Travail à distance à l’aide d’une connexion point à site par passerelle VPN Azure

  • Article

Notes

Cet article vous explique comment tirer parti d'une Passerelle VPN Azure, d'Azure, du réseau Microsoft et de l'écosystème de partenaires Azure pour travailler à distance et atténuer les problèmes de réseau auxquels vous êtes confronté dans le contexte de la crise de la COVID-19.

Cet article décrit les options disponibles pour les organisations afin de configurer l’accès à distance de leurs utilisateurs ou de compléter leurs solutions existantes avec une capacité supplémentaire pendant l’épidémie de COVID-19.

La solution point à site Azure est basée sur le cloud et peut être provisionnée rapidement pour répondre à la demande croissante des utilisateurs désireux de travailler à partir de leur domicile. Elle peut facilement faire un scale-up et se désactiver tout aussi facilement et rapidement quand la capacité augmentée n’est plus nécessaire.

À propos du VPN de point à site

Une connexion par passerelle VPN point à site (P2S) vous permet de créer une connexion sécurisée à votre réseau virtuel à partir d’un ordinateur de client individuel. Une connexion P2S est établie en étant démarrée à partir de l’ordinateur client. Cette solution est utile pour les télétravailleurs désireux de se connecter à des réseaux virtuels Azure ou à des centres de données locaux à partir d’un emplacement distant tel que leur domicile ou une salle de conférence. Cet article explique comment permettre aux utilisateurs de travailler à distance dans diverses circonstances.

Le tableau suivant présente les systèmes d’exploitation clients et les options d’authentification disponibles. Il serait utile de sélectionner la méthode d’authentification en fonction du système d’exploitation client déjà utilisé. Par exemple, sélectionnez OpenVPN avec l’authentification basée sur les certificats si vous avez plusieurs systèmes d’exploitation clients qui doivent se connecter. Notez également qu’un VPN point à site est pris en charge uniquement sur des passerelles VPN basées sur un itinéraire.

Screenshot that shows client operating systems and available authentication options.

Scénario 1 : les utilisateurs doivent accéder à des ressources seulement dans Azure

Dans ce scénario, les utilisateurs distants doivent accéder uniquement à des ressources qui se trouvent dans Azure.

Diagram that shows a point-to-site scenario for users that need access to resources in Azure only.

À un niveau élevé, les étapes suivantes sont nécessaires pour permettre aux utilisateurs de se connecter aux ressources Azure en toute sécurité :

  1. Créer une passerelle de réseau virtuel (s’il n’en existe pas).

  2. Configurer un VPN point à site sur la passerelle.

    • Pour l’authentification par certificat, suivez ce lien.
    • Pour OpenVPN, suivez ce lien.
    • Afin de vous authentifier auprès de Microsoft Entra, suivez ce lien.
    • Pour résoudre les problèmes de connexion de point à site, suivez ce lien.

  3. Télécharger et distribuer la configuration de client VPN.

  4. Distribuer les certificats (si l’authentification par certificat est sélectionnée) aux clients.

  5. Se connecter au VPN Azure.

Scénario 2 : les utilisateurs doivent accéder à des ressources dans Azure et/ou localement

Dans ce scénario, les utilisateurs distants doivent accéder à des ressources qui se trouvent dans Azure et dans des centres de données locaux.

Diagram that shows a point-to-site scenario for users that need access to resources in Azure.

À un niveau élevé, les étapes suivantes sont nécessaires pour permettre aux utilisateurs de se connecter aux ressources Azure en toute sécurité :

  1. Créer une passerelle de réseau virtuel (s’il n’en existe pas).
  2. Configurer un VPN point à site sur la passerelle (voir Scénario 1).
  3. Configurer un tunnel site à site sur la passerelle de réseau virtuel Azure avec BGP activé.
  4. Configurer l’appareil local pour se connecter à la passerelle de réseau virtuel Azure.
  5. Télécharger le profil point à site à partir du portail Azure et le distribuer aux clients

Pour découvrir comment configurer un tunnel VPN site à site, suivez ce lien.

