À propos des paramètres de configuration de la passerelle VPN
Une architecture de connexion de passerelle VPN s’appuie sur la configuration de plusieurs ressources, contenant chacune des paramètres configurables. Les sections de cet article présentent les ressources et les paramètres relatifs à une passerelle VPN pour un réseau virtuel. Vous trouverez les descriptions et des diagrammes de topologie pour chaque solution de connexion dans l’article Topologie et conception des passerelles VPN.
Les valeurs figurant dans cet article s’appliquent tout particulièrement à des passerelles VPN (passerelles de réseau virtuel qui utilisent le -GatewayType Vpn). Si vous recherchez des informations sur les types de passerelles suivants, consultez les articles suivants :
- Pour les valeurs qui s’appliquent au -GatewayType 'ExpressRoute', consultez Passerelles de réseau virtuel pour ExpressRoute.
- Pour les passerelles redondantes interzone, consultez l’article À propos des passerelles redondantes pour les Zones de disponibilité.
- Pour plus d’informations sur les passerelles Virtual WAN, consultez la Présentation de Virtual WAN.
Passerelles et types de passerelle
Une passerelle de réseau virtuel est composée d’au moins deux machines virtuelles gérées par Azure, qui sont automatiquement configurées et déployées sur un sous-réseau spécifique que vous créez, appelé le sous-réseau de passerelle (Gateway Subnet). Les machines virtuelles de passerelle contiennent des tables de routage et exécutent des services de passerelle spécifiques. Lors de la création d’une passerelle de réseau virtuel, les machines virtuelles de passerelle sont déployées automatiquement sur le sous-réseau de la passerelle (toujours nommé GatewaySubnet) et configurées avec les paramètres que vous spécifiez. Le processus peut prendre 45 minutes ou plus, selon le niveau tarifaire de la passerelle que vous sélectionnez.
Un des paramètres que vous spécifiez pendant la création d’une passerelle de réseau virtuel est le type de passerelle. Le type de passerelle détermine la manière dont la passerelle de réseau virtuel est utilisée et les actions qu’elle exécute. Un réseau virtuel peut avoir deux passerelles de réseau virtuel : une passerelle VPN et une passerelle ExpressRoute. Le -GatewayType « Vpn » spécifie que le type de passerelle de réseau virtuel créé est une passerelle VPN. Cela le distingue d’une passerelle ExpressRoute.
Références SKU et niveau de performance de passerelle
Consultez l’article Présentation des références SKU de passerelle pour obtenir les dernières informations sur les références SKU, le niveau de performance de passerelle ainsi que les fonctionnalités prises en charge.
Types de VPN
Azure prend en charge deux types de VPN différents pour les passerelles VPN : ceux basés sur des stratégies et ceux basés sur des itinéraires. Les passerelles VPN basées sur des itinéraires sont basées sur une plateforme différente de celle des passerelles VPN basées sur des stratégies. Cela entraîne différentes spécifications de passerelle. Le tableau suivant présente les niveaux tarifaires de passerelle qui prennent en charge chacun des types VPN et les versions IKE prises en charge associées.
Type de VPN de la passerelle | SKU de la passerelle | Versions de IKE prises en charge |
---|---|---|
Passerelle basée sur des stratégies | Basic | IKEv1 |
Passerelle basée sur des itinéraires | Basic | IKEv2 |
Passerelle basée sur des itinéraires | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 et IKEv2 |
Passerelle basée sur des itinéraires | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 et IKEv2 |
Dans la plupart des cas, vous créerez une passerelle VPN basée sur les itinéraires. Auparavant, les anciennes références SKU de passerelle ne prenaient pas en charge IKEv1 pour les passerelles basées sur des itinéraires. À présent, la plupart des références SKU de passerelle actuelles prennent en charge à la fois IKEv1 et IKEv2.
Depuis le 1er octobre 2023, les passerelles basées sur des stratégies peuvent uniquement être configurées à l’aide de PowerShell ou de l’interface CLI et ne sont pas disponibles dans le Portail Azure. Pour créer une passerelle basée sur des stratégies, consultez Créer une passerelle VPN avec le niveau tarifaire Essentiel à l’aide de PowerShell.
Si vous disposez déjà d’une passerelle basée sur une stratégie, vous n’êtes pas obligé de modifier votre passerelle en fonction de l’itinéraire, sauf si vous souhaitez utiliser une configuration qui nécessite une passerelle basée sur un itinéraire, telle que point à site.
Vous ne pouvez pas convertir une passerelle basée sur une stratégie en une passerelle basée sur un itinéraire. Vous devez supprimer la passerelle existante, puis créer une passerelle en tant que route.
Passerelles en mode actif/actif
Les passerelles VPN Azure peuvent être configurées en mode actif/passif ou actif/actif. Dans une configuration de type actif/actif, les deux instances des machines virtuelles de la passerelle établissent des tunnels VPN site à site vers vos appareils VPN locaux. Les passerelles en mode actif/actif font partie intégrante de la conception de connectivité de passerelle hautement disponible. Pour plus d’informations, consultez les articles suivants :
- À propos des passerelles de type actif/actif
- Concevoir une connectivité de passerelle hautement disponible pour les connexions intersites et de réseau virtuel à réseau virtuel
Adresses IP privées de passerelle
Ce paramètre est utilisé pour certaines configurations de peering privé ExpressRoute. Pour en savoir plus, consultez la rubrique Configurer une connexion VPN site à site via un peering privé ExpressRoute.
