Concepts de VPN utilisateur (point à site)

L’article suivant décrit les concepts et les options configurables par le client associés aux configurations et passerelles VPN utilisateur point à site (P2S) de Virtual WAN. Cet article est divisé en plusieurs sections, y compris des sections sur les concepts de configuration du serveur VPN P2S et des sections sur les concepts de passerelle VPN P2S.

Concepts de configuration du serveur VPN

Les configurations de serveur VPN définissent les paramètres d’authentification, de chiffrement et de groupe d’utilisateurs utilisés pour authentifier les utilisateurs, attribuer des adresses IP et chiffrer le trafic. Les passerelles P2S sont associées aux configurations de serveur VPN P2S.

Concepts communs

Concept Description Notes
Type de tunnel Protocole(s) utilisé(s) entre la passerelle VPN P2S et les utilisateurs qui se connectent. Paramètres disponibles : IKEv2, OpenVPN ou les deux. Pour les configurations de serveur IKEv2, seules l’authentification RADIUS et l’authentification basée sur les certificats sont disponibles. L’authentification RADIUS, l’authentification basée sur les certificats et l’authentification basée sur Microsoft Entra ID sont disponibles pour les configurations de serveur OpenVPN. En outre, plusieurs méthodes d’authentification sur la même configuration de serveur (par exemple, authentification basée sur les certificats et RADIUS sur la même configuration) sont uniquement prises en charge pour OpenVPN. De plus, IKEv2 a une limite de 255 itinéraires au niveau du protocole, tandis qu’OpenVPN a une limite de 1000 itinéraires.
Paramètres IPsec personnalisés Paramètres de chiffrement utilisés par la passerelle VPN P2S pour les passerelles qui utilisent IKEv2. Pour connaître les paramètres disponibles, consultez Paramètres IPsec personnalisés pour VPN point à site. Ce paramètre ne s’applique pas aux passerelles utilisant l’authentification OpenVPN.

Concepts d’authentification par certificat Azure

Les concepts suivants sont liés aux configurations de serveur qui utilisent l’authentification basée sur les certificats.

Concept Description Notes
Nom du certificat racine Nom utilisé par Azure pour identifier les certificats racine du client. Il est possible de configurer n’importe quel nom. Vous pouvez avoir plusieurs certificats racines.
Données de certificat publiques Certificats racine à partir desquels les certificats client sont émis. Entrez la chaîne correspondant aux données publiques du certificat racine. Pour obtenir un exemple d’obtention de données publiques de certificat racine, consultez l’étape 8 du document suivant sur la génération de certificats.
Certificat révoqué Nom utilisé par Azure pour identifier les certificats à révoquer. Il est possible de configurer n’importe quel nom.
Empreinte du certificat révoqué Empreinte du ou des certificats d’utilisateur final qui ne devraient pas être en mesure de se connecter à la passerelle. L’entrée de ce paramètre est une ou plusieurs empreintes de certificat. Chaque certificat utilisateur doit être révoqué individuellement. La révocation d’un certificat intermédiaire ou d’un certificat racine ne révoque pas automatiquement tous les certificats enfant.

Concepts d’authentification RADIUS

Si une passerelle VPN P2S est configurée pour utiliser l’authentification basée sur RADIUS, la passerelle VPN P2S agit comme un proxy NPS (Network Policy Server) pour transférer les demandes d’authentification au(x) serveur(s) RADIUS du client. Les passerelles peuvent utiliser un ou deux serveurs RADIUS pour traiter les requêtes d’authentification. Les requêtes d’authentification sont automatiquement équilibrées sur les serveurs RADIUS, si plusieurs sont fournis.

