À propos des paramètres de configuration de la passerelle VPN
Une architecture de connexion de passerelle VPN s’appuie sur la configuration de plusieurs ressources, contenant chacune des paramètres configurables. Les sections de cet article présentent les ressources et les paramètres relatifs à une passerelle VPN pour un réseau virtuel créé dans le modèle de déploiement Resource Manager. Vous trouverez les descriptions et des diagrammes de topologie pour chaque solution de connexion dans l’article Topologie et conception des passerelles VPN.
Les valeurs figurant dans cet article s’appliquent tout particulièrement à des passerelles VPN (passerelles de réseau virtuel qui utilisent le -GatewayType Vpn). Si vous recherchez des informations sur les types de passerelles suivants, consultez les articles suivants :
- Pour les valeurs qui s’appliquent au -GatewayType 'ExpressRoute', consultez Passerelles de réseau virtuel pour ExpressRoute.
- Pour les passerelles redondantes interzone, consultez l’article À propos des passerelles redondantes pour les Zones de disponibilité.
- Pour les passerelles en mode actif/actif, consultez À propos de la connectivité hautement disponible.
- Pour plus d’informations sur les passerelles Virtual WAN, consultez la Présentation de Virtual WAN.
Passerelles et types de passerelle
Une passerelle de réseau virtuel est composée d’au moins deux machines virtuelles gérées par Azure, qui sont automatiquement configurées et déployées sur un sous-réseau spécifique que vous créez, appelé le sous-réseau de passerelle (Gateway Subnet). Les machines virtuelles de passerelle contiennent des tables de routage et exécutent des services de passerelle spécifiques.
Lors de la création d’une passerelle de réseau virtuel, les machines virtuelles de passerelle sont déployées automatiquement sur le sous-réseau de la passerelle (toujours nommé GatwaySubnet) et configurées avec les paramètres que vous spécifiez. Ce processus peut prendre 45 minutes ou plus, selon le niveau tarifaire de la passerelle que vous sélectionnez.
Un des paramètres que vous spécifiez pendant la création d’une passerelle de réseau virtuel est le type de passerelle. Le type de passerelle détermine la manière dont la passerelle de réseau virtuel est utilisée et les actions qu’elle exécute. Un réseau virtuel peut avoir deux passerelles de réseau virtuel : une passerelle VPN et une passerelle ExpressRoute. Le type de passerelle « Vpn » spécifie que le type de la passerelle de réseau virtuel créée est Passerelle VPN. Ceci la distingue d’une passerelle ExpressRoute, qui utilise un type de passerelle différent.
Lorsque vous créez une passerelle de réseau virtuel, vous devez vous assurer que le type de passerelle est adapté à votre configuration. Les valeurs disponibles pour -GatewayType sont :
- Vpn
- ExpressRoute
Une passerelle VPN nécessite le -GatewayTypeVPN.
Exemple :
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
Références SKU et niveau de performance de passerelle
Consultez l’article Présentation des références SKU de passerelle pour obtenir les dernières informations sur les références SKU, le niveau de performance de passerelle ainsi que les fonctionnalités prises en charge.
Types de VPN
Azure prend en charge deux types de VPN différents pour les passerelles VPN : ceux basés sur des stratégies et ceux basés sur des itinéraires. Les passerelles VPN basées sur des itinéraires sont basées sur une plateforme différente de celle des passerelles VPN basées sur des stratégies. Cela entraîne différentes spécifications de passerelle.
Dans la plupart des cas, vous créerez une passerelle VPN basée sur les itinéraires. Auparavant, les anciennes références SKU de passerelle ne prenaient pas en charge IKEv1 pour les passerelles basées sur des itinéraires. À présent, la plupart des références SKU de passerelle actuelles prennent en charge à la fois IKEv1 et IKEv2. Si vous disposez déjà d’une passerelle basée sur des stratégies, vous n’avez pas besoin de mettre à niveau votre passerelle vers une passerelle basée sur des itinéraires.
Si vous souhaitez créer une passerelle basée sur des stratégies, utilisez PowerShell ou l’interface CLI. À la date du 1er octobre 2023, vous ne pouvez pas créer de passerelle VPN basée sur des stratégies via le portail Azure, vous ne pouvez créer que des passerelles basées sur les itinéraires.
| Type de VPN de la passerelle | SKU de la passerelle | Versions de IKE prises en charge |
|---|---|---|
| Passerelle basée sur des stratégies | Basic | IKEv1 |
| Passerelle basée sur des itinéraires | Basic | IKEv2 |
| Passerelle basée sur des itinéraires | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 et IKEv2 |
| Passerelle basée sur des itinéraires | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 et IKEv2 |
Types de connexion
Dans le modèle de déploiement Resource Manager, chaque configuration nécessite un type spécifique de connexion de passerelle de réseau virtuel. Les valeurs de PowerShell pour Resource Manager disponibles pour -ConnectionType sont :
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
Dans l’exemple PowerShell suivant, nous créons une connexion S2S qui nécessite le type de connexion IPsec.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'
Modes de connexion
La propriété Mode de connexion s’applique uniquement aux passerelles VPN basées sur un itinéraire qui utilisent des connexions IKEv2. Les modes de connexion définissent la direction d’initiation de la connexion et s’appliquent uniquement à l’établissement de connexion IKE initial. Toute partie peut lancer des nouvelles clés et d’autres messages. InitiatorOnly signifie que la connexion doit être initiée par Azure. ResponderOnly signifie que la connexion doit être lancée par l’appareil local. Le comportement par défaut consiste à accepter et à composer la première connexion.
