Configurer une connexion VPN point à site à l’aide de l’authentification par certificat Azure : portail Azure

Cet article vous permet de connecter de façon sécurisée des clients individuels qui exécutent Windows, Linux ou macOS à un réseau virtuel Azure. Les connexions VPN point à site sont utiles quand vous souhaitez vous connecter à votre réseau virtuel à partir d’un emplacement distant, par exemple quand vous travaillez à distance de votre domicile ou en conférence. La connexion P2S est une solution alternative au VPN de site à site lorsque seul un nombre restreint de clients doivent se connecter à un réseau virtuel. Les connexions point à site ne nécessitent pas de périphérique VPN ou d’adresse IP publique. La connexion P2S crée la connexion VPN via SSTP (Secure Socket Tunneling Protocol) ou IKEv2. Pour plus d’informations sur le VPN point à site, consultez À propos du VPN point à site.

Diagramme de connexion point à site d’un ordinateur à un réseau virtuel Azure.

Pour plus d’informations sur le VPN point à site, consultez À propos du VPN point à site. Pour créer cette configuration à l’aide d’Azure PowerShell, consultez Configurer un VPN point à site à l’aide d’Azure PowerShell.

Les connexions d’authentification par certificat Azure natif de point à site utilisent les éléments suivants, que vous pouvez configurer dans cet exercice :

  • Une passerelle VPN RouteBased.
  • La clé publique (fichier .cer) d’un certificat racine, chargée sur Azure. Une fois le certificat chargé, il est considéré comme un certificat approuvé et est utilisé pour l’authentification.
  • Un certificat client généré à partir du certificat racine. Le certificat client installé sur chaque ordinateur client qui se connecte au réseau virtuel. Ce certificat est utilisé pour l’authentification du client.
  • Une configuration de client VPN. Le client VPN est configuré à l’aide des fichiers config du client VPN. Ces fichiers contiennent les informations nécessaires permettant au client de se connecter au réseau virtuel. Les fichiers configurent le client VPN existant qui est natif au système d’exploitation. Chaque client qui se connecte doit être configuré à l’aide des paramètres dans les fichiers de configuration.

Prérequis

Assurez-vous de disposer d’un abonnement Azure. Si vous ne disposez pas déjà d’un abonnement Azure, vous pouvez activer vos avantages abonnés MSDN ou créer un compte gratuit.

Exemples de valeurs

Vous pouvez utiliser ces valeurs pour créer un environnement de test ou vous y référer pour mieux comprendre les exemples de cet article :

Réseau virtuel

  • Nom du réseau virtuel : VNet1
  • Espace d’adressage : 10.1.0.0/16
    Pour cet exemple, nous n’utilisons qu’un seul espace d’adressage. Vous pouvez avoir plusieurs espaces d’adressage pour votre réseau virtuel.
  • Nom du sous-réseau : FrontEnd
  • Plage d'adresses du sous-réseau : 10.1.0.0/24
  • Abonnement : vérifiez que vous utilisez l’abonnement approprié si vous en possédez plusieurs.
  • Groupe de ressources : TestRG1
  • Emplacement : USA Est

Passerelle de réseau virtuel

  • Nom de la passerelle de réseau virtuel : VNet1GW
  • Type de passerelle : VPN
  • Type de VPN : basé sur la route
  • Référence SKU : VpnGw2
  • Génération : Génération 2
  • Plage d’adresses du sous-réseau de passerelle : 10.1.255.0/27
  • Nom de l'adresse IP publique : VNet1GWpip

Type de connexion et pool d’adresses des clients

  • Type de connexion : Point à site
  • Pool d'adresses des clients : 172.16.201.0/24
    Les clients VPN qui se connectent au réseau virtuel à l’aide de cette connexion point à site reçoivent une adresse IP de ce pool d’adresses des clients.

Créer un réseau virtuel

Dans cette section, vous créez un réseau virtuel.

Notes

Quand vous utilisez un réseau virtuel dans le cadre d’une architecture incluant différents locaux, veillez à prendre contact avec votre administrateur de réseau local pour définir une plage d’adresses IP à utiliser spécifiquement pour ce réseau virtuel. Si une plage d’adresses en double existe des deux côtés de la connexion VPN, le trafic sera acheminé de manière inattendue. En outre, si vous souhaitez connecter ce réseau à un autre réseau virtuel, l’espace d’adressage ne peut pas chevaucher celui de l’autre réseau virtuel. Planifiez votre configuration réseau en conséquence.

