtés de la connexion VPN, le trafic sera acheminé de manière inattendue. En outre, si vous souhaitez connecter ce réseau virtuel à un autre réseau virtuel, l’espace d’adressage ne peut pas chevaucher l’autre réseau virtuel. Planifiez votre configuration réseau en conséquence.
Connectez-vous au portail Azure.
Dans recherche de ressources, de service et de documents (G+/) en haut de la page du portail, entrez réseau virtuel. Sélectionnez réseau virtuel dans les résultats de recherche Place de marché pour ouvrir la page réseau virtuel.
Dans la page réseau virtuel, sélectionnez Créer pour ouvrir la page Créer un réseau virtuel.
Sous l’onglet De base, configurez les paramètres de réseau virtuel pour détails du projet et les détails de l’instance. Une coche verte s’affiche lorsque les valeurs que vous entrez sont validées. Vous pouvez ajuster les valeurs affichées dans l’exemple en fonction des paramètres dont vous avez besoin.
- Abonnement: vérifiez que l’abonnement listé est approprié. Vous pouvez modifier les abonnements à l’aide de la zone de liste déroulante.
- Groupe de ressources : sélectionnez un groupe de ressources existant ou sélectionnez Créer nouveau pour en créer un. Pour plus d’informations sur les groupes de ressources, consultez Vue d’ensemble d’Azure Resource Manager.
- Name : entrez le nom du réseau virtuel.
- Région: sélectionnez l’emplacement de votre réseau virtuel. L’emplacement détermine l’emplacement où les ressources que vous déployez sur ce réseau virtuel seront actives.
Sélectionnez suivant ou sécurité pour accéder à l’onglet Sécurité. Pour cet exercice, conservez les valeurs par défaut pour tous les services de cette page.
Sélectionnez adresses IP pour accéder à l’onglet Adresses IP. Sous l’onglet adresses IP, configurez les paramètres.
Espace d’adressage IPv4 : Un espace d’adressage est créé automatiquement par défaut. Vous pouvez sélectionner l’espace d’adressage et le définir selon vos propres valeurs. Vous pouvez également ajouter un autre espace d’adressage et supprimer la valeur par défaut créée automatiquement. Par exemple, vous pouvez spécifier l’adresse de départ comme 10.1.0.0 et spécifier la taille de l’espace d’adressage comme /16. Sélectionnez ensuite Ajouter pour ajouter cet espace d’adressage.
+ Ajouter un sous-réseau : si vous utilisez l’espace d’adressage par défaut, un sous-réseau par défaut est créé automatiquement. Si vous modifiez l’espace d’adressage, ajoutez un nouveau sous-réseau dans cet espace d’adressage. Sélectionnez + Ajouter un sous-réseau pour ouvrir la fenêtre Ajouter un sous-réseau. Configurez les paramètres suivants, puis sélectionnez Ajouter en bas de la page pour ajouter les valeurs.
- Nom du sous-réseau : vous pouvez utiliser la valeur par défaut ou spécifier le nom. Exemple : FrontEnd.
- Plage d’adresses de sous-réseau : plage d’adresses de ce sous-réseau. Les exemples sont 10.1.0.0 et /24.
Passez en revue la page Adresses IP, puis supprimez les espaces d’adressage ou les sous-réseaux dont vous n’avez pas besoin.
Sélectionnez Vérifier + créer pour vérifier les paramètres de réseau virtuel.
Une fois les paramètres validés, sélectionnez Créer pour créer le réseau virtuel.
Après avoir créé votre réseau virtuel, vous pouvez éventuellement configurer Azure DDoS Protection. Azure DDoS Protection est simple à activer sur n’importe quel réseau virtuel nouveau ou existant, et il ne nécessite aucune modification de l’application ou des ressources. Pour plus d’informations sur Azure DDoS Protection, consultez Qu’est-ce qu’Azure DDoS Protection ?.
