Télécharger des profils VPN globaux et hub pour les clients VPN utilisateur
Azure Virtual WAN offre deux types de profils de connexion pour les clients VPN utilisateur : profils globaux et profils hub. Le type de profil que vous choisissez dépend selon que vous voulez que le client VPN se connecte à un profil de niveau WAN géographiquement équilibré (profil global), ou que vous voulez restreindre le client VPN à se connecter uniquement à un certain hub (profil de hub). Cet article vous aide à générer des fichiers de configuration de client VPN pour les deux types de profils.
Profils globaux
Le profil global associé à une configuration de VPN utilisateur pointe vers un gestionnaire de trafic global. Le gestionnaire de trafic global inclut tous les hubs VPN utilisateur actifs qui utilisent cette configuration de VPN utilisateur. Toutefois, si nécessaire, vous pouvez exclure des hubs de Global Traffic Manager. Un utilisateur connecté au profil global est dirigé vers le hub le plus proche de son emplacement géographique. Cela est particulièrement utile si vous avez des utilisateurs qui voyagent entre plusieurs emplacements fréquemment.
Par exemple, une configuration de VPN utilisateur est associée à deux hubs différents pour le même réseau étendu virtuel, un dans la région USA Ouest et l’autre dans Asie Sud-Est. Si un utilisateur se connecte au profil global associé à la configuration VPN utilisateur, il se connecte au hub Virtual WAN le plus proche en fonction de son emplacement.
Important
Si une configuration VPN point à site utilisée pour un profil global est configurée pour authentifier les utilisateurs à l’aide du protocole RADIUS, assurez-vous que « Utiliser le serveur RADIUS distant/local » est activé pour toutes les passerelles VPN point à site à l’aide de cette configuration. De plus, assurez-vous que votre serveur RADIUS est configuré pour accepter les demandes d’authentification provenant des adresses IP du proxy RADIUS de toutes les passerelles VPN point à site à l’aide de cette configuration VPN.
Télécharger un profil VPN global
Pour générer et télécharger des fichiers de configuration de profil client VPN, procédez comme suit :
Accédez au WAN virtuel.
Dans le volet gauche, sélectionnez Configurations VPN utilisateur.
Dans la page Configurations de VPN utilisateur, vous verrez toutes les configurations de VPN utilisateur que vous avez créées pour votre WAN virtuel. Dans la colonne Hub, vous verrez les hubs associés à chaque configuration de VPN utilisateur. Cliquez sur le bouton > pour développer et afficher les noms des hubs.
Dans l’exemple suivant, vous voyez plusieurs lignes avec des hubs qui utilisent la même configuration de VPN utilisateur. Dans un profil global, lorsque les hubs utilisent la même configuration de VPN utilisateur, vous pouvez cliquer sur n’importe quelle ligne de hub avec la configuration de VPN utilisateur souhaitée. Les fichiers de profil que vous générez à partir de cette page s’alignent sur la configuration de VPN utilisateur, et non sur un hub particulier. Si vous souhaitez limiter vos utilisateurs VPN à se connecter à un seul hub (vous ne souhaitez pas utiliser de profil global), utilisez plutôt les étapes de Profil hub.
Dans l’exemple, nous avons sélectionné la ligne avec Hub2, mais la sélection de Hub3 ou Hub1 générerait les mêmes fichiers de configuration de profil. Toutefois, si nous avions sélectionné la ligne avec Hub6, les fichiers de configuration de profil seraient différents, car Hub6 utilise une configuration de VPN utilisateur différente.
Cliquez sur une ligne contenant la configuration de VPN utilisateur que vous souhaitez utiliser. Cela met en évidence toute la ligne. Ensuite, cliquez sur Télécharger le profil VPN utilisateur du WAN virtuel.
Sur la page Télécharger un VPN d’utilisateur de WAN virtuel, sélectionnez EAPTLS, puis cliquez sur Générer et télécharger un profil. Un package de profil (fichier zip) contenant les paramètres de configuration du client VPN est généré et téléchargé sur votre ordinateur. Le contenu du package dépend des hubs et des choix de type d’authentification et de tunnel pour la configuration que vous avez sélectionnée.
Inclure ou exclure un hub d’un profil global
Par défaut, chaque hub qui utilise la même configuration de VPN utilisateur est inclus dans le profil VPN global que vous générez et téléchargez. Cependant, vous pouvez choisir d’exclure un hub du profil VPN global. Si vous le faites, le client VPN ne sera pas équilibré en charge pour se connecter à la passerelle de ce hub.
Pour vérifier si un hub est inclus dans le profil VPN global, accédez au Virtual WAN.
Dans la page Vue d’ensemble, sélectionnez Hubs.
Dans la page Hubs, cliquez sur le hub.
Sur la page Hub virtuel, dans le volet de gauche, sélectionnez VPN utilisateur (point à site).
