Configurer une connexion VPN point à site à un réseau virtuel à l’aide de plusieurs types d’authentification : portail Azure

  • Article

Cet article vous permet de connecter de façon sécurisée des clients individuels qui exécutent Windows, Linux ou macOS à un réseau virtuel Azure. Les connexions VPN point à site sont utiles quand vous souhaitez vous connecter à votre réseau virtuel partir d’un emplacement distant, par exemple quand vous télétravaillez à domicile ou que vous êtes en conférence. La connexion P2S est une solution alternative au VPN de site à site lorsque seul un nombre restreint de clients doivent se connecter à un réseau virtuel. Les connexions point à site ne nécessitent pas de périphérique VPN ou d’adresse IP publique. La connexion P2S crée la connexion VPN via SSTP (Secure Socket Tunneling Protocol) ou IKEv2. Pour plus d’informations sur le VPN point à site, consultez À propos du VPN point à site.

Diagramme de connexion point à site d’un ordinateur à un réseau virtuel Azure

Pour plus d’informations sur le VPN point à site, consultez À propos du VPN point à site. Pour créer cette configuration à l’aide d’Azure PowerShell, consultez Configurer un VPN point à site à l’aide d’Azure PowerShell.

Prérequis

Assurez-vous de disposer d’un abonnement Azure. Si vous ne disposez pas déjà d’un abonnement Azure, vous pouvez activer vos avantages abonnés MSDN ou créer un compte gratuit.

Plusieurs types d’authentification sur la même passerelle VPN sont pris en charge uniquement avec le type de tunnel OpenVPN.

Exemples de valeurs

Vous pouvez utiliser ces valeurs pour créer un environnement de test ou vous y référer pour mieux comprendre les exemples de cet article :

  • Nom du réseau virtuel : VNet1
  • Espace d’adressage : 10.1.0.0/16
    Pour cet exemple, nous n’utilisons qu’un seul espace d’adressage. Vous pouvez avoir plusieurs espaces d’adressage pour votre réseau virtuel.
  • Nom du sous-réseau : FrontEnd
  • Plage d'adresses du sous-réseau : 10.1.0.0/24
  • Abonnement : vérifiez que vous utilisez l’abonnement approprié si vous en possédez plusieurs.
  • Groupe de ressources : TestRG1
  • Emplacement : USA Est
  • GatewaySubnet : 10.1.255.0/27
  • Référence SKU : VpnGw2
  • Génération : Génération 2
  • Type de passerelle : VPN
  • Type de VPN : basé sur la route
  • Nom de l'adresse IP publique : VNet1GWpip
  • Type de connexion : Point à site
  • Pool d'adresses des clients : 172.16.201.0/24
    Les clients VPN qui se connectent au réseau virtuel à l’aide de cette connexion point à site reçoivent une adresse IP de ce pool d’adresses des clients.

Créez un réseau virtuel

Avant de commencer, assurez-vous que vous disposez d’un abonnement Azure. Si vous ne disposez pas déjà d’un abonnement Azure, vous pouvez activer vos avantages abonnés MSDN ou créer un compte gratuit.

Remarque

Lorsque vous utilisez un réseau virtuel dans le cadre d’une architecture intersite, veillez à coordonner avec votre administrateur réseau local pour créer une plage d’adresses IP que vous pouvez utiliser spécifiquement pour ce réseau virtuel. Si une plage d’adresses en double existe des deux côtés de la connexion VPN, le trafic sera acheminé de manière inattendue. En outre, si vous souhaitez connecter ce réseau virtuel à un autre réseau virtuel, l’espace d’adressage ne peut pas chevaucher l’autre réseau virtuel. Planifiez votre configuration réseau en conséquence.

  1. Connectez-vous au portail Azure.

  2. Dans recherche de ressources, de service et de documents (G+/) en haut de la page du portail, entrez réseau virtuel. Sélectionnez réseau virtuel dans les résultats de recherche Place de marché pour ouvrir la page réseau virtuel.