  1. Connectez-vous au portail Azure.

  2. Dans Rechercher dans les ressources, services et documents (G+/), saisissez réseau virtuel. Sélectionnez Réseau virtuel dans les résultats de Place de marché pour ouvrir la page Réseau virtuel.

    Capture d’écran montrant les résultats de la barre de recherche du portail Azure et la sélection de Réseau virtuel à partir de la Place de marché.

  3. Dans la page Réseau virtuel, sélectionnez Créer. La page Créer un réseau virtuel s’ouvre.

  4. Sous l’onglet Informations de base, configurez les paramètres de réseau virtuel pour Détails du projet et Détails de l’instance. Une coche verte apparaît lorsque les valeurs entrées sont validées. Les valeurs affichées dans l’exemple peuvent être ajustées en fonction des paramètres dont vous avez besoin.

    Capture d’écran montrant l’onglet Informations de base.

    • Abonnement: vérifiez que l’abonnement listé est approprié. Vous pouvez modifier des abonnements à l’aide de la liste déroulante.
    • Groupe de ressources : sélectionnez un groupe de ressources existant ou sélectionnez Créer nouveau pour en créer un. Pour plus d’informations sur les groupes de ressources, consultez Vue d’ensemble d’Azure Resource Manager.
    • Name : entrez le nom du réseau virtuel.
    • Région : sélectionnez l’emplacement du réseau virtuel. L’emplacement détermine où se trouveront les ressources que vous déployez sur ce réseau virtuel.
  5. Sélectionnez Sécurité pour accéder à l’onglet Sécurité. Conservez les valeurs par défaut pour le moment.

    • BastionHost : Désactiver
    • Protection DDoS Standard : Désactiver
    • Pare-feu : Désactiver
  6. Sélectionnez Adresses IP pour passer à l’onglet Adresses IP. Sous l’onglet Adresses IP, configurez les paramètres. Les valeurs affichées dans l’exemple peuvent être ajustées en fonction des paramètres dont vous avez besoin.

    Capture d’écran montrant l’onglet Adresses IP.

    • Espace d’adressage IPv4 : Un espace d’adressage est créé automatiquement par défaut. Vous pouvez sélectionner l’espace d’adressage et le définir selon vos propres valeurs. Vous pouvez également ajouter d’autres espaces d’adressage en sélectionnant la boîte sous l’espace d’adressage existant et en spécifiant les valeurs de l’espace d’adressage supplémentaire.
    • + Ajouter un sous-réseau : si vous utilisez l’espace d’adressage par défaut, un sous-réseau par défaut est créé automatiquement. Si vous modifiez l’espace d’adressage, vous devez ajouter un sous-réseau. Sélectionnez + Ajouter un sous-réseau pour ouvrir la fenêtre Ajouter un sous-réseau. Configurez les paramètres suivants, puis sélectionnez Ajouter en bas de la page pour ajouter les valeurs.
      • Nom du sous-réseau : dans cet exemple, nous avons nommé le sous-réseau « FrontEnd ».
      • Plage d’adresses de sous-réseau : plage d’adresses de ce sous-réseau.
  7. Sélectionnez Vérifier + créer pour vérifier les paramètres de réseau virtuel.

  8. Une fois les paramètres validés, sélectionnez Créer pour créer le réseau virtuel.

Créer la passerelle VPN

Dans cette étape, vous créez la passerelle de réseau virtuel de votre réseau virtuel. La création d’une passerelle nécessite généralement au moins 45 minutes, selon la référence SKU de passerelle sélectionnée.

Notes

La référence SKU de passerelle De base ne prend pas en charge IKEv2 ou l’authentification RADIUS. Si vous envisagez de connecter des clients Mac à votre réseau virtuel, n’utilisez pas la référence SKU De base.

La passerelle de réseau virtuel utilise un sous-réseau spécifique, appelé sous-réseau de passerelle. Le sous-réseau de passerelle fait partie de la plage d’adresses IP du réseau virtuel que vous spécifiez lors de la configuration de votre réseau virtuel. Il contient les adresses IP utilisées par les ressources et les services de passerelle de réseau virtuel.

Lorsque vous créez le sous-réseau de passerelle, vous spécifiez le nombre d’adresses IP que contient le sous-réseau. Le nombre d’adresses IP requises varie selon la configuration de la passerelle VPN que vous souhaitez créer. Certaines configurations nécessitent plus d’adresses IP que d’autres. Nous vous recommandons de créer un sous-réseau de passerelle dont la taille est définie sur /27 ou /28.