Créer un sous-réseau de passerelle
La passerelle de réseau virtuel nécessite un sous-réseau spécifique nommé GatewaySubnet (Sous-réseau de passerelle). Le sous-réseau de passerelle fait partie de la plage d’adresses IP de votre réseau virtuel et contient les adresses IP utilisées par les ressources et services de passerelle de réseau virtuel.
Lorsque vous créez le sous-réseau de passerelle, vous spécifiez le nombre d’adresses IP que contient le sous-réseau. Le nombre d’adresses IP requises varie selon la configuration de la passerelle VPN que vous souhaitez créer. Certaines configurations nécessitent plus d’adresses IP que d’autres. Il est préférable de spécifier /27 ou supérieur (/26,/25, etc.) pour votre sous-réseau de passerelle.
- Dans la page de votre réseau virtuel, dans le volet gauche, sélectionnez Sous-réseaux pour ouvrir la page Sous-réseaux.
- En haut de la page, sélectionnez + Sous-réseau de passerelle pour ouvrir le volet Ajouter un sous-réseau.
- Le nom est automatiquement entré en tant que GatewaySubnet. Ajustez la valeur de la plage d’adresses IP, si nécessaire. Par exemple, 10.1.255.0/27.
- N’ajustez pas les autres valeurs de la page. Sélectionnez Enregistrer en bas de la page pour enregistrer le sous-réseau.
Important
Les groupes de sécurité réseau (NSG) sur le sous-réseau de passerelle ne sont pas pris en charge. Associer un groupe de sécurité réseau à ce sous-réseau peut empêcher votre passerelle de réseau virtuel (passerelles VPN et ExpressRoute) de fonctionner comme prévu. Pour plus d’informations sur les groupes de sécurité réseau, consultez Présentation du groupe de sécurité réseau
Créer une passerelle VPN
Dans cette étape, vous créez une passerelle de réseau virtuel (passerelle VPN) pour votre réseau virtuel. La création d’une passerelle nécessite généralement au moins 45 minutes, selon la référence SKU de passerelle sélectionnée.
Créer une passerelle VPN
Créez une passerelle de réseau virtuel (passerelle VPN) à l’aide des valeurs suivantes :
- Name : VNet1GW
- Type de passerelle : VPN
- Référence SKU : VpnGw2AZ
- Génération : Génération 2
- Réseau virtuel : VNet1
- Plage d’adresses de sous-réseau de la passerelle : 10.1.255.0/27
- Adresse IP publique : Création
- Adresse IP publique : VNet1GWpip1
- Référence SKU d’adresse IP publique : standard
- Attribution : statique
- Deuxième adresse IP publique : VNet1GWpip2
- Activer le mode actif/actif : activé
- Configurer BGP : désactivé
Dans rechercher des ressources, des services et des documents (G+/), entrez passerelle de réseau virtuel. Recherchez passerelle de réseau virtuel dans les résultats de recherche place de marché et sélectionnez-la pour ouvrir la page Créer une passerelle de réseau virtuel.
Sous l’onglet Général, renseignez les valeurs pour Détails du projet et Détails de l’instance.
Abonnement: sélectionnez l’abonnement que vous souhaitez utiliser dans la liste déroulante.
Groupe de ressources : cette valeur est renseignée automatiquement quand vous sélectionnez votre réseau virtuel sur cette page.
Nom : il s’agit du nom de l’objet passerelle que vous créez. Il s’agit d’un sous-réseau de passerelle différent du sous-réseau de passerelle sur lequel les ressources de passerelle seront déployées.
Région : Sélectionnez la région où vous voulez créer cette ressource. La région de la passerelle doit être la même que celle du réseau virtuel.
Type de passerelle : Sélectionnez VPN. Les passerelles VPN utilisent le type de passerelle de réseau virtuel VPN.
Référence SKU : dans la liste déroulante, sélectionnez une référence SKU de passerelle qui prend en charge les fonctionnalités que vous voulez utiliser.
- Nous vous recommandons de sélectionner quand c’est possible une référence SKU qui se termine par AZ. Les références SKU AZ prennent en charge les zones de disponibilité.
