Connecter une passerelle VPN (passerelle de réseau virtuel) à Virtual WAN

  • Article

Cet article vous aide à configurer la connectivité depuis une passerelle VPN Azure (passerelle de réseau virtuel) à une passerelle VPN Azure Virtual WAN. La création d’une connexion à partir d’une passerelle VPN (passerelle de réseau virtuel) à un WAN virtuel (passerelle VPN) est similaire à la configuration de la connectivité à un réseau étendu virtuel à partir de sites VPN de branche.

Afin de minimiser la confusion possible entre deux fonctionnalités, nous allons faire précéder la passerelle du nom de la fonctionnalité à laquelle nous faisons référence. Par exemple, passerelle de réseau virtuel de passerelle VPN et passerelle VPN Virtual WAN.

Avant de commencer

Avant de démarrer, créez les ressources suivantes :

WAN virtuel Azure

Réseau virtuel (pour la passerelle de réseau virtuel)

  • Créez un réseau virtuel sans aucune passerelle de réseau virtuel. Dans les étapes ultérieures, ce réseau virtuel sera configuré avec une passerelle de réseau virtuel active/active. Vérifiez qu’aucun des sous-réseaux de votre réseau local ne chevauche les réseaux virtuels auxquels vous souhaitez vous connecter.

1. Configurer la passerelle de réseau virtuel Passerelle VPN

Dans cette section, vous allez créer une passerelle de réseau virtuel VPN pour votre réseau virtuel en mode actif/actif. Lorsque vous créez la passerelle, vous pouvez utiliser des adresses IP publiques existantes pour les deux instances de la passerelle ou vous pouvez créer de nouvelles adresses IP publiques. Vous allez utiliser ces adresses IP publiques lors de la configuration des sites WAN virtuels.

  1. Créez une passerelle de réseau virtuel VPN pour votre réseau virtuel en mode actif/actif. Pour plus d’informations sur les passerelles VPN en mode actif/actif et les étapes de configuration, consultez Configuration de passerelles VPN en mode actif/actif.

  2. Les sections suivantes montrent des exemples de paramètres pour votre passerelle de réseau virtuel.

    • Paramètre de mode actif-actif : sur la page Configuration de la passerelle de réseau virtuel, assurez-vous que le mode actif-actif est activé.

      Capture d’écran montrant une passerelle de réseau virtuel avec le mode actif/actif activé.

    • Paramètre BGP : sur la page Configuration de la passerelle de réseau virtuel, vous pouvez (si vous le souhaitez) sélectionner Configurer l’ASN BGP. Si vous configurez le protocole BGP, remplacez la valeur par défaut de l’ASN indiquée dans le portail. Pour cette configuration, l’ASN BGP ne peut pas être 65515. 65515 sera utilisé par Azure Virtual WAN.

      Capture d’écran montrant une page de configuration de passerelle de réseau virtuel avec l’option Configurer l’ASN BGP sélectionnée.

    • Adresses IP publiques : une fois la passerelle créée, accédez à la page Propriétés. Les propriétés et les paramètres de configuration sont similaires à l’exemple suivant. Notez les deux adresses IP publiques qui sont utilisées pour la passerelle.

      Capture d’écran montrant une page Propriétés de la passerelle de réseau virtuel avec les propriétés sélectionnées.

2. Créer des sites VPN Virtual WAN

Dans cette section, vous allez créer deux sites VPN Virtual WAN qui correspondent aux passerelles de réseau virtuel que vous avez créées dans la section précédente.

  1. Sur la page Virtual WAN, accédez à Sites VPN.

  2. Sur la page Sites VPN, sélectionnez +Créer un site.

  3. Dans la page Créer un site VPN, sous l’onglet De base, renseignez les champs suivants :

    • Région : même région que la passerelle de réseau virtuel de la passerelle VPN Azure.
    • Nom : exemple : Site1
    • Fournisseur de périphériques : nom du fournisseur de périphériques VPN (par exemple : Citrix, Cisco, Barracuda). L’ajout du fournisseur de périphériques peut aider l’équipe Azure à mieux comprendre votre environnement afin d’y ajouter des possibilités d’optimisation supplémentaires ou pour vous aider à résoudre les problèmes.
    • Espace d’adressage privé : entrez une valeur ou laissez vide lorsque le protocole BGP est activé.

