Configurer un client VPN pour point à site : RADIUS - Authentification par mot de passe

  • Article

Pour vous connecter à un réseau virtuel de point à site, vous devez configurer l’appareil client à partir duquel vous allez vous connecter. Vous pouvez créer des connexions VPN de point à site à partir d’appareils clients Windows, macOS et Linux. Cet article vous aide à créer et installer la configuration du client VPN pour l’authentification par nom d’utilisateur/mot de passe RADIUS.

Lorsque vous utilisez l’authentification RADIUS, vous disposez de plusieurs instructions d’authentification : authentification par certificat, authentification par mot de passe, et bien d’autres méthode et protocoles d'authentification. La configuration du client VPN est différente pour chaque type d’authentification. Pour configurer un client VPN, vous utilisez les fichiers de configuration du client qui contiennent les paramètres requis.

Notes

À compter du 1er juillet 2018, la passerelle VPN Azure ne prendra plus en charge TLS 1.0 et 1.1. Elle prendra uniquement en charge TLS 1.2. Seules les connexions de point à site sont affectées ; les connexions site à site ne le sont pas. Si vous utilisez le protocole TLS pour les VPN de point à site sur des clients Windows 10 ou version ultérieure, aucune action n’est nécessaire. Si vous utilisez le protocole TLS pour les connexions de point à site sur des clients Windows 7 et Windows 8, consultez Questions fréquentes (FAQ) sur la passerelle VPN pour obtenir des instructions de mise à jour.

Workflow

Le flux de travail de configuration pour l’authentification RADIUS point à site est le suivant :

  1. Configurez la passerelle VPN Azure pour une connectivité P2S.
  2. Configurez votre serveur RADIUS pour l’authentification.
  3. Obtenez la configuration du client VPN pour l’option d’authentification de votre choix et utilisez-la pour installer le client VPN (cet article).
  4. Effectuez votre configuration P2S et connectez-vous.

Important

Si vous apportez des modifications à la configuration du VPN de point à site après avoir généré le profil de configuration du client VPN, comme le type de protocole ou d’authentification du VPN, vous devez générer et installer une nouvelle configuration du client VPN sur les appareils de vos utilisateurs.

Vous pouvez configurer l’authentification par nom d’utilisateur/mot de passe pour qu’elle utilise Active Directory ou non. Dans ces deux scénarios, veillez à ce que tous les utilisateurs qui se connectent disposent d’informations d’identification (nom d’utilisateur et mot de passe) qui peuvent être authentifiées via RADIUS.

Lorsque vous configurez l’authentification par nom d’utilisateur/mot de passe, vous pouvez seulement créer une configuration pour le protocole d’authentification par nom d’utilisateur/mot de passe EAP-MSCHAPv2. Dans les commandes, -AuthenticationMethod est EapMSChapv2.

Générer les fichiers de configuration du client VPN

Vous pouvez générer des fichiers de configuration du client VPN à l’aide du portail Azure, ou en utilisant Azure PowerShell.

Portail Azure

  1. Accès à la passerelle de réseau virtuel.
  2. Cliquez sur Configuration de point à site.
  3. Cliquez sur Téléchargement du client VPN.
  4. Sélectionnez le client et remplissez les informations demandées.
  5. Cliquez sur Télécharger pour générer le fichier .zip.
  6. Le fichier .zip sera normalement télécharger dans votre dossier Téléchargements.

Azure PowerShell

Générez les fichiers de configuration du client VPN à utiliser avec l’authentification par nom d’utilisateur/mot de passe. Vous pouvez générer les fichiers de configuration du client VPN à l’aide de la commande suivante :

New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapMSChapv2"

L’exécution de la commande renvoie un lien. Copiez et collez ce lien dans un navigateur web pour télécharger VpnClientConfiguration.zip. Décompressez le fichier pour afficher les dossiers suivants :

  • WindowsAmd64 et WindowsX86 : Dans ces dossiers se trouvent respectivement les packages de programme d’installation pour Windows 64 bits et Windows 32 bits.
  • Generic : les informations générales utilisées pour créer la configuration de votre client VPN se trouvent dans ce dossier. Vous n’avez pas besoin de ce dossier pour les configurations d’authentification par nom d’utilisateur/mot de passe.
  • Mac : si vous avez configuré IKEv2 lors de la création de la passerelle du réseau virtuel, un dossier nommé Mac s’affiche, dans lequel se trouve un fichier mobileconfig. Vous utilisez ce fichier pour configurer les clients Mac.