- La référence SKU de base n’est pas disponible dans le portail. Pour configurer une passerelle de référence SKU De base, vous devez utiliser PowerShell ou l’interface CLI.
Génération : sélectionnez Génération2 dans la liste déroulante.
Réseau virtuel: dans la liste déroulante, sélectionnez le réseau virtuel auquel vous souhaitez ajouter cette passerelle. Si vous ne voyez pas le réseau virtuel que vous souhaitez utiliser, assurez-vous que vous avez sélectionné l'abonnement et la région corrects dans les paramètres précédents.
Plage d’adresses de sous-réseau de passerelle ou sous-réseau: le sous-réseau de passerelle est requis pour créer une passerelle VPN.
Actuellement, ce champ peut afficher différentes options de paramètres, selon l’espace d’adressage du réseau virtuel et si vous avez déjà créé un sous-réseau nommé GatewaySubnet pour votre réseau virtuel.
Si vous n’avez pas de sous-réseau de passerelle et que vous ne voyez pas l’option de en créer une sur cette page, revenez à votre réseau virtuel et créez le sous-réseau de passerelle. Revenez ensuite à cette page et configurez la passerelle VPN.
Spécifiez les valeurs de adresse IP publique. Ces paramètres spécifient l’objet d’adresse IP publique qui seront associés à la passerelle VPN. Une adresse IP publique est affectée à chaque objet d’adresse IP publique lors de la création de la passerelle VPN. L’adresse IP publique attribué change uniquement lorsque la passerelle est supprimée, puis recréée. Les adresses IP ne sont pas modifiées lors du redimensionnement, de la réinitialisation ou des autres opérations de maintenance/mise à niveau internes de votre passerelle VPN.
Type d’adresse IP publique : si cette option s’affiche, sélectionnez Standard.
Adresse IP publique : Laissez l’option Créer sélectionnée.
nom d’adresse IP publique: dans la zone de texte, entrez un nom pour votre instance d’adresse IP publique.
Référence SKU d’adresse IP publique : le paramètre est sélectionné automatiquement en référence SKU Standard.
Attribution : l’attribution est généralement automatiquement sélectionnée et doit être statique.
Zone de disponibilité : ce paramètre est disponible pour les références SKU de passerelle AZ dans les régions qui prennent en charge les zones de disponibilité. Sélectionnez Redondant interzone, sauf si vous savez que vous voulez spécifier une zone.
Activer le mode actif/actif : nous vous recommandons de sélectionner Activé pour bénéficier des avantages d’une passerelle en mode actif/actif. Si vous prévoyez d’utiliser cette passerelle pour une connexion de site à site, tenez compte des éléments suivants :
- Vérifiez la conception du mode actif/actif que vous voulez utiliser. Les connexions avec votre appareil VPN local doivent être configurées spécifiquement pour bénéficier du mode actif/actif.
- Certains appareils VPN ne prennent pas en charge le mode actif/actif. En cas de doute, contactez le fournisseur de votre appareil VPN. Si vous utilisez un appareil VPN qui ne prend pas en charge le mode actif/actif, vous pouvez sélectionner Désactivé pour ce paramètre.
Deuxième adresse IP publique : sélectionnez Créer nouvelle. Cette option est disponible seulement si vous avez sélectionné Activé pour le paramètre Activer le mode actif/actif.
nom d’adresse IP publique: dans la zone de texte, entrez un nom pour votre instance d’adresse IP publique.
Référence SKU d’adresse IP publique : le paramètre est sélectionné automatiquement en référence SKU Standard.
Zone de disponibilité : sélectionnez redondant interzone, sauf si vous savez que vous souhaitez spécifier une zone.
Configurer BGP : sélectionnez Désactivé, sauf si votre configuration nécessite précisément ce paramètre. Si vous avez besoin de ce paramètre, la valeur par défaut ASN est 65515, même si vous pouvez la changer.
Activer l’accès au coffre de clés : sélectionnez Désactivé, sauf si votre configuration nécessite spécifiquement ce paramètre.
Sélectionnez Vérifier + créer pour exécuter la validation.