  4. Sélectionnez Suivant : Liens> pour passer à la page Liens.

  5. Sur la page Liens, renseignez les champs suivants :

    • Nom du lien : nom que vous souhaitez fournir pour le lien physique sur le site VPN. Exemple : Link1.
    • Vitesse de liaison : vitesse du périphérique VPN à l’emplacement de la branche. Exemple : 50, ce qui signifie que 50 Mbits/s est la vitesse du périphérique VPN à l’emplacement de la branche.
    • Nom du fournisseur de lien : nom du lien physique sur le site VPN. Exemple : ATT, Verizon.
    • Adresse IP du lien : entrez l’adresse IP. Pour cette configuration, il s’agit de la même adresse que la première adresse IP publique indiquée sous les propriétés de la passerelle de réseau virtuel (de la passerelle VPN).
    • Adresse BGP et ASN : ces derniers doivent être identiques à l’une des adresses IP homologues BGP et à l’ASN de la passerelle de réseau virtuel de la passerelle VPN que vous avez configurée à l’étape 1.

  6. Une fois que vous avez terminé de renseigner les champs, sélectionnez Vérifier + créer pour vérifier. Sélectionnez Créer pour créer le site.

  7. Répétez les étapes précédentes pour créer le deuxième site correspondant à la deuxième instance de la passerelle de réseau virtuel de la passerelle VPN. Vous conservez les mêmes paramètres, à l’exception de la deuxième adresse IP publique et de la deuxième adresse IP homologue BGP de la configuration de la passerelle VPN.

  8. Vous disposez maintenant de deux sites correctement approvisionnés.

3. Connecter les sites au hub virtuel

Connectez ensuite les deux sites à votre hub virtuel en procédant comme suit. Pour plus d’informations sur la connexion de sites, consultez Connecter les sites VPN à un hub virtuel.

  1. Dans la page de votre WAN virtuel, accédez à Hubs.

  2. Dans la page Hubs, cliquez sur le hub que vous avez créé.

  3. Sur la page du hub que vous avez créé, dans le volet de gauche, sélectionnez VPN (site à site).

  4. Sur la page VPN (site à site), vous devriez voir vos sites. Si ce n’est pas le cas, vous devrez peut-être cliquer sur la bulle Association de hub : x pour effacer les filtres et voir votre site.

  5. Cochez la case en regard du nom des deux sites (ne cliquez pas directement sur le nom du site), puis cliquez sur Connecter les sites VPN.

  6. Dans la page Connecter des sites, configurez les paramètres. Veillez à noter la valeur de la clé pré-partagée que vous utilisez. Elle sera de nouveau utilisée plus loin dans l’exercice lorsque vous créez vos connexions.

  7. En bas de la page, sélectionnez Connecter. Il faut un peu de temps pour que le hub soit mis à jour avec les paramètres du site.

4. Télécharger les fichiers de configuration VPN

Dans cette section, vous téléchargez le fichier de configuration VPN pour les sites que vous avez créés dans la section précédente.

  1. Sur la page Virtual WAN, accédez à Sites VPN.

  2. Sur la page Sites VPN, en haut de la page, sélectionnez Télécharger la configuration VPN de site à site et téléchargez le fichier. Azure crée un fichier de configuration avec les valeurs nécessaires utilisées pour configurer vos passerelles de réseau local dans la section suivante.

    Capture d’écran de la page des sites VPN avec l’action Télécharger la configuration VPN de site à site sélectionnée.

5. Créer les passerelles de réseau local

Dans cette section, vous créez deux passerelles de réseau local de passerelle VPN Azure. Les fichiers de configuration de l’étape précédente contiennent les paramètres de configuration de la passerelle. Utilisez ces paramètres pour créer et configurer les passerelles de réseau local de la passerelle VPN Azure.

  1. Créez la passerelle de réseau local en utilisant ces paramètres. Pour plus d’informations sur la création d’une passerelle de réseau local de passerelle VPN, consultez l’article sur la passerelle VPN Créer une passerelle de réseau local.

    • Adresse IP : utilisez l’adresse IP Instance0 indiquée pour gatewayconfiguration à partir du fichier de configuration.
    • BGP : si la connexion est sur BGP, sélectionnez Configurer les paramètres BGP et entrez l’ASN « 65515 ». Entrez l’adresse IP homologue BGP Utilisez « Instance0 BgpPeeringAddresses » pour gatewayconfiguration à partir du fichier de configuration.
    • Espace d’adressage : si la connexion n’est pas sur BGP, vérifiez que la case à cocher Configurer les paramètres BGP reste désactivée. Entrez les espaces d’adressage que vous allez publier du côté de la passerelle de réseau virtuel. Vous pouvez ajouter plusieurs plages d’espaces d’adressage. Assurez-vous que les plages que vous spécifiez ici ne se chevauchent pas avec les plages d’autres réseaux auxquels vous souhaitez vous connecter.
    • Abonnement, Groupe de ressources et Emplacement : ces paramètres sont les mêmes que pour le hub Virtual WAN.