Si une erreur s’affiche indiquant que l’espace d’adressage chevauche un sous-réseau ou que le sous-réseau n’est pas contenu dans l’espace d’adressage de votre réseau virtuel, vérifiez la plage d’adresses de votre réseau virtuel. Vous n’avez peut-être pas suffisamment d’adresses IP disponibles dans la plage d’adresses que vous avez créée pour votre réseau virtuel. Par exemple, si votre sous-réseau par défaut englobe la plage d’adresses complète, il n’y a plus d’adresses IP disponibles pour créer des sous-réseaux supplémentaires. Vous pouvez ajuster vos sous-réseaux au sein de l’espace d’adressage existant pour libérer des adresses IP, ou spécifier une plage d’adresses supplémentaire pour y créer le sous-réseau de passerelle.

  1. Dans Rechercher dans les ressources, services et documents (G+/) , tapez passerelle de réseau virtuel. Recherchez la passerelle réseau virtuel dans les résultats de la recherche de la Place de marché et sélectionnez-la pour ouvrir la page Créer une passerelle réseau virtuel.

    Capture d’écran du champ Rechercher.

  2. Sous l’onglet Général, renseignez les valeurs pour Détails du projet et Détails de l’instance.

    Capture d’écran des champs de l’instance.

    • Abonnement: Sélectionnez l’abonnement à utiliser dans la liste déroulante.
    • Groupe de ressources : Ce paramètre est renseigné automatiquement quand vous sélectionnez votre réseau virtuel sur cette page.
    • Name : Nommez votre passerelle. Le nommage de votre passerelle n’est pas identique au nommage d’un sous-réseau de passerelle. Il s’agit du nom de l’objet passerelle que vous créez.
    • Région : Sélectionnez la région où vous voulez créer cette ressource. La région de la passerelle doit être la même que celle du réseau virtuel.
    • Type de passerelle : Sélectionnez VPN. Les passerelles VPN utilisent le type de passerelle de réseau virtuel VPN.
    • Type de VPN : sélectionnez le type de VPN spécifié pour votre configuration. La plupart des configurations requièrent un type de VPN basé sur un itinéraire.
    • Niveau tarifaire : sélectionnez le niveau tarifaire (SKU) de la passerelle que vous voulez utiliser dans la liste déroulante. Les références répertoriées dans la liste déroulante dépendent du type de VPN que vous sélectionnez. Veillez à sélectionner une référence (SKU) qui prend en charge les fonctionnalités que vous voulez utiliser. Pour plus d’informations sur les références de passerelle, consultez Références (SKU) de passerelle.
    • Génération : sélectionnez la génération que vous voulez utiliser. Pour plus d’informations, consultez l’article Références (SKU) de passerelle.
    • Réseau virtuel : sélectionnez le réseau virtuel auquel vous souhaitez ajouter cette passerelle dans la liste déroulante. Si vous ne voyez pas le VNet pour lequel vous voulez créer une passerelle, assurez-vous que vous avez sélectionné l’abonnement et la région corrects dans les paramètres précédents.
    • Plage d’adresses de sous-réseau de la passerelle : Ce champ apparaît uniquement si votre réseau virtuel n’a pas de sous-réseau de passerelle. Il est préférable de spécifier /27 ou plus grand (/26, /25, etc.). Ceci permet d’obtenir suffisamment d’adresses IP pour les modifications futures, comme l’ajout d’une passerelle ExpressRoute. Nous vous déconseillons de créer une plage inférieure à /28. Si vous disposez déjà d’un sous-réseau de passerelle, vous pouvez en voir les détails en accédant à votre réseau virtuel. Sélectionnez Sous-réseaux pour afficher la plage. Si vous souhaitez modifier la plage, vous pouvez supprimer et recréer le sous-réseau de passerelle.
  1. Spécifiez les valeurs pour Adresse IP publique. Ces paramètres spécifient l’objet d’adresse IP publique associé à la passerelle VPN. L’adresse IP publique est attribuée dynamiquement à cet objet pendant la création de la passerelle VPN. L’adresse IP publique change uniquement lorsque la passerelle est supprimée, puis recréée. Elle n’est pas modifiée lors du redimensionnement, de la réinitialisation ou des autres opérations de maintenance/mise à niveau internes de votre passerelle VPN.

    Capture d’écran du champ Adresse IP publique.