Une fois la validation réussie, sélectionnez Créer pour déployer la passerelle VPN.
La création et le déploiement complets d’une passerelle peuvent prendre 45 minutes ou plus. Vous pouvez voir l’état du déploiement dans la page vue d’ensemble pour votre passerelle.
Important
Les groupes de sécurité réseau (NSG) sur le sous-réseau de passerelle ne sont pas pris en charge. Associer un groupe de sécurité réseau à ce sous-réseau peut empêcher votre passerelle de réseau virtuel (passerelles VPN et ExpressRoute) de fonctionner comme prévu. Pour plus d’informations sur les groupes de sécurité réseau, consultez Présentation du groupe de sécurité réseau
Examiner l’adresse IP publique
Pour afficher l’adresse IP associée à chaque instance de machine virtuelle de passerelle de réseau virtuel, accédez à votre passerelle de réseau virtuel dans le portail.
- Accédez à la page Propriétés de votre passerelle de réseau virtuel (pas la page Vue d’ensemble). Vous devrez peut-être développer Paramètres pour afficher la page Propriétés dans la liste.
- Si votre passerelle est en mode actif-passif, vous ne verrez qu’une seule adresse IP. Si votre passerelle est en mode actif-actif, vous verrez deux adresses IP publiques listées, une pour chaque instance de machine virtuelle de passerelle. Lorsque vous créez une connexion de site à site, vous devez spécifier chaque adresse IP lors de la configuration de votre appareil VPN, car les deux machines virtuelles de passerelle sont actives.
- Pour obtenir plus d’informations sur l’objet adresse IP, cliquez sur le lien de l’adresse IP associée.
Créer une passerelle de réseau local
La passerelle de réseau local est un objet spécifique déployé sur Azure qui représente votre emplacement local (le site) à des fins de routage. Vous attribuez au site un nom par lequel Azure peut y faire référence, puis spécifiez l’adresse IP de l’appareil VPN local auquel vous créez une connexion. Vous spécifiez également les préfixes d’adresse IP routés via la passerelle VPN vers l’appareil VPN. Les préfixes d’adresses que vous spécifiez sont les préfixes situés sur votre réseau local. En cas de modification du réseau ou si vous devez modifier l’adresse IP publique de l’appareil VPN, il est simple de mettre à jour les valeurs ultérieurement. Vous créez une passerelle de réseau local distincte pour chaque appareil VPN auquel vous voulez vous connecter. Certaines conceptions de connectivité à haute disponibilité spécifient plusieurs appareils VPN locaux.
Créez une passerelle de réseau local à l’aide des valeurs suivantes :
- Nom : Site1
- Groupe de ressources : TestRG1
- Emplacement : USA Est
Points à prendre en considération pour la configuration :
- La passerelle VPN ne prend en charge qu’une seule adresse IPv4 pour chaque nom de domaine complet. Si le nom de domaine est résolu en plusieurs adresses IP, le service Passerelle VPN utilise la première adresse IP retournée par les serveurs DNS. Pour éliminer toute incertitude, nous vous recommandons que le nom FQDN soit toujours résolu en une seule adresse IPv4. IPv6 n’est pas pris en charge.
- Passerelle VPN gère un cache DNS actualisé toutes les 5 minutes. Elle ne tente de résoudre les noms FQDN que pour les tunnels déconnectés. La réinitialisation de la passerelle déclenche également la résolution du FQDN.
- Bien que la passerelle VPN prenne en charge plusieurs connexions à différentes passerelles de réseau local avec différents noms de domaine complets, tous les noms de domaine complets doivent être résolus en différentes adresses IP.
Dans le portail, accédez à Passerelles de réseau local et ouvrez la page Créer une passerelle de réseau local.
Dans l’onglet Informations de base, spécifiez les valeurs de la passerelle de réseau local.
- Abonnement: Vérifiez que l’abonnement approprié s’affiche.
- Groupe de ressources : sélectionnez le groupe de ressources à utiliser. Vous pouvez créer un groupe de ressources ou en sélectionner un déjà créé.
