Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Une connexion de passerelle de réseau virtuel point à site (P2S) vous permet de créer une connexion sécurisée à votre réseau virtuel à partir d'un ordinateur client. Une connexion P2S est établie en étant démarrée à partir de l’ordinateur client. Cet article évoque les façons de franchir la limite des 128 connexions simultanées de SSTP en transitionnant vers le protocole OpenVPN ou IKEv2.
Quel protocole est utilisé par le P2S ?
La connexion VPN point à site peut utiliser un des protocoles suivants :
Protocole OpenVPN®, un protocole VPN basé sur SSL/TLS. Une solution VPN SSL peut traverser les pare-feux, car la plupart d’entre eux ouvrent le port TCP 443 vers l’extérieur, que SSL utilise. OpenVPN peut être utilisé pour se connecter à partir d’appareils Android, iOS (versions 11.0 et supérieures), Windows, Linux et Mac (macOS versions 12.x et supérieures).
Le Protocole SSTP (Secure Socket Tunneling Protocol) est un protocole propriétaire VPN basé sur le protocole SSL. Une solution VPN SSL peut pénétrer des pare-feu puisque la plupart des pare-feu ouvrent le port de sortie TCP 443 utilisé par le protocole SSL. SSTP est pris en charge sur les appareils Windows uniquement. Azure prend en charge toutes les versions de Windows disposant de SSTP (Windows 7 et versions ultérieures). SSTP prend en charge jusqu’à 128 connexions simultanées seulement, quelle que soit la référence SKU de la passerelle.
Un VPN IKEv2 est une solution VPN IPsec basée sur des normes. Un VPN IKEv2 peut être utilisé pour se connecter à partir d’appareils Mac (macOS 10.11 et versions ultérieures).
Remarque
La référence SKU Essentielle de la passerelle ne prend pas en charge les protocoles OpenVPN ou IKEv2. Si vous utilisez la référence SKU Essentielle, vous devez supprimer puis recréer une passerelle de réseau virtuel de référence SKU de production.
Migration de SSTP vers IKEv2 ou OpenVPN
Il peut y avoir des cas dans lesquels vous souhaitez prendre en charge plus de 128 connexions P2S simultanées vers une passerelle VPN, mais vous utilisez le SSTP. Dans ce cas, vous devez passer au protocole IKEv2 ou OpenVPN.
Option 1 : ajouter l’IKEv2 en plus du SSTP sur la passerelle
Il s’agit de l’option la plus simple. SSTP et IKEv2 peuvent coexister sur la même passerelle et vous offrent un plus grand nombre de connexions simultanées. Vous pouvez activer l’IKEv2 sur la passerelle existante et télécharger le package de configuration client contenant les paramètres mis à jour.
L’ajout d’IKEv2 à une passerelle VPN SSTP existante n’affecte pas les clients existants. Vous pouvez configurer ceux-ci de manière à utiliser IKEv2 en petits lots ou simplement configurer les nouveaux clients pour qu’ils utilisent IKEv2. Si un client Windows est configuré pour SSTP et IKEv2, il essaie d'abord de se connecter en utilisant IKEV2 et si cela échoue, il revient à SSTP.
IKEv2 utilise des ports UDP non standard. Vous devez donc vous assurer que ces ports ne sont pas bloqués sur le pare-feu de l’utilisateur. Les ports utilisés sont UDP 500 et 4500.
- Pour ajouter l’IKEv2 à une passerelle existante, accédez à votre passerelle de réseau virtuel dans le portail.
- Sélectionnez la Configuration point à site dans le volet de navigation de gauche.
- Dans la page de configuration point à site, pour l’option type de tunnel, sélectionnez IKEv2 et SSTP (SSL) dans la zone déroulante.
- Sélectionnez Appliquer pour appliquer vos modifications.