    • Type d’adresse IP publique : dans la plupart des cas, vous voulez utiliser le type d’adresse IP publique De base. Si ce champ n’est pas dans la page du portail, vous avez peut-être sélectionné une référence SKU de passerelle qui pré-sélectionne cette valeur pour vous.
    • Adresse IP publique : Laissez l’option Créer sélectionnée.
    • Nom de l’adresse IP publique : Dans la zone de texte, tapez un nom pour votre instance d’adresse IP publique.
    • Référence SKU d’adresse IP publique : ce champ est contrôlé par le paramètre Type d’adresse IP publique.
    • Attribution : La passerelle VPN prend en charge seulement le mode dynamique.
    • Activer le mode actif/actif : sélectionnez uniquement Activer le mode actif/actif si vous créez une configuration de passerelle active/active. Sinon, laissez ce paramètre Désactivé.
    • Laissez l’option Configurer BGP définie sur Désactivé, sauf si votre configuration exige spécifiquement ce paramètre. Si vous avez besoin de ce paramètre, la valeur par défaut ASN est 65515, même si vous pouvez la changer.
  2. Sélectionnez Vérifier + créer pour exécuter la validation.

  3. Une fois la validation réussie, sélectionnez Créer pour déployer la passerelle VPN.

Vous pouvez voir l’état du déploiement dans la page Vue d’ensemble pour votre passerelle. Une fois la passerelle créée, examinez le réseau virtuel dans le portail pour obtenir l’adresse IP affectée à la passerelle. Cette dernière apparaît sous la forme d’un appareil connecté.

Important

Lorsque vous travaillez avec des sous-réseaux de passerelle, évitez d’associer un groupe de sécurité réseau (NSG) au sous-réseau de passerelle. Associer un groupe de sécurité réseau à ce sous-réseau peut empêcher votre passerelle de réseau virtuel (passerelles VPN et ExpressRoute) de fonctionner comme prévu. Pour plus d’informations sur les groupes de sécurité réseau, consultez Présentation du groupe de sécurité réseau ?.

Générer des certificats

Les certificats sont utilisés par Azure pour authentifier les clients qui se connectent à un réseau virtuel via une connexion VPN point à site. Une fois que vous avez obtenu le certificat racine, vous chargez les informations de la clé publique du certificat racine vers Azure. Le certificat racine est alors considéré comme « approuvé » par Azure pour la connexion via P2S sur le réseau virtuel. Vous générez également des certificats de client à partir du certificat racine approuvé, puis vous les installez sur chaque ordinateur client. Le certificat permet d’authentifier le client lorsqu’il établit une connexion avec le réseau virtuel.

Générer un certificat racine

Obtenez le fichier .cer pour le certificat racine. Vous pouvez utiliser un certificat racine qui a été généré à l’aide d’une solution d’entreprise (recommandé), ou générer un certificat auto-signé. Après avoir créé le certificat racine, exportez les données de certificat public (et non la clé privée) en tant que fichier .cer X.509 encodé en Base64. Vous téléchargez ce fichier plus tard dans Azure.

  • Certificat d’entreprise : Si vous utilisez une solution d’entreprise, vous pouvez utiliser votre chaîne d’approbation existante. Obtenez le fichier .cer pour le certificat racine que vous souhaitez utiliser.

  • Certificat racine auto-signé : Si vous n’utilisez pas de solution de certificat d’entreprise, créez un certificat racine auto-signé. Dans le cas contraire, les certificats que vous créez ne seront pas compatibles avec vos connexions P2S, et les clients recevront une erreur de connexion lorsqu’ils essaieront de se connecter. Vous pouvez utiliser Azure PowerShell, MakeCert ou OpenSSL. Les procédures décrites dans les articles suivants expliquent comment générer un certificat racine auto-signé compatible :

    • Instructions pour PowerShell sur Windows 10 ou version ultérieure : ces instructions requièrent Windows 10 ou une version ultérieure et PowerShell pour générer des certificats. Les certificats clients qui sont générés à partir du certificat racine peuvent être installés sur n’importe quel client P2S pris en charge.
    • Instructions pour MakeCert : si vous n’avez pas accès à un ordinateur Windows 10 ou version ultérieure, utilisez MakeCert pour générer des certificats. Même si MakeCert est déconseillé, vous pouvez toujours l’utiliser pour générer des certificats. Les certificats clients que vous générez à partir du certificat racine peuvent être installés sur n’importe quel client P2S pris en charge.
    • Instructions Linux.

Générer des certificats clients

Chaque ordinateur client que vous connectez à un réseau virtuel avec une connexion point à site doit avoir un certificat client installé. Ce certificat doit être généré à partir du certificat racine, puis installé sur chaque ordinateur client. Si vous n’installez pas de certificat client valide, l’authentification échoue lorsque le client essaie de se connecter au réseau virtuel.