- Region : sélectionnez la région pour cet objet. Vous pouvez sélectionner la même localisation que celle de votre réseau virtuel, mais vous n’êtes pas obligé de le faire.
- Nom : Spécifiez un nom pour votre objet de passerelle de réseau local.
- Point de terminaison : sélectionnez le type de point de terminaison du périphérique VPN local en tant qu’adresse IP ou FQDN (nom de domaine complet).
- Adresse IP : si vous disposez d’une adresse IP publique statique allouée par votre fournisseur de services Internet (ISP) à votre périphérique VPN, sélectionnez l’option Adresse IP. Indiquez l’adresse IP, comme le montre l’exemple. Cette adresse est l’adresse IP publique du périphérique VPN auquel vous souhaitez que le service Passerelle VPN Azure se connecte. Si vous ne disposez pas de l’adresse IP pour le moment, vous pouvez utiliser les valeurs affichées dans l’exemple. Plus tard, vous devrez revenir et remplacer l’adresse IP de votre espace réservé par l’adresse IP publique de votre périphérique VPN. Sinon, Azure ne pourra pas se connecter.
- FQDN : si vous disposez d’une adresse IP publique dynamique qui peut changer après un certain temps, souvent déterminé par votre fournisseur de services Internet (ISP), vous pouvez utiliser un nom DNS constant avec un service DNS dynamique pour pointer vers l’adresse IP publique actuelle de votre périphérique VPN. Votre passerelle de réseau privé virtuel (VPN) Azure résout le nom de domaine complet (FQDN) pour déterminer l’adresse IP publique à laquelle se connecter.
- Espace d’adressage : l’espace d’adressage fait référence aux plages d’adresses réseau que représente ce réseau local. Vous pouvez ajouter plusieurs plages d’espaces d’adressage. Assurez-vous que les plages que vous spécifiez ici ne se chevauchent pas avec les plages d’autres réseaux auxquels vous souhaitez vous connecter. Azure achemine la plage d’adresses que vous spécifiez vers l’adresse IP du périphérique VPN local. Utilisez ici vos propres valeurs (et non les valeurs indiquées dans l’exemple) si vous voulez vous connecter à votre site local.
Sous l’onglet Avancé, vous pouvez configurer les paramètres BGP, si nécessaire.
Une fois que vous avez spécifié les valeurs, sélectionnez Vérifier + créer au bas de la page pour valider celle-ci.
Sélectionnez Créer pour créer l’objet de passerelle de réseau local.
Configuration de votre périphérique VPN
Les connexions de site à site vers un réseau local nécessitent un appareil VPN. Dans cette étape, vous configurez votre périphérique VPN. Lorsque vous configurez votre appareil VPN, vous avez besoin des valeurs suivantes :
- Clé partagée: cette clé partagée est la même que celle que vous spécifiez lorsque vous créez votre connexion VPN de site à site. Dans nos exemples, nous utilisons une simple clé partagée. Nous vous conseillons de générer une clé plus complexe.
- Adresses IP publiques de vos instances de passerelle de réseau virtuel : obtenez l’adresse IP de chaque instance de machine virtuelle. Si votre passerelle est en mode actif-actif, vous aurez une adresse IP pour chaque instance de machine virtuelle de passerelle. Veillez à configurer votre appareil avec les deux adresses IP, une pour chaque machine virtuelle de passerelle active. Les passerelles en mode secours-actif n’ont qu’une seule adresse IP.
Remarque
Pour les connexions S2S avec une passerelle VPN en mode actif/actif, vérifiez que les tunnels sont mis en place sur chaque instance de machine virtuelle de passerelle. Si vous mettez en place un tunnel vers une seule instance de machine virtuelle de passerelle, la connexion tombe en panne pendant la maintenance. Si votre appareil VPN ne prend pas en charge cette configuration, configurez votre passerelle de façon à utiliser le mode de secours actif à la place.
Selon le périphérique VPN dont vous disposez, vous pouvez éventuellement télécharger un script de configuration de périphérique VPN. Pour plus d’informations, consultez la page Télécharger des script de configuration de périphérique VPN.