Forum Aux Questions (FAQ) sur l’authentification par certificat Azure native

De combien de points de terminaison de client VPN pouvez-vous disposer dans votre configuration de point à site ?

Cela dépend de la référence SKU de passerelle. Pour plus d’informations sur le nombre de connexions prises en charge, consultez Références SKU de passerelle.

Quels systèmes d’exploitation clients puis-je utiliser avec une connexion point à site ?

Les systèmes d’exploitation clients pris en charge sont les suivants :

  • Windows Server 2008 R2 (64 bits uniquement)
  • Windows 8.1 (32 bits et 64 bits)
  • Windows Server 2012 (64 bits uniquement)
  • Windows Server 2012 R2 (64 bits uniquement)
  • Windows Server 2016 (64 bits uniquement)
  • Windows Server 2019 (64 bits uniquement)
  • Windows Server 2022 (64 bits uniquement)
  • Windows 10
  • Windows 11
  • macOS version 10.11 ou supérieure
  • Linux (StrongSwan)
  • iOS

Pouvez-vous parcourir les proxys et les pare-feu à l'aide de la fonction point à site ?

Azure prend en charge trois types d’options de VPN point à site :

  • Protocole SSTP (Secure Socket Tunneling Protocol). SSTP est une solution SSL propriétaire de Microsoft qui peut pénétrer les pare-feu, car la plupart des pare-feu ouvrent le port TCP 443 sortant utilisé par SSL.

  • OpenVPN. OpenVPN est une solution SSL qui peut pénétrer les pare-feu, car la plupart des pare-feu ouvrent le port TCP 443 sortant utilisé par SSL.

  • VPN IKEv2. Le VPN IKEv2 est une solution VPN IPsec basée sur des normes qui utilise les ports UDP 500 et 4500 sortants ainsi que le protocole IP no 50. Les pare-feu n’ouvrent pas toujours ces ports. Il est donc possible que le VPN IKEv2 ne soit pas en mesure de parcourir les proxies et pare-feu.

Si vous redémarrez un ordinateur client configuré pour la connectivité de point à site, le VPN va-t-il se reconnecter automatiquement ?

La reconnexion automatique est une fonction du client utilisé. Windows prend en charge la reconnexion automatique en configurant la fonctionnalité du client Always On VPN.

Les connexions point à site prennent-elles en charge DDNS sur les clients VPN ?

DDNS n’est actuellement pas pris en charge dans les VPN point à site.

Puis-je avoir des configurations coexistantes site à site et point à site pour un même réseau virtuel ?

Oui. Pour le modèle de déploiement Resource Manager, vous devez disposer d’un type de VPN basé sur le routage pour votre passerelle. Pour le modèle de déploiement Classic, vous avez besoin d’une passerelle dynamique. Nous ne prenons pas en charge la configuration point à site pour les passerelles VPN à routage statique ou les passerelles VPN basée sur une stratégie.

Puis-je configurer un client point à site pour me connecter à plusieurs passerelles de réseaux virtuels en même temps ?

En fonction du logiciel VPN Client utilisé, vous pouvez vous connecter à plusieurs passerelles de réseaux virtuels, à condition que les réseaux virtuels qui y sont connectés n’aient pas d’espaces d’adressage en conflit entre eux ou avec le réseau à partir duquel le client se connecte. Azure VPN Client prend en charge de nombreuses connexions VPN, mais une seule connexion peut être connectée à un moment M.

Pouvez-vous configurer un client de point à site pour la connexion à plusieurs réseaux virtuels en même temps ?

Oui, les connexions client point à site à une passerelle de réseau virtuel déployée dans un réseau virtuel appairé à d’autres réseaux virtuels peuvent avoir accès à d’autres réseaux virtuels appairés. Les clients point à site sont en mesure de se connecter à des réseaux virtuels appairés tant que ceux-ci utilisent les fonctionnalités UseRemoteGateway/AllowGatewayTransit. Pour plus d’informations, consultez À propos du routage point à site.