  3. Dans la page réseau virtuel, sélectionnez Créer pour ouvrir la page Créer un réseau virtuel.

  4. Sous l’onglet De base, configurez les paramètres de réseau virtuel pour détails du projet et les détails de l’instance. Une coche verte s’affiche lorsque les valeurs que vous entrez sont validées. Vous pouvez ajuster les valeurs affichées dans l’exemple en fonction des paramètres dont vous avez besoin.

    Capture d’écran montrant l’onglet De base.

    • Abonnement: vérifiez que l’abonnement listé est approprié. Vous pouvez modifier les abonnements à l’aide de la zone de liste déroulante.
    • Groupe de ressources : sélectionnez un groupe de ressources existant ou sélectionnez Créer nouveau pour en créer un. Pour plus d’informations sur les groupes de ressources, consultez Vue d’ensemble d’Azure Resource Manager.
    • Name : entrez le nom du réseau virtuel.
    • Région: sélectionnez l’emplacement de votre réseau virtuel. L’emplacement détermine l’emplacement où les ressources que vous déployez sur ce réseau virtuel seront actives.

  5. Sélectionnez suivant ou sécurité pour accéder à l’onglet Sécurité. Pour cet exercice, conservez les valeurs par défaut pour tous les services de cette page.

  6. Sélectionnez adresses IP pour accéder à l’onglet Adresses IP. Sous l’onglet adresses IP, configurez les paramètres.

    • Espace d’adressage IPv4 : Un espace d’adressage est créé automatiquement par défaut. Vous pouvez sélectionner l’espace d’adressage et le définir selon vos propres valeurs. Vous pouvez également ajouter un autre espace d’adressage et supprimer la valeur par défaut créée automatiquement. Par exemple, vous pouvez spécifier l’adresse de départ comme 10.1.0.0 et spécifier la taille de l’espace d’adressage comme /16. Sélectionnez ensuite Ajouter pour ajouter cet espace d’adressage.

    • + Ajouter un sous-réseau : si vous utilisez l’espace d’adressage par défaut, un sous-réseau par défaut est créé automatiquement. Si vous modifiez l’espace d’adressage, ajoutez un nouveau sous-réseau dans cet espace d’adressage. Sélectionnez + Ajouter un sous-réseau pour ouvrir la fenêtre Ajouter un sous-réseau. Configurez les paramètres suivants, puis sélectionnez Ajouter en bas de la page pour ajouter les valeurs.

      • Nom de sous-réseau: un exemple est FrontEnd.
      • Plage d’adresses de sous-réseau : plage d’adresses de ce sous-réseau. Les exemples sont 10.1.0.0 et /24.

  7. Passez en revue la page Adresses IP, puis supprimez les espaces d’adressage ou les sous-réseaux dont vous n’avez pas besoin.

  8. Sélectionnez Vérifier + créer pour vérifier les paramètres de réseau virtuel.

  9. Une fois les paramètres validés, sélectionnez Créer pour créer le réseau virtuel.

Passerelle de réseau virtuel

Dans cette étape, vous créez la passerelle de réseau virtuel de votre réseau virtuel. La création d’une passerelle nécessite généralement au moins 45 minutes, selon la référence SKU de passerelle sélectionnée.

Notes

La référence SKU de la passerelle De base ne prend pas en charge le type de tunnel OpenVPN.

La passerelle de réseau virtuel nécessite un sous-réseau spécifique nommé GatewaySubnet. Le sous-réseau de passerelle fait partie de la plage d’adresses IP de votre réseau virtuel et contient les adresses IP utilisées par les ressources et services de passerelle de réseau virtuel.

Lorsque vous créez le sous-réseau de passerelle, vous spécifiez le nombre d’adresses IP que contient le sous-réseau. Le nombre d’adresses IP requises varie selon la configuration de la passerelle VPN que vous souhaitez créer. Certaines configurations nécessitent plus d’adresses IP que d’autres. Il est préférable de spécifier /27 ou supérieur (/26,/25, etc.) pour votre sous-réseau de passerelle.