Pour plus d’informations sur la configuration, consultez les liens suivants :
- Pour plus d’informations sur les périphériques VPN compatibles, consultez Périphériques VPN.
- Avant de configurer votre périphérique VPN, recherchez les problèmes de compatibilité connus avec le matériel pour le périphérique VPN à utiliser.
- Pour obtenir des liens vers les paramètres de configuration des périphériques, consultez Périphériques VPN validés. Les liens de configuration des périphériques sont fournis dans la mesure du possible. Il est toujours préférable de vérifier les dernières informations de configuration auprès du fabricant du périphérique. La liste répertorie les versions que nous avons testées. L’absence de votre système d’exploitation de cette liste n’exclut pas sa compatibilité. Contactez le fabricant de votre périphérique pour vérifier que la version du système d’exploitation du périphérique VPN est compatible.
- Pour une vue d’ensemble de la configuration des périphériques VPN, consultez Vue d’ensemble des configurations de périphériques VPN tiers.
- Pour plus d’informations sur la modification des exemples de configuration des périphériques, consultez la page Modifier les exemples.
- Pour les exigences de chiffrement, consultez sur les exigences de chiffrement et les passerelles VPN Azure.
- Pour en savoir plus sur les paramètres IPsec/IKE, consultez À propos des périphériques VPN et des paramètres IPsec/IKE pour les connexions de passerelle VPN site à site. Ce lien affiche des informations sur la version d’IKE, le groupe Diffie-Hellman, la méthode d’authentification, les algorithmes de chiffrement et de hachage, la durée de vie de la SA, le PFS et le DPD ainsi que d’autres informations sur les paramètres dont vous avez besoin pour effectuer votre configuration.
- Pour connaître les étapes de configuration d’une stratégie IPsec/IKE, consultez Configurer une stratégie IPsec/IKE pour les connexions VPN site à site ou les connexions de réseau virtuel à réseau virtuel.
- Pour connecter plusieurs périphériques VPN basés sur des stratégies, consultez Connecter des passerelles VPN à plusieurs périphériques VPN basés sur des stratégies via PowerShell.
Créer des connexions VPN
Créez une connexion VPN site à site entre votre passerelle de réseau virtuel et votre périphérique VPN local. Si vous utilisez une passerelle en mode actif-actif (recommandé), chaque instance de machine virtuelle de passerelle a une adresse IP distincte. Pour configurer correctement la connectivité hautement disponible, vous devez mettre en place un tunnel entre chaque instance de machine virtuelle et votre appareil VPN. Les deux tunnels font partie de la même connexion.
Créez une connexion à l’aide des valeurs suivantes :
- Nom de passerelle de réseau local : Site1
- Nom de la connexion : VNet1toSite1
- Clé partagée: pour cet exemple, vous utilisez abc123. Mais vous pouvez utiliser tout ce qui est compatible avec votre matériel VPN. L’important est que les valeurs soient les mêmes de part et d’autre de la connexion.
Dans le portail, accédez à la passerelle de réseau virtuel et ouvrez-la.
Dans la page de votre passerelle, sélectionnez Connexions.
En haut de la page Connexions, sélectionnez + Ajouter pour ouvrir la page Créer une connexion.
Dans la page Créer une connexion, sous l’onglet Informations de base, configurez les valeurs de votre connexion :
Sous Détails du projet, sélectionnez l’abonnement et le groupe de ressources où se trouvent vos ressources.
Sous Détails de l’instance, configurez les paramètres suivants :
- Type de connexion : Sélectionnez Site à site (IPsec) .
- Nom : Nommez votre connexion.
- Région : sélectionnez la région pour cette connexion.
Sélectionnez l’onglet Paramètres, puis configurez les valeurs suivantes :
- Passerelle réseau virtuelle : sélectionnez la passerelle réseau virtuelle dans la liste déroulante.
- Passerelle réseau locale : sélectionnez la passerelle réseau locale dans la liste déroulante.