Quel débit puis-je attendre des connexions site à site ou point à site ?

Il est difficile de maintenir le débit exact des tunnels VPN. IPsec et SSTP sont des protocoles VPN de chiffrement lourd. Le débit est également limité par la latence et la bande passante entre vos locaux et Internet. Pour une passerelle VPN ne disposant que des connexions VPN point à site IKEv2, le débit total que vous obtiendrez dépendra de la référence SKU de passerelle. Pour plus d’informations sur le débit, consultez Références SKU de passerelle.

Puis-je utiliser un client VPN logiciel pour une connexion point à site prenant en charge SSTP et/ou IKEv2 ?

Non. Vous ne pouvez utiliser le client VPN natif sur Windows que pour SSTP et pour le client VPN natif sur Mac pour IKEv2. Toutefois, vous pouvez utiliser le client OpenVPN sur toutes les plateformes pour vous connecter via le protocole OpenVPN. Consultez la liste des systèmes d’exploitation client pris en charge.

Puis-je modifier le type d’authentification pour une connexion point à site ?

Oui. Dans le portail, accédez à la page Passerelle VPN -> Configuration point à site. Pour Type d’authentification, sélectionnez les types d’authentification à utiliser. Notez qu’une fois que vous avez modifié un type d’authentification, il se peut que des clients actuels ne puissent pas se connecter tant qu’un nouveau profil de configuration de client VPN n’a pas été généré, téléchargé et appliqué à chaque client VPN.

Azure prend-elle en charge le VPN IKEv2 avec Windows ?

Le protocole IKEv2 est pris en charge sur Windows 10 et Server 2016. Toutefois, pour pouvoir utiliser le protocole IKEv2 dans certaines versions de système d’exploitation, vous devez installer les mises à jour et définir une valeur de clé de Registre localement. Les versions de système d’exploitation antérieures à Windows 10 ne sont pas prises en charge. Elles peuvent uniquement utiliser le protocole SSTP ou OpenVPN®.

Notes

Ces étapes ne sont pas nécessaires dans les builds de système d’exploitation Windows ultérieures à Windows 10 version 1709 et Windows Server 2016 version 1607.

Pour préparer Windows 10 ou Server 2016 pour IKEv2 :

  1. Installez la mise à jour en fonction de la version de votre système d’exploitation :

    Version du SE Date Nombre/lien
    Windows Server 2016
    Windows 10 version 1607    		 17 janvier 2018 KB4057142
    Windows 10 version 1703 17 janvier 2018 KB4057144
    Windows 10 version 1709 22 mars 2018 KB4089848

  2. Définissez la valeur de clé de Registre. Créer ou de définir la clé REG_DWORD « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload » sur 1 dans le Registre.

Quelle est la limite du sélecteur de trafic IKEv2 pour les connexions point à site ?

Windows 10 version 2004 (publié en septembre 2021) a augmenté la limite de sélecteur de trafic à 255. Les versions antérieures de Windows ont une limite de sélecteur de trafic de 25.

La limite de sélecteurs de trafic dans Windows détermine le nombre maximal d’espaces d’adressage dans votre réseau virtuel et la somme maximale de vos réseaux locaux, connexions VNet-à-VNet et réseaux VNet appairés connectés à la passerelle. Les clients Windows point à site ne pourront pas se connecter via IKEv2 s’ils dépassent cette limite.

Que se passe-t-il lorsque je configure SSTP et IKEv2 pour les connexions VPN P2S ?

Lorsque vous configurez SSTP et IKEv2 dans un environnement mixte (composé d’appareils Windows et Mac), le client VPN Windows essaiera toujours le tunnel IKEv2 d’abord, mais il reviendra à SSTP si la connexion IKEv2 n’a pas abouti. MacOSX se connecte uniquement via le protocole IKEv2.