Si vous avez déjà créé les fichiers de configuration du client, vous pouvez les récupérer à l’aide de la cmdlet Get-AzVpnClientConfiguration. Toutefois, si vous apportez des modifications à votre configuration VPN de point à site, comme le type d’authentification ou de protocole VPN, elle ne se met pas à jour automatiquement. Vous devez exécuter la cmdlet New-AzVpnClientConfiguration pour créer un téléchargement de configuration.

Pour récupérer les fichiers de configuration du client générés précédemment, exécutez la commande suivante :

Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW"

Client VPN Windows

Vous pouvez utiliser le même package de configuration du client VPN sur chaque ordinateur client Windows, tant que la version correspond à l’architecture du client. Pour obtenir la liste des systèmes d’exploitation clients pris en charge, consultez la FAQ sur la passerelle VPN.

Suivez les étapes suivantes pour configurer le client VPN Windows natif pour une authentification par certificat :

  1. Sélectionnez les fichiers de configuration du client VPN qui correspondent à l’architecture de l’ordinateur Windows. Pour une architecture de processeur 64 bits, choisissez le package du programme d’installation VpnClientSetupAmd64. Pour une architecture de processeur 32 bits, choisissez le package du programme d’installation VpnClientSetupX86.

  2. Double-cliquez pour installer le package. Si vous voyez une fenêtre contextuelle SmartScreen, sélectionnez More info (Plus d’informations)>Run anyway (Exécuter quand même).

  3. Sur l’ordinateur client, accédez à Paramètres réseau, puis sélectionnez VPN. La connexion VPN indique le nom du réseau virtuel auquel elle se connecte.

Client VPN Mac (macOS)

  1. Sélectionnez le fichier VpnClientSetup mobileconfig et envoyez-le à chaque utilisateur. Vous pouvez l’envoyer par e-mail, ou par n’importe quelle autre méthode.

  2. Recherchez le fichier mobileconfig sur l’ordinateur Mac.

    Screenshot shows location of the mobile config file.

  3. Étape facultative : si vous souhaitez spécifier un DNS personnalisé, ajoutez les lignes suivantes au fichier mobileconfig :

     <key>DNS</key>
 <dict>
   <key>ServerAddresses</key>
     <array>
         <string>10.0.0.132</string>
     </array>
   <key>SupplementalMatchDomains</key>
     <array>
         <string>TestDomain.com</string>
     </array>
 </dict>

  4. Double-cliquez sur le profil pour l’installer, et sélectionnez Continuer. Le nom du profil correspond à celui de votre réseau virtuel.

    Screenshot shows profile install with continue selected.

  5. Sélectionnez Continuer pour faire confiance à l’expéditeur du profil et poursuivre l’installation.

    Screenshot shows continue message.

  6. Pendant l’installation du profil, vous pouvez spécifier le nom d’utilisateur et le mot de passe pour l’authentification VPN. Vous n’êtes pas obligé de renseigner ces informations. Si vous le faites, les informations sont enregistrées et utilisées automatiquement à la connexion. Sélectionnez Installer pour continuer.

    Screenshot shows enter settings for username and password.

  7. Entrez un nom d’utilisateur et un mot de passe pour les privilèges requis pour installer le profil sur votre ordinateur. Cliquez sur OK.

    Screenshot shows enter settings for username and password privileges.

  8. Une fois le profil installé, il est visible dans la boîte de dialogue Profils. Vous pouvez également ouvrir cette boîte de dialogue à partir de Préférences système.

    Screenshot shows profiles dialog box.