Sur la page VPN utilisateur (point à site), consultez État de l’attachement de la passerelle pour déterminer si ce hub est inclus dans le profil VPN global. Si l’état est Attaché, le hub est inclus. Si l’état est Détaché, le hub n’est pas inclus.
Pour inclure ou exclure (attacher ou détacher) le hub à partir du profil VPN global, sélectionnez Inclure/Exclure la passerelle dans le profil global.
Dans la page Inclure/Exclure, effectuez l’un des choix suivants.
Cliquez sur Exclure si vous souhaitez supprimer la passerelle de ce hub dans le profil VPN utilisateur global Virtual WAN. Les utilisateurs qui utilisent le profil du hub pourront néanmoins toujours se connecter à la passerelle de ce hub. Les utilisateurs qui utilisent ce profil global ne pourront pas se connecter à la passerelle de ce hub.
Cliquez sur Inclure si vous souhaitez inclure la passerelle de ce hub dans le profil VPN utilisateur global Virtual WAN. Les utilisateurs qui utilisent ce profil de niveau WAN seront en mesure de se connecter à cette passerelle.
Meilleures pratiques relatives aux profils globaux
Ajouter plusieurs certificats de validation de serveur
Cette section concerne les connexions à l’aide du type de tunnel OpenVPN et d’Azure VPN Client version 2.1963.44.0 ou ultérieure.
Lorsque vous configurez une passerelle P2S de hub, Azure affecte un certificat interne à la passerelle. Cela est différent des informations de certificat racine que vous spécifiez lorsque vous souhaitez utiliser l’authentification par certificat comme méthode d’authentification. Le certificat interne affecté au hub est utilisé pour tous les types d’authentification. Cette valeur est représentée dans les fichiers de configuration de profil que vous générez en tant que serveurvalidation/cert/hash. Le client VPN utilise cette valeur dans le cadre du processus de connexion.
Si vous avez plusieurs hubs dans différentes régions géographiques, chaque hub peut utiliser un certificat de validation de serveur différent au niveau Azure. Le profil global contient la valeur de hachage du certificat de validation du serveur pour tous les hubs. Cela signifie que si le certificat de ce hub ne fonctionne pas correctement pour une raison quelconque, le client disposera toujours de la valeur de hachage de certificat de validation de serveur nécessaire pour les autres hubs.
Important
La configuration du client VPN Azure avec la valeur de hachage de certificat de tous les hubs est requise uniquement si ces derniers ont différents émetteurs racine de serveur.
En guise de meilleure pratique, nous vous recommandons de mettre à jour votre fichier de configuration de profil client VPN afin d’inclure la valeur de hachage de certificat de tous les hubs attachés au profil global, puis de configurer Azure VPN Client à l’aide du fichier mis à jour.
Générez et téléchargez les fichiers de profil global. Utilisez un éditeur de texte pour ouvrir le fichier azurevpnconfig.xml.
Étant donné l’exemple xml suivant, configurez le client VPN Azure à l’aide du fichier de configuration de profil global qui contient le hachage de certificat de validation du serveur pour chaque hub.
</protocolconfig> <serverlist> <ServerEntry> <displayname i:nil="true" /> <fqdn>wan.kycyz81dpw483xnf3fg62v24f.vpn.azure.com</fqdn> </ServerEntry> </serverlist> <servervalidation> <cert> <hash>A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436</hash> <issuer i:nil="true" /> </cert> <cert> <hash>59470697201baejC4B2D7D66D40C6DD2FB19C5436</hash> <issuer i:nil="true" /> </cert> <cert> <hash>cab20a7f63f00f2bae76202gdfe36db3a03a9cb9</hash> <issuer i:nil="true" /> </cert>
Profils hub
Utilisez ce type de profil lorsque vous souhaitez que les utilisateurs VPN puissent se connecter uniquement à un hub spécifié. Les fichiers que vous générez et téléchargez au niveau du hub contiennent des paramètres différents des fichiers que vous générez et téléchargez sur le profil global au niveau du WAN.
Télécharger un profil VPN hub
Pour générer et télécharger des fichiers de configuration de profil client VPN, procédez comme suit :
Accédez au hub virtuel.
Dans le volet gauche, sélectionnez VPN utilisateur (point à site).
Sélectionnez Télécharger le profil VPN utilisateur du hub virtuel.
Dans la page de téléchargement, sélectionnez EAPTLS, puis Générer et télécharger le profil. Un package de profil (fichier zip) contenant les paramètres de configuration du client est généré et téléchargé sur votre ordinateur. Le contenu du package dépend des choix de hub, d’authentification et de type de tunnel de votre configuration.
Étapes suivantes
Pour plus d’informations sur le VPN utilisateur, consultez Création de connexions point à site VPN utilisateur.