Lorsque SSTP et IKEv2 sont activés sur la passerelle, le pool d’adresses point à site est divisé statiquement entre les deux, de sorte que les clients utilisant des protocoles différents se voient attribuer des adresses IP de l’une ou l’autre sous-plage. Notez que la quantité maximale de clients SSTP est toujours de 128, même si la plage d’adresses est supérieure à /24, ce qui entraîne une plus grande quantité d’adresses disponibles pour les clients IKEv2. Pour les plages plus petites, le pool sera divisé par deux de manière égale. Les sélecteurs de trafic utilisés par la passerelle ne peuvent pas inclure le routage CIDR de la plage d’adresses point à site, uniquement les deux routages CIDR de sous-plage.

À part Windows et Mac, quelles autres plateformes sont prises en charge par Azure pour le réseau VPN P2S ?

Azure prend en charge Windows, Mac et Linux pour les VPN point à site (P2S).

J’ai déjà une passerelle VPN Azure déployée. Puis-je activer RADIUS et/ou le réseau VPN IKEv2 sur celle-ci ?

Oui, si la référence (SKU) de passerelle que vous utilisez prend en charge RADIUS ou IKEv2, vous pouvez activer ces fonctionnalités sur des passerelles que vous avez déjà déployées à l’aide de PowerShell ou du portail Azure. La référence (SKU) De base ne prend en charge ni RADIUS, ni IKEv2.

Comment supprimer la configuration d’une connexion P2S ?

Vous pouvez supprimer une configuration P2S avec Azure CLI et PowerShell en utilisant les commandes suivantes :

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Que dois-je faire si j’obtiens une incompatibilité de certificat lors de la connexion à l’aide de l’authentification par certificat ?

Décochez « Vérifier l’identité du serveur en validant le certificat », ou ajoutez le nom de domaine complet du serveur avec le certificat lors de la création manuelle d’un profil. Pour ce faire, exécutez rasphone à partir d’une invite de commandes et choisissez le profil dans la liste déroulante.

Ignorer la validation de l’identité du serveur n’est pas recommandé en général, mais avec l’authentification par certificat Azure, le même certificat est utilisé pour la validation du serveur dans le protocole de tunneling VPN (IKEv2/SSTP) et le protocole EAP. Étant donné que le certificat de serveur et le nom de domaine complet sont déjà validés par le protocole de tunneling VPN, il est redondant de les valider de nouveau dans EAP.

point-to-site auth

Puis-je utiliser ma propre AC racine PKI interne pour générer des certificats pour une connectivité point à site ?

Oui. Auparavant, seuls les certificats racines auto-signés pouvaient être utilisés. Vous pouvez toujours charger 20 certificats racine.

Puis-je utiliser des certificats Azure Key Vault ?

Non.

Quels outils puis-je utiliser pour créer des certificats ?

Vous pouvez utiliser votre solution de PKI d’entreprise (votre PKI interne), Azure PowerShell, MakeCert et OpenSSL.

Y a-t-il des instructions pour les paramètres de certificat ?

  • PKI interne/Solution PKI d’entreprise : reportez-vous aux étapes de génération des certificats.

  • Azure PowerShell : consultez l’article Azure PowerShell pour connaître la procédure.

  • MakeCert : consultez l’article MakeCert pour connaître la procédure.

  • OpenSSL :

    • Lors de l’exportation de certificats, veillez à convertir le certificat racine en Base64.

    • Pour le certificat client :

      • Lorsque vous créez la clé privée, spécifiez la longueur 4096.
      • Lors de la création du certificat, pour le paramètre -extensions, spécifiez usr_cert.

Forum Aux Questions (FAQ) sur l’authentification RADIUS

De combien de points de terminaison de client VPN pouvez-vous disposer dans votre configuration de point à site ?

Cela dépend de la référence SKU de passerelle. Pour plus d’informations sur le nombre de connexions prises en charge, consultez Références SKU de passerelle.

Quels systèmes d’exploitation clients puis-je utiliser avec une connexion point à site ?