Concept Description Notes
Secret du serveur principal Secret du serveur configuré sur le serveur RADIUS principal du client qui est utilisé pour le chiffrement par le protocole RADIUS. Toute chaîne de secret partagé.
Adresse IP du serveur principal Adresse IP privée du serveur RADIUS Cette adresse IP doit être une adresse IP privée accessible par le hub virtuel. Assurez-vous que la connexion qui héberge le serveur RADIUS se propage à la valeur defaultRouteTable du hub avec la passerelle.
Secret du serveur secondaire Secret du serveur configuré sur le deuxième serveur RADIUS utilisé pour le chiffrement par le protocole RADIUS. Toute chaîne de secret partagé fournie.
Adresse IP du serveur secondaire L’adresse IP privée du serveur RADIUS Cette adresse IP doit être une adresse IP privée accessible par le hub virtuel. Assurez-vous que la connexion qui héberge le serveur RADIUS se propage à la valeur defaultRouteTable du hub avec la passerelle.
Certificats racine du serveur RADIUS Données publiques du certificat racine du serveur RADIUS. Ce champ est facultatif. Saisissez la ou les chaînes correspondant aux données publiques du certificat racine RADIUS. Vous pouvez saisir plusieurs certificats racines. Tous les certificats client présentés pour l’authentification doivent être émis à partir des certificats racine spécifiés. Pour obtenir un exemple d’obtention de données publiques de certificat, consultez l’étape 8 du document suivant sur la génération de certificats.
Certificats client révoqués Empreinte(s) des certificats client RADIUS révoqués. Les clients présentant des certificats révoqués ne pourront pas se connecter. Ce champ est facultatif. Chaque certificat utilisateur doit être révoqué individuellement. La révocation d’un certificat intermédiaire ou d’un certificat racine ne révoque pas automatiquement tous les certificats enfant.

Concepts de l’authentification Microsoft Entra

Les concepts suivants sont liés aux configurations de serveur qui utilisent l’authentification basée sur Microsoft Entra ID. L’authentification basée sur Microsoft Entra ID est disponible uniquement si le tunnel est de type OpenVPN.

Concept Description Paramètres disponibles
Public visé ID d’application de l’application d’entreprise Azure VPN inscrite dans votre locataire Microsoft Entra. Pour plus d’informations sur l’inscription de l’application Azure VPN dans votre locataire et la recherche de l’ID d’application, consultez Configuration d’un locataire pour les connexions de protocole OpenVPN VPN utilisateur P2S
Émetteur URL complète correspondant au service d’émission de jeton de sécurité (STS) associé à votre Active Directory. Chaîne au format suivant : https://sts.windows.net/<your Directory ID>/
Locataire Microsoft Entra URL complète correspondant au locataire Active Directory utilisé pour l’authentification sur la passerelle. Varie en fonction du cloud dans lequel le locataire Active Directory est déployé. Consultez la section ci-dessous pour les détails par cloud.

ID de locataire Microsoft Entra

Le tableau suivant décrit le format de l’URL de Microsoft Entra en fonction du cloud dans lequel Microsoft Entra ID est déployé.

Cloud Format du paramètre
Cloud public Azure https://login.microsoftonline.com/{AzureAD TenantID}
Azure Government Cloud https://login.microsoftonline.us/{AzureAD TenantID}
Cloud China 21Vianet https://login.chinacloudapi.cn/{AzureAD TenantID}

Concepts relatifs aux groupes d’utilisateurs (multi-pools)

Les concepts suivants concernent les groupes d’utilisateurs (multi-pools) dans Virtual WAN. Les groupes d’utilisateurs vous permettent d’attribuer différentes adresses IP à des utilisateurs qui se connectent en fonction de leurs informations d’identification, ce qui vous permet de configurer des listes de contrôle d’accès (ACL) et des règles de pare-feu pour sécuriser les charges de travail. Pour plus d’informations et pour obtenir des exemples, consultez les concepts multi-pools.

La configuration du serveur contient les définitions des groupes et les groupes sont ensuite utilisés sur les passerelles pour mapper des groupes de configuration de serveur aux adresses IP.