Remarque
Lorsque le SSTP et l’IKEv2 sont tous deux activés sur la passerelle, le pool d’adresses point à site se divise statiquement entre les deux. Cela fait en sorte que les clients utilisant des protocoles différents se voient attribuer des adresses IP de l’une ou l’autre sous-plage. Notez que le nombre maximal de clients SSTP est toujours 128. Le nombre maximum de clients SSTP est toujours supérieur à /24, entraînant une plus grande quantité d’adresses disponibles pour les clients IKEv2. Pour les plages plus petites, le pool est divisé en deux parties égales. Les sélecteurs de trafic utilisés par la passerelle peuvent ne pas inclure le routage CIDR de plage d’adresses point à site, mais peuvent inclure les deux routages CIDR de sous-plage.
Option 2 : supprimer le SSTP et activer OpenVPN sur la passerelle
SSTP et OpenVPN étant tous deux basés sur le protocole TLS, ils ne peuvent pas coexister sur la même passerelle. Si vous décidez de quitter SSTP pour OpenVPN, vous devrez désactiver SSTP et activer OpenVPN sur la passerelle. Cette opération entraîne la perte de connectivité des clients existants à la passerelle VPN jusqu'à ce que le nouveau profil soit configuré sur le client.
Vous pouvez activer OpenVPN en parallèle de IKEv2 si vous le souhaitez. OpenVPN est basé sur TLS et utilise le port TCP 443 standard.
- Pour passer à OpenVPN, accédez à votre passerelle de réseau virtuel dans le portail.
- Sélectionnez la Configuration point à site dans le volet de navigation de gauche.
- Dans la page de configuration point à site, pour l’option type de tunnel, sélectionnez OpenVPN (SSL) ou IKEv2 et OpenVPN (SSL) dans la zone déroulante.
- Sélectionnez Appliquer pour appliquer vos modifications.
Une fois la passerelle configurée, les clients existants ne pourront se connecter que lorsque vous aurez déployé et configuré les clients OpenVPN. Si vous utilisez Windows 10 ou version ultérieure, vous pouvez également utiliser Azure VPN Client.
Forum aux questions
Quelle est la configuration requise pour les clients ?
Notes
Pour les clients Windows, vous devez disposer des droits d’administrateur sur l’appareil client afin d’initialiser la connexion VPN à partir de l’appareil client vers Azure.
Les utilisateurs utilisent les clients VPN natifs sur les appareils Windows et Mac pour P2S. Azure fournit un fichier zip de configuration de client VPN qui contient les paramètres requis par ces clients natifs afin de se connecter à Azure.
- Pour les appareils Windows, la configuration du client VPN comprend un package d’installation que les utilisateurs installent sur leurs appareils.
- Pour les appareils Mac, elle contient un fichier mobileconfig que les utilisateurs installent sur leurs appareils.
Le fichier zip fournit également les valeurs de certains paramètres importants pour Azure que vous pouvez utiliser pour créer votre propre profil pour ces appareils. Ces valeurs incluent notamment l’adresse de passerelle VPN, les types de tunnel configurés, les itinéraires et le certificat racine pour la validation de la passerelle.
Notes
À compter du 1er juillet 2018, la passerelle VPN Azure ne prendra plus en charge TLS 1.0 et 1.1. Elle prendra uniquement en charge TLS 1.2. Seules les connexions de point à site sont affectées ; les connexions site à site ne le sont pas. Si vous utilisez le protocole TLS pour les VPN de point à site sur des clients Windows 10 ou version ultérieure, aucune action n’est nécessaire. Si vous utilisez le protocole TLS pour les connexions de point à site sur des clients Windows 7 et Windows 8, consultez Questions fréquentes (FAQ) sur la passerelle VPN pour obtenir des instructions de mise à jour.
Quelles références SKU de passerelle prennent en charge les VPN P2S ?