Les systèmes d’exploitation clients pris en charge sont les suivants :

  • Windows Server 2008 R2 (64 bits uniquement)
  • Windows 8.1 (32 bits et 64 bits)
  • Windows Server 2012 (64 bits uniquement)
  • Windows Server 2012 R2 (64 bits uniquement)
  • Windows Server 2016 (64 bits uniquement)
  • Windows Server 2019 (64 bits uniquement)
  • Windows Server 2022 (64 bits uniquement)
  • Windows 10
  • Windows 11
  • macOS version 10.11 ou supérieure
  • Linux (StrongSwan)
  • iOS

Pouvez-vous parcourir les proxys et les pare-feu à l'aide de la fonction point à site ?

Azure prend en charge trois types d’options de VPN point à site :

  • Protocole SSTP (Secure Socket Tunneling Protocol). SSTP est une solution SSL propriétaire de Microsoft qui peut pénétrer les pare-feu, car la plupart des pare-feu ouvrent le port TCP 443 sortant utilisé par SSL.

  • OpenVPN. OpenVPN est une solution SSL qui peut pénétrer les pare-feu, car la plupart des pare-feu ouvrent le port TCP 443 sortant utilisé par SSL.

  • VPN IKEv2. Le VPN IKEv2 est une solution VPN IPsec basée sur des normes qui utilise les ports UDP 500 et 4500 sortants ainsi que le protocole IP no 50. Les pare-feu n’ouvrent pas toujours ces ports. Il est donc possible que le VPN IKEv2 ne soit pas en mesure de parcourir les proxies et pare-feu.

Si vous redémarrez un ordinateur client configuré pour la connectivité de point à site, le VPN va-t-il se reconnecter automatiquement ?

La reconnexion automatique est une fonction du client utilisé. Windows prend en charge la reconnexion automatique en configurant la fonctionnalité du client Always On VPN.

Les connexions point à site prennent-elles en charge DDNS sur les clients VPN ?

DDNS n’est actuellement pas pris en charge dans les VPN point à site.

Puis-je avoir des configurations coexistantes site à site et point à site pour un même réseau virtuel ?

Oui. Pour le modèle de déploiement Resource Manager, vous devez disposer d’un type de VPN basé sur le routage pour votre passerelle. Pour le modèle de déploiement Classic, vous avez besoin d’une passerelle dynamique. Nous ne prenons pas en charge la configuration point à site pour les passerelles VPN à routage statique ou les passerelles VPN basée sur une stratégie.

Puis-je configurer un client point à site pour me connecter à plusieurs passerelles de réseaux virtuels en même temps ?

En fonction du logiciel VPN Client utilisé, vous pouvez vous connecter à plusieurs passerelles de réseaux virtuels, à condition que les réseaux virtuels qui y sont connectés n’aient pas d’espaces d’adressage en conflit entre eux ou avec le réseau à partir duquel le client se connecte. Azure VPN Client prend en charge de nombreuses connexions VPN, mais une seule connexion peut être connectée à un moment M.

Pouvez-vous configurer un client de point à site pour la connexion à plusieurs réseaux virtuels en même temps ?

Oui, les connexions client point à site à une passerelle de réseau virtuel déployée dans un réseau virtuel appairé à d’autres réseaux virtuels peuvent avoir accès à d’autres réseaux virtuels appairés. Les clients point à site sont en mesure de se connecter à des réseaux virtuels appairés tant que ceux-ci utilisent les fonctionnalités UseRemoteGateway/AllowGatewayTransit. Pour plus d’informations, consultez À propos du routage point à site.

Quel débit puis-je attendre des connexions site à site ou point à site ?

Il est difficile de maintenir le débit exact des tunnels VPN. IPsec et SSTP sont des protocoles VPN de chiffrement lourd. Le débit est également limité par la latence et la bande passante entre vos locaux et Internet. Pour une passerelle VPN ne disposant que des connexions VPN point à site IKEv2, le débit total que vous obtiendrez dépendra de la référence SKU de passerelle. Pour plus d’informations sur le débit, consultez Références SKU de passerelle.

