Configurer un client VPN pour une configuration point à site : RADIUS - autres méthodes et protocoles

  • Article

Pour vous connecter à un réseau virtuel de point à site, vous devez configurer l’appareil client à partir duquel vous allez vous connecter. Cet article vous aide à créer et à installer la configuration du client VPN pour l’authentification RADIUS qui utilise des méthodes autres que l’authentification par certificat ou mot de passe.

Lorsque vous utilisez l’authentification RADIUS, vous disposez de plusieurs instructions d’authentification : authentification par certificat, authentification par mot de passe, et bien d’autres méthode et protocoles d'authentification. La configuration du client VPN est différente pour chaque type d’authentification. Pour configurer un client VPN, vous utilisez les fichiers de configuration du client qui contiennent les paramètres requis.

Notes

À compter du 1er juillet 2018, la passerelle VPN Azure ne prendra plus en charge TLS 1.0 et 1.1. Elle prendra uniquement en charge TLS 1.2. Seules les connexions de point à site sont affectées ; les connexions site à site ne le sont pas. Si vous utilisez le protocole TLS pour les VPN de point à site sur des clients Windows 10 ou version ultérieure, aucune action n’est nécessaire. Si vous utilisez le protocole TLS pour les connexions de point à site sur des clients Windows 7 et Windows 8, consultez Questions fréquentes (FAQ) sur la passerelle VPN pour obtenir des instructions de mise à jour.

Workflow

Le flux de travail de configuration pour l’authentification RADIUS point à site est le suivant :

  1. Configurez la passerelle VPN Azure pour une connectivité P2S.

  2. Configurez votre serveur RADIUS pour l’authentification.

  3. Obtenez la configuration du client VPN pour l’option d’authentification de votre choix et utilisez-la pour installer le client VPN (cet article).

  4. Effectuez votre configuration P2S et connectez-vous.

Important

Si vous apportez des modifications à la configuration du VPN de point à site après avoir généré le profil de configuration du client VPN, comme le type de protocole ou d’authentification du VPN, vous devez générer et installer une nouvelle configuration du client VPN sur les appareils de vos utilisateurs.

Pour utiliser un type d’authentification différent (OTP, par exemple) ou un protocole d’authentification différent (PEAP-MSCHAPv2 à la place d’un protocole EAP-MSCHAPv2), vous devez créer votre propre profil de configuration de client VPN. Si vous disposez d’un VPN de point à site configuré avec RADIUS et OpenVPN, actuellement PAP est la seule méthode d’authentification prise en charge entre la passerelle et le serveur RADIUS. Pour créer le profil, vous avez besoin d’informations telles que l’adresse IP, du type de tunnel et des itinéraires de tunnel fractionné de la passerelle du réseau virtuel. Vous pouvez obtenir ces informations en procédant comme suit.

Générer les fichiers de configuration du client VPN

Vous pouvez générer des fichiers de configuration du client VPN à l’aide du portail Azure, ou en utilisant Azure PowerShell.

Portail Azure

  1. Accès à la passerelle de réseau virtuel.
  2. Cliquez sur Configuration de point à site.
  3. Cliquez sur Téléchargement du client VPN.
  4. Sélectionnez le client et remplissez les informations demandées.
  5. Cliquez sur Télécharger pour générer le fichier .zip.
  6. Le fichier .zip sera normalement télécharger dans votre dossier Téléchargements.

Azure PowerShell

Utilisez la cmdlet Get-AzVpnClientConfiguration pour générer la configuration du client VPN pour EapMSChapv2.

Afficher les fichiers et configurer le client VPN

Décompressez le fichier VpnClientConfiguration.zip et recherchez le dossier GenericDevice. Ignorez les dossiers contenant les programmes d’installation Windows pour architecture 64 bits et 32 bits.

Le dossier GenericDevice contient un fichier XML nommé VpnSettings. Ce fichier contient toutes les informations nécessaires :

  • VpnServer : nom de domaine complet de la passerelle VPN Azure. Il s’agit de l’adresse à laquelle le client se connecte.
  • VpnType : type de tunnel que vous utilisez pour vous connecter.
  • Routes : routes que vous devez configurer dans votre profil afin que seul le trafic en direction du réseau virtuel Azure passe par le tunnel P2S.

Le dossier GenericDevice contient aussi un fichier .cer nommé VpnServerRoot. Ce fichier contient le certificat racine requis pour valider la passerelle VPN Azure lors de la configuration de la connexion de point à site. Installez le certificat sur tous les appareils qui se connecteront au réseau virtuel Azure.

Utilisez les paramètres des fichiers pour configurer votre client VPN.

Étapes suivantes

Revenez à l’article pour terminer la configuration P2S.

Pour plus d’informations sur la résolution des problèmes liés aux connexions point à site, voir Résolution des problèmes de connexion de point à site Azure.