Vous pouvez soit générer un certificat unique pour chaque client, soir utiliser le même certificat pour plusieurs clients. Le fait de générer des certificats clients uniques vous offre la possibilité de révoquer un seul certificat. Dans le cas contraire, si plusieurs clients utilisent le même certificat client pour s’authentifier et que vous révoquez ce dernier, vous devrez générer et installer de nouveaux certificats pour chaque client qui utilise ce certificat.

Vous pouvez générer des certificats clients à l’aide des méthodes suivantes :

  • Certificat d’entreprise :

    • Si vous utilisez une solution de certificat d’entreprise, générez un certificat client avec le format de valeur de nom commun name@yourdomain.com. Utilisez ce format au lieu du format domain name\username.

    • Assurez-vous que le certificat client repose sur un modèle de certificat utilisateur qui indique Authentification client comme premier élément dans la liste d’utilisateurs. Vérifiez le certificat en double-cliquant dessus et en affichant Utilisation avancée de la clé dans l’onglet Détails.

  • Certificat racine auto-signé : Suivez la procédure décrite dans l’un des articles concernant les certificats P2S ci-dessous pour créer des certificats clients compatibles avec vos connexions P2S.

    Lorsque vous générez un certificat client à partir d’un certificat racine auto-signé, ce certificat est automatiquement installé sur l’ordinateur que vous avez utilisé pour le générer. Si vous souhaitez installer un certificat client sur un autre ordinateur client, exportez-le en tant que fichier .pfx, avec l’intégralité de la chaîne du certificat. Cette opération crée un fichier .pfx contenant les informations de certificat racine requises pour l’authentification du client.

    Les procédures décrites dans ces articles permettent de générer un certificat client compatible, que vous pouvez ensuite exporter et distribuer.

    • Instructions pour PowerShell sur Windows 10 ou version ultérieure : ces instructions requièrent Windows 10 ou une version ultérieure, et PowerShell pour générer des certificats. Les certificats qui sont générés peuvent être installés sur n’importe quel client P2S pris en charge.

    • Instructions pour MakeCert : si vous n’avez pas accès à un ordinateur Windows 10 ou version ultérieure, utilisez MakeCert pour générer des certificats. Même si MakeCert est déconseillé, vous pouvez toujours l’utiliser pour générer des certificats. Vous pouvez installer les certificats générés sur n’importe quel client P2S pris en charge.

    • Instructions Linux.

Ajouter le pool d’adresses du client VPN

Le pool d’adresses des clients est une plage d’adresses IP privées que vous spécifiez. Les clients qui se connectent via un VPN point à site reçoivent de façon dynamique une adresse IP de cette plage. Utilisez une plage d’adresses IP privées qui ne chevauche ni l’emplacement local à partir duquel vous vous connectez ni le réseau virtuel auquel vous souhaitez vous connecter. Si vous configurez plusieurs protocoles et que SSTP est l’un d’entre eux, le pool d’adresses configuré est réparti de manière égale entre les protocoles configurés.

  1. Une fois la passerelle de réseau virtuel créée, accédez à la section Paramètres de la page Passerelle de réseau virtuel. Dans Paramètres, sélectionnez Configuration de point à site. Sélectionnez Configurer pour ouvrir la page de configuration.

    Page de la configuration point à site

  2. Dans la page Configuration point à site, dans la zone Pool d’adresses, ajoutez la plage d’adresses IP privées que vous souhaitez utiliser. Les clients VPN reçoivent dynamiquement une adresse IP à partir de la plage que vous spécifiez. Le masque minimal de sous-réseau est de 29 bits pour la configuration active/passive, et de 28 bits pour la configuration active/active.

  3. Passez à la section suivante pour configurer les différents types d’authentification et de tunnels.

Spécifier le type de tunnel et le type d’authentification

Dans cette section, vous précisez le type de tunnel et le type d’authentification. Si vous ne voyez pas le type de tunnel ou le type d’authentification sur la page de la configuration point à site, votre passerelle utilise la référence SKU de base. La référence SKU De base ne prend pas en charge IKEv2 ou l’authentification RADIUS. Si vous souhaitez utiliser ces paramètres, vous devez supprimer et recréer la passerelle à l’aide d’une autre référence SKU de passerelle.

Type de tunnel

Dans la page Configuration point à site, sélectionnez le Type de tunnel. Lorsque vous sélectionnez le type de tunnel, notez les points suivants :

  • Le client strongSwan, sur Android et Linux, et le client VPN IKEv2 natif, sur iOS et macOS, n’utiliseront que le type de tunnel IKEv2 pour se connecter.
  • Les clients Windows essaieront IKEv2 en premier lieu. En cas d’échec de la connexion, ils utiliseront SSTP.
  • Vous pouvez utiliser le client OpenVPN pour la connexion au type de tunnel OpenVPN.