Concept Description Notes
Groupe d’utilisateurs/groupe de stratégies Un groupe d’utilisateurs ou un groupe de stratégies est une représentation logique d’un groupe d’utilisateurs auxquels doivent être attribuées des adresses IP d’un même pool d’adresses. Pour plus d’informations, consultez À propos des groupes d’utilisateurs.
Groupe par défaut Lorsque les utilisateurs tentent de se connecter à une passerelle à l’aide de la fonctionnalité de groupe d’utilisateurs, les utilisateurs qui ne correspondent à aucun groupe attribué à la passerelle sont automatiquement considérés comme faisant partie du groupe par défaut et ont une adresse IP associée à ce groupe. Chaque groupe d’une configuration de serveur peut être spécifié en tant que groupe par défaut ou en tant que groupe non par défaut et ce paramètre ne peut pas être modifié une fois le groupe créé. Un seul groupe par défaut peut être attribué à chaque passerelle VPN P2S, même si la configuration du serveur attribuée a plusieurs groupes par défaut.
Priorité de groupe Lorsque plusieurs groupes sont attribués à une passerelle, il est possible qu’un utilisateur qui se connecte présente des informations d’identification qui correspondent à plusieurs groupes. Virtual WAN traite les groupes affectés à une passerelle dans un ordre de priorité croissant. Les priorités sont des entiers positifs et les groupes avec des priorités numériques inférieures sont traités en premier. Chaque groupe doit avoir une priorité distincte.
Paramètres/membres du groupe Les groupes d’utilisateurs se composent de membres. Les membres ne correspondent pas à des utilisateurs individuels. En fait, ils définissent les critères/condition(s) de correspondance utilisés pour déterminer le groupe auquel appartient un utilisateur qui se connecte. Lorsqu’un groupe est attribué à une passerelle, un utilisateur qui se connecte et dont les informations d’identification correspondent aux critères spécifiés pour l’un des membres du groupe, est considéré comme appartenant à ce groupe et une adresse IP appropriée peut lui être attribuée. Pour obtenir la liste complète des critères disponibles, consultez les Paramètres de groupe disponibles.

Concepts de configuration de la passerelle

Les sections suivantes décrivent les concepts associés à la passerelle VPN P2S. Chaque passerelle est associée à une configuration de serveur VPN et possède de nombreuses autres options configurables.

Concepts généraux de la passerelle

Concept Description Notes
Unités d’échelle de la passerelle Une unité d’échelle de passerelle définit le débit agrégé et les utilisateurs simultanés qu’une passerelle VPN P2S peut prendre en charge. Les unités d’échelle de passerelle peuvent varier de 1 à 200, prenant en charge 500 à 100 000 utilisateurs par passerelle.
Configuration du serveur P2S Définit les paramètres d’authentification utilisés par la passerelle VPN P2S pour authentifier les utilisateurs entrants. Toute configuration de serveur P2S associée à la passerelle Virtual WAN. La configuration du serveur doit être créée correctement pour qu’une passerelle puisse la référencer.
Préférence de routage Cela vous permet de choisir les itinéraires de trafic entre Azure et Internet. Vous pouvez choisir d’acheminer le trafic via le réseau Microsoft ou via le réseau des ISP (réseau public). Pour plus d’informations sur ce paramètre, consultez Qu’est-ce que la préférence de routage ? Ce paramètre ne peut pas être modifié après la création de la passerelle.
Serveurs DNS personnalisés Les adresses IP du ou des serveurs DNS vers lesquels les utilisateurs qui se connectent doivent transférer les requêtes DNS. Toute adresse IP routable.
Propager l’itinéraire par défaut Si le hub Virtual WAN est configuré avec un itinéraire par défaut 0.0.0.0/0 (route statique dans la table de routage par défaut ou 0.0.0.0/0 publié à partir d’un emplacement local), ce paramètre contrôle si l’itinéraire 0.0.0.0.0/0 est ou non annoncé aux utilisateurs qui se connectent. Ce champ peut avoir la valeur Vrai ou Faux.