Si vous voyez une erreur qui spécifie que l’espace d’adressage se chevauche avec un sous-réseau ou que le sous-réseau n’est pas contenu dans l’espace d’adressage de votre réseau virtuel, vérifiez votre plage d’adresses de réseau virtuel. Vous n’avez peut-être pas suffisamment d’adresses IP disponibles dans la plage d’adresses que vous avez créée pour votre réseau virtuel. Par exemple, si votre sous-réseau par défaut englobe l’ensemble de la plage d’adresses, aucune adresse IP n’est laissée pour créer d’autres sous-réseaux. Vous pouvez ajuster vos sous-réseaux dans l’espace d’adressage existant pour libérer des adresses IP ou spécifier une autre plage d’adresses et y créer le sous-réseau de passerelle.

  1. Dans rechercher des ressources, des services et des documents (G+/), entrez passerelle de réseau virtuel. Recherchez passerelle de réseau virtuel dans les résultats de recherche place de marché et sélectionnez-la pour ouvrir la page Créer une passerelle de réseau virtuel.

  2. Sous l’onglet Général, renseignez les valeurs pour Détails du projet et Détails de l’instance.

    Capture d’écran montrant les champs de l’instance.

    • Abonnement: sélectionnez l’abonnement que vous souhaitez utiliser dans la liste déroulante.

    • Groupe de ressources : ce paramètre est renseigné automatiquement quand vous sélectionnez votre réseau virtuel sur cette page.

    • Name : Nommez votre passerelle. Le nommage de votre passerelle n’est pas identique au nommage d’un sous-réseau de passerelle. Il s’agit du nom de l’objet passerelle que vous créez.

    • Région : Sélectionnez la région où vous voulez créer cette ressource. La région de la passerelle doit être la même que celle du réseau virtuel.

    • Type de passerelle : Sélectionnez VPN. Les passerelles VPN utilisent le type de passerelle de réseau virtuel VPN.

    • référence SKU: dans la liste déroulante, sélectionnez la référence SKU de passerelle qui prend en charge les fonctionnalités que vous souhaitez utiliser. Consultez SKU de passerelle. Dans le portail, les références SKU disponibles dans la liste déroulante dépendent des VPN type que vous sélectionnez. La référence SKU de base peut être configurée seulement avec Azure CLI ou PowerShell. Vous ne pouvez pas configurer la référence SKU de base dans le portail Azure.

    • Génération : sélectionnez la génération que vous voulez utiliser. Nous vous recommandons d’utiliser une référence SKU Génération2. Pour plus d’informations, consultez l’article Références (SKU) de passerelle.

    • Réseau virtuel: dans la liste déroulante, sélectionnez le réseau virtuel auquel vous souhaitez ajouter cette passerelle. Si vous ne voyez pas le réseau virtuel pour lequel vous souhaitez créer une passerelle, vérifiez que vous avez sélectionné l’abonnement et la région appropriés dans les paramètres précédents.

    • Plage d’adresses de sous-réseau de passerelle ou sous-réseau: le sous-réseau de passerelle est requis pour créer une passerelle VPN.

      À ce stade, ce champ a deux comportements différents, selon l’espace d’adressage du réseau virtuel et si vous avez déjà créé un sous-réseau nommé GatewaySubnet pour votre réseau virtuel.

      Si vous n’avez pas de sous-réseau de passerelle et que vous ne voyez pas l’option de en créer une sur cette page, revenez à votre réseau virtuel et créez le sous-réseau de passerelle. Revenez ensuite à cette page et configurez la passerelle VPN.

  1. Spécifiez les valeurs de adresse IP publique. Ces paramètres spécifient l’objet d’adresse IP publique associé à la passerelle VPN. L’adresse IP publique est attribuée à cet objet pendant la création de la passerelle VPN. L’adresse IP publique primaire change uniquement lorsque la passerelle est supprimée, puis recréée. Elle n’est pas modifiée lors du redimensionnement, de la réinitialisation ou des autres opérations de maintenance/mise à niveau internes de votre passerelle VPN.