Puis-je utiliser un client VPN logiciel pour une connexion point à site prenant en charge SSTP et/ou IKEv2 ?

Non. Vous ne pouvez utiliser le client VPN natif sur Windows que pour SSTP et pour le client VPN natif sur Mac pour IKEv2. Toutefois, vous pouvez utiliser le client OpenVPN sur toutes les plateformes pour vous connecter via le protocole OpenVPN. Consultez la liste des systèmes d’exploitation client pris en charge.

Puis-je modifier le type d’authentification pour une connexion point à site ?

Oui. Dans le portail, accédez à la page Passerelle VPN -> Configuration point à site. Pour Type d’authentification, sélectionnez les types d’authentification à utiliser. Notez qu’une fois que vous avez modifié un type d’authentification, il se peut que des clients actuels ne puissent pas se connecter tant qu’un nouveau profil de configuration de client VPN n’a pas été généré, téléchargé et appliqué à chaque client VPN.

Azure prend-elle en charge le VPN IKEv2 avec Windows ?

Le protocole IKEv2 est pris en charge sur Windows 10 et Server 2016. Toutefois, pour pouvoir utiliser le protocole IKEv2 dans certaines versions de système d’exploitation, vous devez installer les mises à jour et définir une valeur de clé de Registre localement. Les versions de système d’exploitation antérieures à Windows 10 ne sont pas prises en charge. Elles peuvent uniquement utiliser le protocole SSTP ou OpenVPN®.

Notes

Ces étapes ne sont pas nécessaires dans les builds de système d’exploitation Windows ultérieures à Windows 10 version 1709 et Windows Server 2016 version 1607.

Pour préparer Windows 10 ou Server 2016 pour IKEv2 :

  1. Installez la mise à jour en fonction de la version de votre système d’exploitation :

    Version du SE Date Nombre/lien
    Windows Server 2016
    Windows 10 version 1607    		 17 janvier 2018 KB4057142
    Windows 10 version 1703 17 janvier 2018 KB4057144
    Windows 10 version 1709 22 mars 2018 KB4089848

  2. Définissez la valeur de clé de Registre. Créer ou de définir la clé REG_DWORD « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload » sur 1 dans le Registre.

Quelle est la limite du sélecteur de trafic IKEv2 pour les connexions point à site ?

Windows 10 version 2004 (publié en septembre 2021) a augmenté la limite de sélecteur de trafic à 255. Les versions antérieures de Windows ont une limite de sélecteur de trafic de 25.

La limite de sélecteurs de trafic dans Windows détermine le nombre maximal d’espaces d’adressage dans votre réseau virtuel et la somme maximale de vos réseaux locaux, connexions VNet-à-VNet et réseaux VNet appairés connectés à la passerelle. Les clients Windows point à site ne pourront pas se connecter via IKEv2 s’ils dépassent cette limite.

Que se passe-t-il lorsque je configure SSTP et IKEv2 pour les connexions VPN P2S ?

Lorsque vous configurez SSTP et IKEv2 dans un environnement mixte (composé d’appareils Windows et Mac), le client VPN Windows essaiera toujours le tunnel IKEv2 d’abord, mais il reviendra à SSTP si la connexion IKEv2 n’a pas abouti. MacOSX se connecte uniquement via le protocole IKEv2.

Lorsque SSTP et IKEv2 sont activés sur la passerelle, le pool d’adresses point à site est divisé statiquement entre les deux, de sorte que les clients utilisant des protocoles différents se voient attribuer des adresses IP de l’une ou l’autre sous-plage. Notez que la quantité maximale de clients SSTP est toujours de 128, même si la plage d’adresses est supérieure à /24, ce qui entraîne une plus grande quantité d’adresses disponibles pour les clients IKEv2. Pour les plages plus petites, le pool sera divisé par deux de manière égale. Les sélecteurs de trafic utilisés par la passerelle ne peuvent pas inclure le routage CIDR de la plage d’adresses point à site, uniquement les deux routages CIDR de sous-plage.