Type d'authentification

Pour le Type d’authentification, sélectionnez Certificat Azure.

Capture d’écran du type d’authentification avec le certificat Azure sélectionné.

Charger les informations de la clé publique du certificat racine

Dans cette section, vous allez charger dans Azure les données de certificat racine publiques. Une fois que les données de certificat public sont chargées, Azure peut les utiliser pour authentifier les clients qui ont installé un certificat client généré à partir du certificat racine approuvé.

  1. Accédez à votre page Passerelle de réseau virtuel - Configuration point à site dans la section Certificat racine. Cette section est visible uniquement si vous avez sélectionné Certificat Azure comme type d’authentification.

  2. Vérifiez que vous avez exporté le certificat racine sous la forme d’un fichier X.509 codé en base 64 (.cer) dans les étapes précédentes. Vous devez exporter le certificat dans ce format pour être en mesure de l’ouvrir avec un éditeur de texte. Vous n’avez pas besoin d’exporter la clé privée.

    Capture d’écran montrant l’exportation au format X.509 codé en base 64.

  3. Ouvrez le certificat avec un éditeur de texte, Bloc-notes par exemple. Lors de la copie des données de certificat, assurez-vous que vous copiez le texte en une seule ligne continue sans retour chariot ou sauts de ligne. Vous devrez peut-être modifier l’affichage dans l’éditeur de texte en activant « Afficher les symboles/Afficher tous les caractères » pour afficher les retours chariot et sauts de ligne. Copiez uniquement la section suivante sur une seule ligne continue :

    Capture d’écran montrant des informations de certificat racine dans le Bloc-notes.

  4. Dans la section Certificat racine, vous pouvez ajouter jusqu’à 20 certificats racine approuvés.

    • Collez les données du certificat dans le champ Données de certificat public.
    • Donnez un Nom au certificat.

    Capture d’écran du champ des données de certificat.

  5. Sélectionnez Enregistrer en haut de la page pour enregistrer tous les paramètres de configuration.

    Capture d’écran de la configuration de P2S avec l’option Enregistrer sélectionnée.

Installer un certificat client exporté

Si vous souhaitez créer une connexion P2S à partir d’un ordinateur client différent de celui que vous avez utilisé pour générer les certificats clients, vous devez installer un certificat client. Quand vous installez un certificat client, vous avez besoin du mot de passe créé lors de l’exportation du certificat client.

Assurez-vous que le certificat client a été exporté dans un fichier .pfx avec la totalité de la chaîne du certificat (qui est la valeur par défaut). Dans le cas contraire, les informations du certificat racine ne sont pas présentes sur l’ordinateur client et le client ne pourra pas s’authentifier correctement.

Pour la procédure d’installation, consultez Installer un certificat client.

Configurer les paramètres des clients VPN

Pour vous connecter à la passerelle de réseau virtuel à l’aide d’une connexion P2S, chaque ordinateur utilise le client VPN qui est installé en mode natif dans le cadre du système d’exploitation. Par exemple, quand vous accédez aux paramètres VPN sur votre ordinateur Windows, vous pouvez ajouter des connexions VPN sans installer de client VPN distinct. Vous configurez chaque client VPN à l’aide d’un package de configuration client. Le package de configuration du client contient des paramètres spécifiques à la passerelle VPN que vous avez créée.

Pour connaître les étapes de génération et d’installation des fichiers de configuration du client VPN, consultez Configurer des clients VPN point à site - authentification par certificat.

Se connecter à Azure

Se connecter à partir d’un client VPN Windows

Notes

Vous devez disposer de droits d’administrateur sur l’ordinateur client Windows à partir duquel vous vous connectez.

  1. Pour vous connecter à votre réseau virtuel, sur l’ordinateur client, accédez aux paramètres VPN et recherchez la connexion VPN que vous avez créée. Elle porte le même nom que votre réseau virtuel. Sélectionnez Connecter. Un message contextuel faisant référence à l’utilisation du certificat peut s’afficher. Sélectionnez Continuer pour utiliser des privilèges élevés.

  2. Sur la page d'état Connexion, sélectionnez Connecter pour établir la connexion. Si un écran Sélectionner un certificat apparaît, vérifiez que le certificat client affiché est celui que vous souhaitez utiliser pour la connexion. Dans le cas contraire, utilisez la flèche déroulante pour sélectionner le certificat approprié, puis sélectionnez OK.