Types de connexion
Chaque connexion nécessite un type de connexion de passerelle de réseau virtuel spécifique. Les valeurs PowerShell disponibles pour -Connection Type
New-AzVirtualNetworkGatewayConnection sont : IPsec, Vnet2Vnet, ExpressRoute, VPNClient.
Modes de connexion
La propriété Mode de connexion s’applique uniquement aux passerelles VPN basées sur un itinéraire qui utilisent des connexions IKEv2. Les modes de connexion définissent la direction d’initiation de la connexion et s’appliquent uniquement à l’établissement de connexion IKE initial. Toute partie peut lancer des nouvelles clés et d’autres messages. InitiatorOnly signifie que la connexion doit être initiée par Azure. ResponderOnly signifie que la connexion doit être lancée par l’appareil local. Le comportement par défaut consiste à accepter et à composer la première connexion.
Sous-réseau de passerelle
Avant de créer votre passerelle VPN, vous devez d’abord créer un sous-réseau de passerelle. Le sous-réseau de passerelle contient les adresses IP utilisées par les machines virtuelles et les services de passerelle de réseau virtuel. Lors de la création de votre passerelle de réseau virtuel, les machines virtuelles de passerelle sont déployées dans le sous-réseau de passerelle et configurées avec les paramètres de passerelle VPN requis. Ne déployez jamais d’autres éléments (comme des machines virtuelles supplémentaires) dans le sous-réseau de passerelle. Pour fonctionner correctement, le sous-réseau de passerelle doit être nommé ’GatewaySubnet’. En nommant le sous-réseau de passerelle « GatewaySubnet », Azure est informé qu'il s’agit du sous-réseau dans lequel déployer les machines virtuelles et les services de passerelle de réseau virtuel.
Lorsque vous créez le sous-réseau de passerelle, vous spécifiez le nombre d’adresses IP que contient le sous-réseau. Les adresses IP dans le sous-réseau de passerelle sont allouées aux machines virtuelles et aux services de passerelle. Certaines configurations nécessitent plus d’adresses IP que d’autres.
Pour planifier la taille de votre sous-réseau de passerelle, consultez la documentation correspondant à la configuration que vous envisagez de créer. Par exemple, la configuration de coexistence ExpressRoute/passerelle VPN nécessite un sous-réseau de passerelle plus important que la plupart des autres configurations. Bien qu’il soit possible de créer un sous-réseau de passerelle aussi petit que /29 (applicable uniquement à la référence SKU de base), toutes les autres références SKU nécessitent un sous-réseau de passerelle de taille /27 ou supérieure (/27, /26, /25, etc.). Vous pouvez créer un sous-réseau de passerelle supérieur à /27 afin que le sous-réseau dispose de suffisamment d’adresses IP pour prendre en charge les configurations futures possibles.
L’exemple PowerShell suivant montre un sous-réseau de passerelle nommé GatewaySubnet. Vous pouvez voir que la notation CIDR spécifie une taille /27, ce qui permet d’avoir un nombre suffisamment élevé d’adresses IP pour la plupart des configurations actuelles.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Considérations
Les routes définies par l’utilisateur avec une destination 0.0.0.0/0 et les groupes de sécurité réseau sur le sous-réseau de passerelle ne sont pas pris en charge. La création des passerelles avec cette configuration est bloquée. Les passerelles nécessitent l’accès aux contrôleurs de gestion pour fonctionner correctement. La propagation de route BGP doit être définie sur « Activée » dans le sous-réseau de la passerelle pour garantir la disponibilité de la passerelle. Si la propagation de route BGP est définie sur désactivée, la passerelle ne fonctionnera pas.
Les diagnostics, le chemin des données et le chemin de contrôle peuvent être affectés si un itinéraire défini par l’utilisateur chevauche la plage de sous-réseau de la passerelle ou la plage d’adresses IP publiques de la passerelle.
Passerelles de réseau local
Une passerelle de réseau local diffère d'une passerelle de réseau virtuel. Lorsque vous travaillez avec une architecture de passerelle VPN site-à-site, la passerelle du réseau local représente généralement votre réseau et l’appareil VPN correspondant.
Lorsque vous configurez une passerelle réseau locale, vous spécifiez le nom, l'adresse IP publique ou le nom de domaine complet (FQDN) du périphérique VPN sur site, ainsi que les préfixes d'adresse qui sont situés sur l'emplacement local. Azure examine les préfixes d’adresse de destination pour le trafic réseau, consulte la configuration que vous avez spécifiée pour votre passerelle de réseau local, et route les paquets en conséquence. Si vous utilisez Border Gateway Protocol (BGP) sur votre périphérique VPN, vous devez fournir l’adresse IP du pair BGP de votre périphérique VPN et le numéro de système autonome (ASN) de votre réseau local. Vous spécifiez également des passerelles de réseau local pour les configurations avec interconnexion de réseaux virtuels qui utilisent une connexion de passerelle VPN.
L’exemple PowerShell suivant crée une nouvelle passerelle de réseau local :
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Parfois, vous devez modifier les paramètres de passerelle de réseau local. C’est le cas, par exemple, lorsque vous ajoutez ou modifiez la plage d’adresses, ou lorsque l’adresse IP du périphérique VPN change. Pour plus d’informations, consultez Modifier les paramètres de passerelle de réseau local.
API REST, cmdlets PowerShell et CLI
Pour accéder à des ressources techniques et connaître les exigences spécifiques en matière de syntaxe lors de l’utilisation d’API REST, d’applets de commande PowerShell ou d’Azure CLI pour les configurations de passerelles VPN, consultez les pages suivantes :
Étapes suivantes
Pour plus d’informations sur les configurations de connexion disponible, consultez la rubrique À propos de la passerelle VPN.