Sous-réseau de passerelle
Avant de créer votre passerelle VPN, vous devez d’abord créer un sous-réseau de passerelle. Le sous-réseau de passerelle contient les adresses IP utilisées par les machines virtuelles et les services de passerelle de réseau virtuel. Lors de la création de votre passerelle de réseau virtuel, les machines virtuelles de passerelle sont déployées dans le sous-réseau de passerelle et configurées avec les paramètres de passerelle VPN requis. Ne déployez jamais d’autres éléments (comme des machines virtuelles supplémentaires) dans le sous-réseau de passerelle. Pour fonctionner correctement, le sous-réseau de passerelle doit être nommé ’GatewaySubnet’. En nommant le sous-réseau de passerelle « GatewaySubnet », Azure est informé qu'il s’agit du sous-réseau dans lequel déployer les machines virtuelles et les services de passerelle de réseau virtuel.
Lorsque vous créez le sous-réseau de passerelle, vous spécifiez le nombre d’adresses IP que contient le sous-réseau. Les adresses IP dans le sous-réseau de passerelle sont allouées aux machines virtuelles et aux services de passerelle. Certaines configurations nécessitent plus d’adresses IP que d’autres.
Pour planifier la taille de votre sous-réseau de passerelle, consultez la documentation correspondant à la configuration que vous envisagez de créer. Par exemple, la configuration de coexistence ExpressRoute/passerelle VPN nécessite un sous-réseau de passerelle plus important que la plupart des autres configurations. Bien qu’il soit possible de créer un sous-réseau de passerelle aussi petit que /29 (applicable uniquement à la référence SKU de base), toutes les autres références SKU nécessitent un sous-réseau de passerelle de taille /27 ou supérieure (/27, /26, /25, etc.). Vous pouvez créer un sous-réseau de passerelle supérieur à /27 afin que le sous-réseau dispose de suffisamment d’adresses IP pour prendre en charge les configurations futures possibles.
L’exemple PowerShell Resource Manager suivant montre un sous-réseau de passerelle nommé GatewaySubnet. Vous pouvez voir que la notation CIDR spécifie une taille /27, ce qui permet d’avoir un nombre suffisamment élevé d’adresses IP pour la plupart des configurations actuelles.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Considérations
Les routes définies par l’utilisateur avec une destination 0.0.0.0/0 et les groupes de sécurité réseau sur le sous-réseau de passerelle ne sont pas pris en charge. La création des passerelles avec cette configuration est bloquée. Les passerelles nécessitent l’accès aux contrôleurs de gestion pour fonctionner correctement. La propagation de route BGP doit être définie sur « Activée » dans le sous-réseau de la passerelle pour garantir la disponibilité de la passerelle. Si la propagation de route BGP est définie sur désactivée, la passerelle ne fonctionnera pas.
Les diagnostics, le chemin des données et le chemin de contrôle peuvent être affectés si un itinéraire défini par l’utilisateur chevauche la plage de sous-réseau de la passerelle ou la plage d’adresses IP publiques de la passerelle.
Passerelles de réseau local
Une passerelle de réseau local diffère d'une passerelle de réseau virtuel. Lorsque vous travaillez avec une architecture de passerelle VPN site-à-site, la passerelle du réseau local représente généralement votre réseau et l’appareil VPN correspondant. Dans le modèle de déploiement classique, la passerelle de réseau local est appelée Site local.
Lorsque vous configurez une passerelle réseau locale, vous spécifiez le nom, l'adresse IP publique ou le nom de domaine complet (FQDN) du périphérique VPN sur site, ainsi que les préfixes d'adresse qui sont situés sur l'emplacement local. Azure examine les préfixes d’adresse de destination pour le trafic réseau, consulte la configuration que vous avez spécifiée pour votre passerelle de réseau local, et route les paquets en conséquence. Si vous utilisez Border Gateway Protocol (BGP) sur votre périphérique VPN, vous devez fournir l’adresse IP du pair BGP de votre périphérique VPN et le numéro de système autonome (ASN) de votre réseau local. Vous spécifiez également des passerelles de réseau local pour les configurations avec interconnexion de réseaux virtuels qui utilisent une connexion de passerelle VPN.
L’exemple PowerShell suivant crée une nouvelle passerelle de réseau local :
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Parfois, vous devez modifier les paramètres de passerelle de réseau local. C’est le cas, par exemple, lorsque vous ajoutez ou modifiez la plage d’adresses, ou lorsque l’adresse IP du périphérique VPN change. Pour plus d’informations, consultez Modifier les paramètres de passerelle de réseau local.
API REST, cmdlets PowerShell et CLI
Pour accéder à des ressources techniques et connaître les exigences spécifiques en matière de syntaxe lors de l’utilisation d’API REST, d’applets de commande PowerShell ou d’Azure CLI pour les configurations de passerelles VPN, consultez les pages suivantes :
| Classique | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
| Non pris en charge | Azure CLI |
Étapes suivantes
Pour plus d’informations sur les configurations de connexion disponible, consultez la rubrique À propos de la passerelle VPN.