  9. Pour accéder à la connexion VPN, ouvrez la boîte de dialogue Réseau à partir de Préférences système.

    Screenshot shows network dialog box.

  10. La connexion VPN apparaît en tant que IkeV2-VPN. Vous pouvez changer le nom en mettant à jour le fichier mobileconfig.

    Screenshot shows connection name.

  11. Sélectionnez Paramètres d’authentification. Sélectionnez Nom d’utilisateur dans la liste et entrez vos informations d’identification. Si vous avez entré les informations d’identification précédemment, alors Nom d’utilisateur est automatiquement sélectionné dans la liste et le nom d’utilisateur et le mot de passe sont déjà renseignés. Sélectionnez OK pour enregistrer les paramètres.

    Screenshot that shows the Authentication settings drop-down with Username selected.

  12. Dans la boîte de dialogue Réseau, sélectionnez Appliquer pour enregistrer les modifications. Pour lancer la connexion, sélectionnez Connecter.

Client VPN Linux - strongSwan

Les instructions suivantes ont été créées à l’aide de strongSwan 5.5.1 sur Ubuntu 17.0.4. Les écrans réels peuvent différer en fonction de votre version de Linux et de strongSwan.

  1. Ouvrez le Terminal pour installer strongSwan et son gestionnaire de réseau en exécutant la commande dans l’exemple. Si vous recevez une erreur liée à libcharon-extra-plugins, remplacez la valeur par strongswan-plugin-eap-mschapv2.

    sudo apt-get install strongswan libcharon-extra-plugins moreutils iptables-persistent network-manager-strongswan

  2. Sélectionnez l’icône du Gestionnaire de réseau (flèche vers le haut/flèche vers le bas), puis sélectionnez Modifier les connexions.

    Edit connections in Network Manager.

  3. Sélectionnez le bouton Ajouter pour créer une connexion.

    Screenshot shows add connection for network connections.

  4. Sélectionnez IPsec/IKEv2 (strongswan) dans le menu déroulant, puis sélectionnez Créer. Vous pouvez renommer votre connexion à cette étape.

    Screenshot shows select connection type.

  5. Ouvrez le fichier VpnSettings.xml à partir du dossier générique des fichiers de configuration du client téléchargé. Recherchez la balise appelée VpnServer et copiez le nom, en commençant par azuregateway et en terminant par .cloudapp.net.

    Screenshot shows contents of the VpnSettings.xml file.

  6. Collez ce nom dans le champ Adresse de votre nouvelle connexion VPN sous la section Passerelle. Ensuite, sélectionnez l’icône du dossier à la fin du champ Certificat, accédez au dossier Générique, puis sélectionnez le fichier VpnServerRoot.

  7. Dans la section Client de la connexion, sélectionnez EAP pour Authentification, puis entrez votre nom d’utilisateur et mot de passe. Vous devrez peut-être sélectionner l’icône du verrou à droite pour enregistrer ces informations. Sélectionnez ensuite Enregistrer.

    Screenshot shows edit connection settings.

  8. Sélectionnez l’icône du Gestionnaire de réseau (flèche vers le haut/flèche vers le bas), puis survolez Connexions VPN. La connexion VPN que vous avez créée apparaît. Pour lancer la connexion, sélectionnez-la.

    Screenshot shows connect.

Étapes supplémentaires pour la machine virtuelle Azure

Si vous exécutez la procédure sur une machine virtuelle Azure exécutant Linux, vous devez effectuer des étapes supplémentaires.

  1. Modifiez le fichier /etc/netplan/50-cloud-init.yaml pour inclure le paramètre suivant pour l’interface

    renderer: NetworkManager

  2. Après avoir modifié le fichier, exécutez les deux commandes suivantes pour charger la nouvelle configuration

    sudo netplan generate

    sudo netplan apply

  3. Arrêtez/démarrez ou redéployez la machine virtuelle.

Étapes suivantes

Revenez à l’article pour terminer la configuration P2S.

Pour plus d’informations sur la résolution des problèmes liés aux connexions point à site, voir Résolution des problèmes de connexion de point à site Azure.