    Capture d’écran montrant le champ Adresse IP publique.

    • Type d’adresse IP publique : si cette option se présente, sélectionnez Standard. Le niveau tarifaire (SKU) d’adresse IP publique Essentiel est uniquement pris en charge pour des passerelles de réseau privé virtuel de SKU Essentiel.
    • Adresse IP publique : Laissez l’option Créer sélectionnée.
    • nom d’adresse IP publique: dans la zone de texte, entrez un nom pour votre instance d’adresse IP publique.
    • SKU d’adresse IP publique : le paramètre est sélectionné automatiquement.
    • Attribution : l’attribution est généralement sélectionnée automatiquement. Pour le SKU Standard, l’attribution est toujours Statique.
    • Activer le mode Actif-Actif : sélectionnez Désactivé. Activez ce paramètre uniquement si vous créez une configuration de passerelle active-active.
    • Configurer BGP : sélectionnez Désactivé, sauf si votre configuration nécessite précisément ce paramètre. Si vous avez besoin de ce paramètre, la valeur par défaut ASN est 65515, même si vous pouvez la changer.

  2. Sélectionnez Vérifier + créer pour exécuter la validation.

  3. Une fois la validation réussie, sélectionnez Créer pour déployer la passerelle VPN.

Vous pouvez voir l’état du déploiement dans la page vue d’ensemble pour votre passerelle. La création et le déploiement complets d’une passerelle peuvent souvent prendre 45 minutes ou plus. Une fois la passerelle créée, examinez le réseau virtuel dans le portail pour obtenir l’adresse IP affectée à la passerelle. Cette dernière apparaît sous la forme d’un appareil connecté.

Important

Lorsque vous travaillez avec des sous-réseaux de passerelle, évitez d’associer un groupe de sécurité réseau (NSG) au sous-réseau de passerelle. Associer un groupe de sécurité réseau à ce sous-réseau peut empêcher votre passerelle de réseau virtuel (passerelles VPN et ExpressRoute) de fonctionner comme prévu. Pour plus d’informations sur les groupes de sécurité réseau, consultez Présentation du groupe de sécurité réseau ?.

Pool d’adresses des clients

Le pool d’adresses des clients est une plage d’adresses IP privées que vous spécifiez. Les clients qui se connectent via un VPN point à site reçoivent de façon dynamique une adresse IP de cette plage. Utilisez une plage d’adresses IP privées qui ne chevauche ni l’emplacement local à partir duquel vous vous connectez ni le réseau virtuel auquel vous souhaitez vous connecter. Si vous configurez plusieurs protocoles et que SSTP est l’un d’entre eux, le pool d’adresses configuré est réparti de manière égale entre les protocoles configurés.

  1. Une fois la passerelle de réseau virtuel créée, accédez à la section Paramètres de la page Passerelle de réseau virtuel. Dans Paramètres, sélectionnez Configuration de point à site. Sélectionnez Configurer pour ouvrir la page de configuration.

    Capture d’écran de la page de configuration de point à site.

  2. Sur la page Configuration de point à site, vous pouvez configurer divers paramètres. Dans la zone Pool d’adresses, ajoutez la plage d’adresses IP privées que vous souhaitez utiliser. Les clients VPN reçoivent dynamiquement une adresse IP à partir de la plage que vous spécifiez. Le masque minimal de sous-réseau est de 29 bits pour la configuration active/passive, et de 28 bits pour la configuration active/active.

    Capture d’écran du pool d’adresses client.

  3. Passez à la section suivante pour configurer les différents types d’authentification et de tunnels.

Types d’authentification et de tunnels

Dans cette section, vous allez configurer le type d’authentification et le type de tunnel. Dans la page Configuration point à site, si vous ne voyez pas Type de tunnel ou Type d’authentification, cela signifie que votre passerelle utilise la référence SKU De base. La référence SKU de base ne prend pas en charge IKEv2 ou l’authentification RADIUS. Si vous souhaitez utiliser ces paramètres, vous devez supprimer et recréer la passerelle à l’aide d’une autre référence SKU de passerelle.