Le tableau suivant montre les références SKU de passerelle par tunnel, connexion et débit. Pour obtenir d’autres tableaux et plus d’informations sur ce tableau, consultez la section sur les références SKU de passerelle de l’article Paramètres de la passerelle VPN.
|
VPN Passerelle Génération |
Référence (SKU) |
S2S/VNet-to-VNet Tunnels |
P2S Connexions SSTP |
P2S Connexions IKEv2/OpenVPN |
Agrégat Évaluation du débit |
BGP | Redondant interzone | Nombre de machines virtuelles prises en charge dans le réseau virtuel |
|---|---|---|---|---|---|---|---|---|
| Génération1 | De base | Bande passante 10 | Bande passante 128 | Non pris en charge | 100 Mbits/s | Non pris en charge | Non | 200 |
| Génération1 | VpnGw1 | Bande passante 30 | Bande passante 128 | Bande passante 250 | 650 Mbits/s | Pris en charge | Non | 450 |
| Génération1 | VpnGw2 | Bande passante 30 | Bande passante 128 | Bande passante 500 | 1 Gbit/s | Pris en charge | Non | 1300 |
| Génération1 | VpnGw3 | Bande passante 30 | Bande passante 128 | Bande passante 1 000 | 1,25 Gbits/s | Pris en charge | Non | 4000 |
| Génération1 | VpnGw1AZ | Bande passante 30 | Bande passante 128 | Bande passante 250 | 650 Mbits/s | Pris en charge | Oui | 1000 |
| Génération1 | VpnGw2AZ | Bande passante 30 | Bande passante 128 | Bande passante 500 | 1 Gbit/s | Pris en charge | Oui | 2000 |
| Génération1 | VpnGw3AZ | Bande passante 30 | Bande passante 128 | Bande passante 1 000 | 1,25 Gbits/s | Pris en charge | Oui | 5 000 |
| Génération2 | VpnGw2 | Bande passante 30 | Bande passante 128 | Bande passante 500 | 1,25 Gbits/s | Pris en charge | Non | 685 |
| Génération2 | VpnGw3 | Bande passante 30 | Bande passante 128 | Bande passante 1 000 | 2,5 Gbits/s | Prise en charge | Non | 2240 |
| Génération2 | VpnGw4 | Bande passante 100* | Bande passante 128 | Bande passante 5 000 | 5 Gbit/s | Prise en charge | Non | 5300 |
| Génération2 | VpnGw5 | Bande passante 100* | Bande passante 128 | Bande passante 10000 | 10 Gbits/s | Prise en charge | Non | 6700 |
| Génération2 | VpnGw2AZ | Bande passante 30 | Bande passante 128 | Bande passante 500 | 1,25 Gbits/s | Pris en charge | Oui | 2000 |
| Génération2 | VpnGw3AZ | Bande passante 30 | Bande passante 128 | Bande passante 1 000 | 2,5 Gbits/s | Prise en charge | Oui | 3300 |
| Génération2 | VpnGw4AZ | Bande passante 100* | Bande passante 128 | Bande passante 5 000 | 5 Gbit/s | Prise en charge | Oui | 4400 |
| Génération2 | VpnGw5AZ | Bande passante 100* | Bande passante 128 | Bande passante 10000 | 10 Gbits/s | Prise en charge | Oui | 9000 |
Remarque
La référence SKU Essentielle a des limites et ne prend pas en charge l’IKEv2 ou l’authentification RADIUS.
Quelles stratégies IKE/IPsec sont configurées sur les passerelles VPN pour P2S ?
IKEv2
| Cipher | Intégrité | PRF | Groupe DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| Cipher | Intégrité | Groupe PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
Quelles stratégies TLS sont configurées sur les passerelles VPN pour P2S ?
TLS
| Stratégies |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**Uniquement pris en charge sur TLS1.3 avec OpenVPN
Comment configurer une connexion P2S ?
Une configuration P2S requiert quelques étapes spécifiques. Les articles suivants détaillent les étapes de la configuration P2S et incluent des liens pour configurer les appareils clients VPN :
Étapes suivantes
« OpenVPN » est une marque d’OpenVPN Inc.