    Se connecter à partir d’un client VPN Windows

  3. Votre connexion est établie.

    Diagramme de connexion point à site d’un ordinateur à un réseau virtuel Azure

Si vous rencontrez des problèmes pour vous connecter, effectuez les vérifications suivantes :

  • Si vous avez exporté un certificat client avec l'Assistant Exportation de certificat, vérifiez que vous l’avez exporté au format .pfx et sélectionné Inclure tous les certificats dans le chemin d’accès de certification, si possible. Lorsque vous l'exportez avec cette valeur, les informations de certificat racine sont également exportées. Après avoir installé le certificat sur l'ordinateur client, le certificat racine situé dans le fichier .pfx est également installé. Pour vérifier que le certificat racine est installé, ouvrez Gérer les certificats utilisateur et sélectionnez Autorités de certification racines de confiance\Certificats. Vérifiez que le certificat racine y est répertorié car il doit être présent pour permettre à l'authentification d'aboutir.

  • Si vous avez utilisé un certificat qui émis par une autorité de certification d’entreprise et rencontrez des problèmes d’authentification, examinez l’ordre de l’authentification sur le certificat client. Vérifiez l’ordre de la liste d’authentification en double-cliquant sur le certificat client et en sélectionnant l'onglet Détail, puis Utilisation améliorée de la clé. Assurez-vous que le premier élément de la liste correspond à Authentification client. Si ce n’est pas le cas, émettez un certificat client basé sur le modèle Utilisateur disposant de l’authentification client comme premier élément dans la liste.

  • Pour plus d’informations sur la résolution des problèmes liés à P2S, consultez Résoudre les problèmes de connexions liés à P2S.

Pour se connecter à partir d’un client VPN Mac

Dans la boîte de dialogue Réseau, recherchez le profil client que vous souhaitez utiliser, spécifiez les paramètres du fichier VpnSettings.xml, puis sélectionnez Se connecter. Pour obtenir des instructions détaillées, consultez Configurer des clients VPN point à site - authentification par certificat - macOS.

Si vous rencontrez des problèmes de connexion, vérifiez que la passerelle de réseau virtuel n’utilise pas de référence SKU De base. La référence SKU De base n’est pas prise en charge pour les clients Mac.

Capture d’écran montrant le bouton de connexion.

Pour vérifier votre connexion

Ces instructions s’appliquent aux clients Windows.

  1. Pour vérifier que votre connexion VPN est active, ouvrez une invite de commandes avec élévation de privilèges, puis exécutez ipconfig/all.

  2. Affichez les résultats. Notez que l’adresse IP que vous avez reçue est l’une des adresses du pool d’adresses de client VPN point à site que vous avez spécifiées dans votre configuration. Les résultats ressemblent à l’exemple qui suit :

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.3(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

Pour vous connecter à un ordinateur virtuel

Ces instructions s’appliquent aux clients Windows.

Vous pouvez vous connecter à une machine virtuelle déployée sur votre réseau virtuel en créant une connexion Bureau à distance à votre machine virtuelle. La meilleure méthode pour vérifier initialement que vous pouvez vous connecter à votre machine virtuelle consiste à vous connecter à l’aide de son adresse IP privée, plutôt qu’avec le nom d’ordinateur. Vous testez ainsi si vous pouvez vous connecter, que la résolution de nom soit configurée correctement ou non.

  1. Recherchez l’adresse IP privée. L’adresse IP privée d’une machine virtuelle peut être trouvée en étudiant les propriétés de la machine virtuelle dans le portail Azure ou à l’aide de PowerShell.

    • Portail Azure : recherchez votre machine virtuelle dans le portail Azure. Affichez les propriétés de la machine virtuelle. L’adresse IP privée est répertoriée.

    • PowerShell : utilisez l’exemple pour afficher la liste des machines virtuelles et adresses IP privées de vos groupes de ressources. Vous n’avez pas besoin de modifier cet exemple pour pouvoir l’utiliser.

      $VMs = Get-AzVM
      $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
      
      foreach ($Nic in $Nics) {
      $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
      $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
      $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
      Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Vérifiez que vous êtes connecté à votre VNet.

  3. Ouvrez une connexion Bureau à distance en saisissant « RDP » ou « Connexion Bureau à distance » dans la zone de recherche de la barre des tâches, puis sélectionnez la connexion Bureau à distance. Vous pouvez également ouvrir une connexion Bureau à distance à l’aide de la commande « mstsc » dans PowerShell.

  4. Dans Connexion Bureau à distance, entrez l’adresse IP privée de la machine virtuelle. Vous pouvez sélectionner « Afficher les options » pour définir des paramètres supplémentaires, puis connectez-vous.