Important

Le portail Azure met actuellement à jour les champs Azure Active Directory vers Entra. Si vous voyez Microsoft Entra ID référencé, mais que vous ne voyez pas encore ces valeurs dans le portail, vous pouvez sélectionner des valeurs Azure Active Directory.

Capture d’écran des types d’authentification et du type de tunnel.

Type de tunnel

Dans la page Configuration point à site, sélectionnez les types souhaités. Les options sont les suivantes :

  • OpenVPN (SSL)
  • SSTP (SSL)
  • IKEv2
  • IKEv2 et OpenVPN (SSL)
  • IKEv2 et SSTP (SSL)

Type d'authentification

Pour le Type d’authentification, sélectionnez les types souhaités. Les options sont les suivantes :

  • Certificat Azure
  • RADIUS
  • Microsoft Entra ID

Consultez le tableau ci-dessous pour vérifier les mécanismes d’authentification compatibles avec les types de tunnel sélectionnés.

Type de tunnel Mécanisme d’authentification
OpenVPN Tout sous-ensemble de Microsoft Entra ID, de Radius Auth et de certificat Azure
SSTP Radius Auth/Certificat Azure
IKEv2 Radius Auth/Certificat Azure
IKEv2 et OpenVPN Radius Auth, Certificat Azure, Microsoft Entra ID et Radius Auth, Microsoft Entra ID et Certificat Azure
IKEv2 et SSTP Radius Auth/Certificat Azure

Remarque

Pour le type de tunnel « IKEv2 et OpenVPN » et les mécanismes d’authentification sélectionnés « Microsoft Entra ID et Radius » ou « Microsoft Entra ID et certificat Azure », Microsoft Entra ID fonctionne uniquement pour OpenVPN, car il n’est pas pris en charge par IKEv2

En fonction du ou des types d’authentification sélectionnés, vous verrez différents champs de paramètres de configuration qui devront être remplis. Renseignez les informations requises et sélectionnez Enregistrer en haut de la page pour enregistrer tous les paramètres de configuration.

Pour plus d'informations sur le type d’authentification, consultez :

Package de configuration du client VPN

Les clients VPN doivent être configurés avec les paramètres de configuration de client. Le package de configuration du client VPN contient des fichiers où se trouvent des paramètres permettant de configurer les clients VPN en vue de se connecter à un réseau virtuel via une connexion P2S.

Pour obtenir des instructions sur la génération et l’installation des fichiers de configuration du client VPN, utilisez l’article correspondant à votre configuration :

Authentification Type de tunnel Générer des fichiers config Configurer le client VPN
Certificat Azure IKEv2, SSTP Windows Client VPN natif
Certificat Azure OpenVPN Windows - Client OpenVPN
- Client VPN Azure
Certificat Azure IKEv2, OpenVPN macOS-iOS macOS-iOS
Certificat Azure IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS - certificat - Article Article
RADIUS - mot de passe - Article Article
RADIUS - autres méthodes - Article Article

Forum Aux Questions sur les connexions point à site

Pour obtenir des informations sur les questions fréquentes (FAQ) sur les connexions point à site, consultez les sections correspondantes des FAQ sur la passerelle VPN.

Étapes suivantes

Une fois la connexion achevée, vous pouvez ajouter des machines virtuelles à vos réseaux virtuels. Pour plus d’informations, consultez Machines virtuelles. Pour plus d’informations sur la mise en réseau et les machines virtuelles, consultez Vue d’ensemble du réseau de machines virtuelles Azure et Linux.

Pour plus d’informations sur la résolution des problèmes liés aux connexions de point à site, consultez l’article Résolution des problèmes de connexion de point à site Azure.