Concepts spécifiques à RADIUS

Concept Description Notes
Utiliser le paramètre du serveur RADIUS distant/local Contrôle si Virtual WAN peut ou non transférer des paquets d’authentification RADIUS vers des serveurs RADIUS hébergés localement ou dans un réseau virtuel connecté à un autre hub virtuel. Ce paramètre a deux valeurs : Vrai ou Faux. Lorsque Virtual WAN est configuré pour utiliser l’authentification basée sur RADIUS, la passerelle P2S Virtual WAN sert de proxy RADIUS qui envoie des requêtes d’authentification à vos serveurs RADIUS. Ce paramètre (si la valeur est Vrai) permet à la passerelle Virtual WAN de communiquer avec les serveurs RADIUS déployés localement ou dans un réseau virtuel connecté à un autre hub. Si la valeur est Faux, le Virtual WAN ne pourra s’authentifier qu’auprès de serveurs RADIUS hébergés dans des réseaux virtuels connectés au hub avec la passerelle.
Adresses IP du proxy RADIUS Les paquets d’authentification RADIUS envoyés par la passerelle VPN P2S à votre serveur RADIUS ont des adresses IP sources spécifiées par le champ de l’adresse IP du proxy RADIUS. Ces adresses IP doivent être autorisées en tant que clients RADIUS sur votre serveur RADIUS. Ce paramètre n’est pas directement configurable. Si « Utiliser le serveur RADIUS distant/local » a la valeur Vrai, les adresses IP du proxy RADIUS sont automatiquement configurées en tant qu’adresses IP à partir de pools d’adresses client spécifiées sur la passerelle. Si ce paramètre est Faux, les adresses IP sont des adresses IP provenant de l’espace d’adressage du hub. Les adresses IP du proxy RADIUS se trouvent sur le Portail Azure sur la page de la passerelle VPN P2S.

Concepts de configuration de la connexion

Il peut y avoir une ou plusieurs configurations de connexion sur une passerelle VPN P2S. Chaque configuration de connexion a une configuration de routage (voir ci-dessous pour connaître les mises en garde) et représente un groupe ou un segment d’utilisateurs auxquels sont attribuées des adresses IP provenant des mêmes pools d’adresses.

Concept Description Notes
Nom de la configuration Nom d’une configuration VPN P2S N’importe quel nom peut être fourni. Vous pouvez avoir plusieurs configurations de connexion sur une passerelle si vous tirez parti de la fonctionnalité de groupes d’utilisateurs/multi-pools. Si vous n’utilisez pas cette fonctionnalité, il ne peut y avoir qu’une seule configuration par passerelle.
Groupes d’utilisateurs Groupes d’utilisateurs qui correspondent à une configuration Tous les groupes d’utilisateurs référencés dans la configuration du serveur VPN. Ce paramètre est facultatif. Pour plus d’informations, consultez À propos des groupes d’utilisateurs.
Pools d’adresses Les pools d’adresses sont des adresses IP privées auxquelles les utilisateurs qui se connectent sont attribués. Les pools d’adresses peuvent être spécifiés comme n’importe quel bloc CIDR qui ne chevauche pas avec des espaces d’adressage de hub virtuel, des adresses IP utilisées dans les réseaux virtuels connectés à Virtual WAN ou des adresses publiées localement. Selon l’unité d’échelle spécifiée sur la passerelle, vous devrez peut-être avoir besoin de plusieurs blocs CIDR. Pour plus d’informations, consultez À propos des pools d’adresses.
Configuration de routage Chaque connexion au hub virtuel a une configuration de routage, qui définit la table de routage à laquelle la connexion est associée et les tables de routage vers lesquelles la table de routage se propage. Toutes les connexions de branche au même hub (ExpressRoute, VPN, NVA) doivent s’associer à la valeur defaultRouteTable et se propager au même ensemble de tables de routage. Le fait d’avoir des propagations différentes pour les connexions de branches pourra peut-être entraîner des comportements de routage inattendus, car Virtual WAN choisira la configuration de routage pour une branche et l’appliquera à toutes les branches et, par conséquent, aux routes apprises localement.

Étapes suivantes

Ajoutez ici des liens vers quelques articles pour les étapes suivantes.