À part Windows et Mac, quelles autres plateformes sont prises en charge par Azure pour le réseau VPN P2S ?

Azure prend en charge Windows, Mac et Linux pour les VPN point à site (P2S).

J’ai déjà une passerelle VPN Azure déployée. Puis-je activer RADIUS et/ou le réseau VPN IKEv2 sur celle-ci ?

Oui, si la référence (SKU) de passerelle que vous utilisez prend en charge RADIUS ou IKEv2, vous pouvez activer ces fonctionnalités sur des passerelles que vous avez déjà déployées à l’aide de PowerShell ou du portail Azure. La référence (SKU) De base ne prend en charge ni RADIUS, ni IKEv2.

Comment supprimer la configuration d’une connexion P2S ?

Vous pouvez supprimer une configuration P2S avec Azure CLI et PowerShell en utilisant les commandes suivantes :

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

L’authentification RADIUS est-elle prise en charge sur toutes les références SKU de passerelle VPN Azure ?

L’authentification RADIUS est prise en charge sur toutes les références SKU à l’exception de la référence SKU de base.

Pour les références SKU héritées, l’authentification RADIUS est prise en charge sur les références SKU Standard et Hautes performances. Elle n’est pas prise en charge sur la référence SKU de passerelle De base.

L’authentification RADIUS est-elle prise en charge pour le modèle de déploiement classique ?

Non. L’authentification RADIUS n’est pas prise en charge pour le modèle de déploiement classique.

Quel est le délai d’expiration des demandes RADIUS envoyées au serveur RADIUS ?

Les demandes RADIUS sont définies pour expirer après 30 secondes. Les valeurs de délai d’expiration définies par l’utilisateur ne sont pas prises en charge actuellement.

Les serveurs RADIUS tiers sont-ils pris en charge ?

Oui, les serveurs RADIUS tiers sont pris en charge.

Quels sont les besoins en connectivité pour s’assurer que la passerelle Azure est en mesure d’atteindre un serveur RADIUS local ?

Une connexion VPN site à site au site local est nécessaire, avec les routes appropriées configurées.

Le trafic vers un serveur RADIUS local (à partir de la passerelle VPN Azure) peut-il être routé via une connexion ExpressRoute ?

Non. Il ne peut être routé que via une connexion site à site.

Y a-t-il une modification du nombre de connexions SSTP prises en charge avec l’authentification RADIUS ? Quel est le nombre maximal de connexions SSTP et IKEv2 prises en charge ?

Il n’y a pas de modification quant au nombre maximal de connexions SSTP prises en charge sur une passerelle avec l’authentification RADIUS. Il reste à 128 pour SSTP, mais dépend de la référence SKU de passerelle pour IKEv2. Pour plus d’informations sur le nombre de connexions prises en charge, consultez Références SKU de passerelle.

Quelle est la différence entre l’authentification par certificat à l’aide d’un serveur RADIUS et à l’aide de l’authentification par certificat Azure native (en chargeant un certificat approuvé dans Azure) ?

Dans l’authentification par certificat RADIUS, la demande d’authentification est transférée à un serveur RADIUS qui gère la validation du certificat réel. Cette option est utile si vous souhaitez intégrer une infrastructure d’authentification par certificat que vous possédez déjà via RADIUS.

Lorsque vous utilisez Azure pour l’authentification par certificat, la passerelle VPN Azure effectue la validation du certificat. Vous devez charger la clé publique de votre certificat sur la passerelle. Vous pouvez également spécifier la liste des certificats révoqués qui ne doivent pas être autorisés à se connecter.

L’authentification RADIUS fonctionne-t-elle avec les réseaux VPN IKEv2 et SSTP ?

Oui, l’authentification RADIUS est prise en charge pour les réseaux VPN IKEv2 et SSTP.

L’authentification RADIUS fonctionne-t-elle avec le client OpenVPN ?

L’authentification RADIUS est prise en charge sur le protocole OpenVPN.

Étapes suivantes

« OpenVPN » est une marque d’OpenVPN Inc.