Résoudre les problèmes d’une connexion

Si vous rencontrez des problèmes de connexion à une machine virtuelle sur votre connexion VPN, vérifiez les points suivants :

  • Vérifiez que le package de configuration du client VPN a été généré après que les adresses IP du serveur DNS ont été spécifiées pour le réseau virtuel. Si vous avez mis à jour les adresses IP du serveur DNS, générez et installez un package de configuration du client VPN.

  • Utilisez « ipconfig » pour vérifier l’adresse IPv4 attribuée à l’adaptateur Ethernet sur l’ordinateur à partir duquel vous vous connectez. Si l’adresse IP est comprise dans la plage d’adresses du réseau virtuel auquel vous vous connectez, ou dans la plage d’adresses de votre VPNClientAddressPool, cette situation est désignée sous le terme d’espaces d’adressage qui se chevauchent. Lorsque vos espaces d’adressage se chevauchent de cette façon, le trafic réseau n’atteint pas Azure et reste sur le réseau local.

Pour ajouter ou supprimer des certificats racine approuvés

Vous pouvez ajouter et supprimer des certificats racines approuvés à partir d'Azure. Lorsque vous supprimez un certificat racine, les clients qui possèdent un certificat généré à partir de cette racine ne seront plus en mesure de s’authentifier, et donc de se connecter. Si vous souhaitez que des clients s’authentifient et se connectent, vous devez installer un nouveau certificat client généré à partir d’un certificat racine approuvé (téléchargé) dans Azure.

Vous pouvez ajouter jusqu’à 20 fichiers .cer de certificat racine approuvés dans Azure. Pour obtenir des instructions, consultez la section Charger un certificat racine approuvé.

Pour supprimer un certificat racine approuvé :

  1. Accédez à la page Configuration de point à site pour votre passerelle de réseau virtuel.
  2. Dans la section Certificat racine de la page, recherchez le certificat que vous souhaitez supprimer.
  3. Sélectionnez les points de suspension à côté du certificat, puis sélectionnez Supprimer.

Révocation d'un certificat client

Vous pouvez révoquer des certificats clients. La liste de révocation de certificat vous permet de refuser sélectivement la connexion point à site en fonction des certificats clients individuels. Cela est différent de la suppression d’un certificat racine approuvé. Si vous supprimez un fichier .cer de certificat racine approuvé d’Azure, vous révoquez l’accès pour tous les certificats clients générés/signés par le certificat racine révoqué. Le fait de révoquer un certificat client plutôt que le certificat racine permet de continuer à utiliser les autres certificats générés à partir du certificat racine pour l’authentification.

La pratique courante consiste à utiliser le certificat racine pour gérer l'accès au niveaux de l'équipe ou de l'organisation, tout en utilisant des certificats clients révoqués pour le contrôle d'accès précis des utilisateurs individuels.

Vous pouvez révoquer un certificat client en ajoutant son empreinte à la liste de révocation.

  1. Récupérez l’empreinte du certificat client. Pour plus d’informations, consultez l’article Comment : récupérer l’empreinte numérique d’un certificat.
  2. Copiez les informations dans un éditeur de texte et supprimez tous les espaces afin d’obtenir une chaîne continue.
  3. Accédez à la page Configuration de point à site de la passerelle de réseau virtuel. Il s’agit de la page que vous avez utilisé pour charger un certificat racine approuvé.
  4. Dans la section Certificats révoqués, entrez un nom convivial pour le certificat (il ne s’agit pas forcément du nom commun du certificat).
  5. Copiez et collez la chaîne d’empreinte numérique dans le champ Empreinte.
  6. L’empreinte est validée, puis automatiquement ajoutée à la liste de révocation. Un message apparaît pour indiquer que la liste est en cours de mise à jour.
  7. Une fois la mise à jour terminée, le certificat ne peut plus être utilisé pour se connecter. Les clients qui tentent de se connecter à l’aide de ce certificat reçoivent un message indiquant que le certificat n’est plus valide.

Forum Aux Questions sur les connexions point à site

Pour accéder aux questions fréquentes (FAQ), consultez la FAQ.

Étapes suivantes

Une fois la connexion achevée, vous pouvez ajouter des machines virtuelles à vos réseaux virtuels. Pour plus d’informations, consultez Machines virtuelles. Pour plus d’informations sur la mise en réseau et les machines virtuelles, consultez Vue d’ensemble du réseau de machines virtuelles Azure et Linux.

Pour plus d’informations sur la résolution des problèmes liés aux connexions de point à site, consultez l’article Résolution des problèmes de connexion de point à site Azure.