  2. Vérifiez et créez la passerelle de réseau local. Votre passerelle de réseau local doit ressembler à cet exemple.

    Capture d’écran montrant la page de configuration avec une adresse IP mise en évidence pour la passerelle de réseau local 1.

  3. Répétez ces étapes pour créer une autre passerelle de réseau local, mais cette fois-ci, utilisez les valeurs « Instance1 » à la place des valeurs « Instance0 » du fichier de configuration.

    Capture d’écran montrant la page de configuration avec une adresse IP mise en évidence pour la passerelle de réseau local 2.

Important

Notez que lors de la configuration d’une connexion BGP sur IPsec à une adresse IP publique qui n’est PAS une adresse IP publique de passerelle vWAN avec l’ASN distant « 65515 », le déploiement de la passerelle de réseau local échoue, car l’ASN « 65515 » est un ASN réservé documenté, comme décrit dans Que ls systèmes autonomes puis-je utiliser ?. Cependant, quand la passerelle de réseau local lit l’adresse publique du vWAN avec l’ASN distant « 65515 », cette restriction est levée par la plateforme.

6. Créer des connexions

Dans cette section, vous créez une connexion entre les passerelles de réseau local de la passerelle VPN et la passerelle de réseau virtuel. Pour connaître les étapes de création d’une connexion de passerelle VPN, consultez Configurer une connexion.

  1. Dans le portail, accédez à votre passerelle de réseau virtuel, puis sélectionnez Connexions. En haut du panneau Connexions, sélectionnez +Ajouter pour ouvrir la page Ajouter une connexion.

  2. Sur la page Ajouter une connexion, configurez les valeurs suivantes de votre connexion :

    • Nom : Nommez votre connexion.
    • Type de connexion : Sélectionnez Site à site (IPsec)
    • Passerelle de réseau virtuel : la valeur est fixe, car vous vous connectez à partir de cette passerelle.
    • Passerelle de réseau local : Cette connexion connectera la passerelle de réseau virtuel à la passerelle de réseau local. Choisissez l’une des passerelles de réseau local que vous avez créées précédemment.
    • Clé partagée : entrez la clé partagée à partir d’une version antérieure.
    • Protocole IKE : Choisissez le protocole IKE.

  3. Sélectionnez OK pour créer votre connexion.

  4. Vous pouvez afficher la connexion dans la page Connexions de la passerelle de réseau virtuel.

  5. Répétez la procédure précédente pour créer une seconde connexion. Pour la deuxième connexion, sélectionnez l’autre passerelle de réseau local que vous avez créée.

  6. Si les connexions se font via BGP, une fois vos connexions créées, accédez à une connexion et sélectionnez Configuration. Dans la page Configuration, sélectionnez Activé pour BGP. Sélectionnez ensuite Enregistrer.

  7. Répétez cette opération pour la deuxième connexion.

7. Tester les connexions

Vous pouvez tester la connectivité en créant deux machines virtuelles, l’une sur le côté de la passerelle de réseau virtuel de la passerelle VPN et l’autre dans un réseau virtuel pour le WAN virtuel, puis effectuez un test ping sur les deux machines virtuelles.

  1. Créez une machine virtuelle dans le réseau virtuel (Test1-VNet) pour la passerelle VPN Azure (Test1-VNG). Ne créez pas la machine virtuelle dans le GatewaySubnet.

  2. Créez un autre réseau virtuel pour la connexion au WAN virtuel. Créez une machine virtuelle dans un sous-réseau de ce réseau virtuel. Votre réseau virtuel ne contient pas de passerelle de réseau virtuel. Vous pouvez rapidement créer un réseau virtuel à l’aide des étapes PowerShell de l’article Connexion de site à site. Veillez à modifier les valeurs avant d’exécuter les cmdlets.

  3. Connectez le réseau virtuel au hub Virtual WAN. Sur la page de votre WAN virtuel, sélectionnez Connexions de réseau virtuel, puis +Ajouter une connexion. Dans la page Ajouter une connexion, renseignez les champs suivants :

    • Nom de connexion : nommez votre connexion.
    • Hubs : sélectionnez le hub que vous souhaitez associer à cette connexion.
    • Abonnement : vérifiez l’abonnement.
    • Réseau virtuel : sélectionnez le réseau virtuel que vous souhaitez connecter à ce hub. Le réseau virtuel ne peut pas avoir une passerelle de réseau virtuel déjà existante.

  4. Sélectionnez OK pour créer la connexion de réseau virtuel.

  5. La connectivité est maintenant définie entre les machines virtuelles. Vous devez être en mesure d’effectuer un test ping sur une machine virtuelle à partir de l’autre, sauf si des pare-feu ou d’autres stratégies bloquent la communication.

Étapes suivantes