- Clé partagée : la valeur ici doit correspondre à la valeur que vous utilisez pour votre périphérique VPN local. Si ce champ n’apparaît pas sur votre page du portail ou si vous voulez mettre à jour cette clé ultérieurement, vous pouvez le faire une fois que l’objet de connexion est créé. Accédez à l’objet de connexion que vous avez créé (exemple de nom : VNet1toSite1) et mettez à jour la clé dans la page Authentification.
- Protocole IKE : sélectionnez IKEv2.
- Utiliser l’adresse IP privée Azure : ne cochez pas la case.
- Activer BGP : ne cochez pas la case.
- FastPath : ne cochez pas la case.
- Stratégie IPsec/IKE : sélectionnez Par défaut.
- Utiliser le sélecteur de trafic basé sur une stratégie : sélectionnez Désactiver.
- Délai d’expiration de DPD en secondes : sélectionnez 45.
- Mode de connexion : sélectionnez Par défaut. Ce paramètre est utilisé pour spécifier la passerelle pouvant lancer la connexion. Pour plus d’informations, consultez Paramètres de la passerelle VPN - Modes de connexion.
Pour Associations de règles NAT, laissez Entrée et Sortie sur 0 sélectionné(e).
Sélectionnez Vérifier + créer pour valider vos paramètres de connexion.
Sélectionnez Créer pour créer la connexion.
Une fois le déploiement effectué, vous pouvez voir la connexion dans la page Connexions de la passerelle réseau virtuelle. L’état passe de inconnu à connexion, puis à Réussite.
Configurer d’autres paramètres de connexion (facultatif)
Vous pouvez configurer d’autres paramètres pour votre connexion, si nécessaire. Sinon, ignorez cette section et laissez les valeurs par défaut en place. Pour plus d’informations, consultez Configurer des stratégies de connexion IPsec/IKE personnalisées.
Accédez à votre passerelle de réseau virtuel et sélectionnez Connexions pour ouvrir la page Connexions.
Sélectionnez le nom de la connexion que vous souhaitez configurer pour ouvrir la page Connexion .
Sur le côté gauche de la page Connexion, sélectionnez Configuration pour ouvrir la page Configuration. Changez des valeurs, si nécessaire, puis sélectionnez Enregistrer.
Dans les captures d’écran suivantes, les paramètres sont activés pour que vous puissiez voir les paramètres de configuration disponibles dans le portail. Sélectionnez la capture d’écran pour afficher la vue développée. Lorsque vous configurez vos connexions, configurez uniquement les paramètres dont vous avez besoin. Sinon, conservez le paramètre par défaut.
Vérifier la connexion VPN
Dans le Portail Azure, vous pouvez afficher l’état de la connexion d’une passerelle VPN en accédant à cette connexion. Les étapes suivantes montrent une façon d’accéder à votre connexion pour la vérifier.
- Dans le menu Portail Azure, sélectionnez Toutes les ressources, ou recherchez et sélectionnez Toutes les ressources dans n’importe quelle page.
- Sélectionnez votre passerelle réseau virtuelle.
- Dans le volet de votre passerelle réseau virtuelle, sélectionnez Connexions. Vous pouvez voir l’état de chaque connexion.
- Sélectionnez le nom de la connexion à vérifier pour ouvrir Essentials. Dans le volet Essentials, vous pouvez voir plus d’informations sur votre connexion. L’état est Opération réussie et Connecté, une fois la connexion établie.
Étapes facultatives
Réinitialiser une passerelle
La réinitialisation d’une passerelle VPN Azure est utile si vous perdez la connectivité VPN entre différents locaux sur un ou plusieurs tunnels VPN site à site. Dans ce cas, vos périphériques VPN locaux fonctionnent tous correctement, mais ils ne sont pas en mesure d’établir des tunnels IPsec avec les passerelles VPN Azure. Si vous devez réinitialiser une passerelle de type actif/actif, vous pouvez réinitialiser les deux instances à l’aide du portail. Vous pouvez également utiliser PowerShell ou l’interface de ligne de commande (CLI) pour réinitialiser chaque instance de passerelle séparément à l’aide d’adresses IP virtuelles d’instance. Pour plus d’informations, consultez Réinitialiser une connexion ou une passerelle.
- Dans le portail, accédez à la passerelle de réseau virtuel que vous souhaitez réinitialiser.
- Dans la page Passerelle de réseau virtuel, dans le volet gauche, faites défiler l’écran et recherchez Aide –> Réinitialiser.
- Dans la page Réinitialiser, sélectionnez Réinitialiser. Une fois la commande émise, l’instance active actuelle de la passerelle VPN Azure est redémarrée immédiatement. La réinitialisation de la passerelle entraîne un écart dans la connectivité VPN et peut limiter l’analyse future de la cause racine du problème.
Ajouter une autre connexion
Une passerelle peut avoir plusieurs connexions. Si vous souhaitez configurer des connexions à plusieurs sites locaux à partir de la même passerelle VPN, les espaces d’adressage ne peuvent pas se chevaucher entre les connexions.
- Si vous vous connectez à l’aide d’un VPN site à site et que vous n’avez pas de passerelle de réseau local pour le site auquel vous voulez vous connecter, créez une autre passerelle de réseau local et spécifiez les détails du site. Si vous souhaitez obtenir plus d’informations, consultez Créer une passerelle de réseau local.
- Pour ajouter une connexion, accédez à la passerelle VPN, puis sélectionnez Connexions pour ouvrir la page Connexions.
- Sélectionnez + Ajouter pour ajouter votre connexion. Définissez le type de connexion sur Réseau virtuel à réseau virtuel (pour une connexion à une autre passerelle de réseau virtuel) ou sur Site à site, selon vos besoins.
- Spécifiez la clé partagée que vous souhaitez utiliser, puis sélectionnez OK pour créer la connexion.
Mettre à jour une clé partagée de connexion
Vous pouvez spécifier une clé partagée différente pour votre connexion.
- Dans le portail, accédez à la connexion.
- Changez la clé partagée dans la page Authentification.
- Enregistrez les changements apportés.
- Mettez à jour votre appareil VPN avec la nouvelle clé partagée si nécessaire.
Redimensionner ou modifier une référence SKU de passerelle
Vous pouvez redimensionner une référence SKU de passerelle ou la modifier. L’option disponible est déterminée par des règles spécifiques qui prennent en compte la référence SKU utilisée actuellement par votre passerelle. Pour plus d’informations, consultez Redimensionner ou modifier les références SKU de passerelles.
Autres considérations relatives à la configuration
Vous pouvez personnaliser les configurations de site à site de différentes manières. Pour plus d’informations, consultez les articles suivants :
- Pour plus d’informations sur le protocole BGP, consultez les articles Vue d’ensemble du protocole BGP et Comment configurer BGP.
- Pour plus d’informations sur le tunneling forcé, consultez À propos du tunneling forcé.
- Pour plus d’informations sur les connexions haut actif-actif, consultez Configuration haute disponibilité pour la connectivité entre les réseaux locaux et la connectivité entre deux réseaux virtuels.
- Pour savoir comment limiter le trafic réseau aux ressources d’un réseau virtuel, consultez Sécurité du réseau.
- Pour plus d’informations sur la façon dont Azure achemine le trafic entre les ressources Azure, locales et Internet, consultez Routage du trafic de réseau virtuel.
Nettoyer les ressources
Si vous n’envisagez pas de continuer à utiliser cette application ni de passer au tutoriel suivant, supprimez ces ressources.
- Entrez le nom de votre groupe de ressources dans la zone Rechercher en haut du portail et sélectionnez-le dans les résultats de la recherche.
- Sélectionnez Supprimer le groupe de ressources.
- Entrez votre groupe de ressources dans TAPER LE NOM DU GROUPE DE RESSOURCES, puis sélectionnez Supprimer.
Étapes suivantes
Après avoir configuré une connexion de site à site, vous pouvez ajouter une connexion point à site à la même passerelle.