Création d’une connexion de site à site à l’aide du portail Azure (Classic)

Cet article vous explique comment utiliser le portail Azure pour créer une connexion de passerelle VPN de site à site à partir de votre réseau local vers le réseau virtuel. Les étapes décrites dans cet article s’appliquent au modèle de déploiement classique (hérité), mais pas au modèle de déploiement actuel, celui de Resource Manager. Consultez plutôt la version Resource Manager de cet article.

Important

Vous ne pouvez plus créer de passerelles de réseau virtuel pour les réseaux virtuels classiques de modèle de déploiement (management des services). Les nouvelles passerelles de réseau virtuel peuvent être créées uniquement pour des réseaux virtuels Resource Manager.

Une connexion de passerelle VPN de site à site permet de connecter votre réseau local à un réseau virtuel Azure via un tunnel VPN IPsec/IKE (IKEv1 ou IKEv2). Ce type de connexion requiert un périphérique VPN local disposant d’une adresse IP publique exposée en externe. Pour plus d’informations sur les passerelles VPN, consultez l’article À propos de la passerelle VPN.

Schéma montrant les connexions entre différents locaux d’une passerelle VPN de site à site.

Notes

Cet article traite du modèle de déploiement classique (hérité). Nous vous recommandons d’utiliser le dernier modèle de déploiement Azure à la place. Le modèle de déploiement Resource Manager est le modèle de déploiement le plus récent, qui propose davantage d’options et de fonctions compatibles que le modèle de déploiement classique. Pour comprendre la différence entre ces deux modèles de déploiement, consultez Compréhension des modèles de déploiement et de l’état de vos ressources.

Si vous souhaitez utiliser une autre version de cet article, utilisez la table des matières dans le volet gauche.

Avant de commencer

Vérifiez que vous disposez des éléments ci-dessous avant de commencer votre configuration :

  • Assurez-vous de vouloir utiliser le modèle de déploiement classique. Si vous souhaitez utiliser le modèle de déploiement Resource Manager, consultez Créer une connexion de site à site (Resource Manager). Nous vous recommandons d’utiliser le modèle de déploiement Resource Manager, car le modèle classique est hérité.
  • Veillez à disposer d’un périphérique VPN compatible et à être entouré d’une personne en mesure de le configurer. Pour plus d’informations sur les périphériques VPN compatibles et la configuration de votre périphérique, consultez l’article À propos des périphériques VPN.
  • Vérifiez que vous disposez d’une adresse IPv4 publique exposée en externe pour votre périphérique VPN.
  • Si vous ne maîtrisez pas les plages d’adresses IP situées dans votre configuration de réseau local, vous devez contacter une personne en mesure de vous aider. Lorsque vous créez cette configuration, vous devez spécifier les préfixes des plages d’adresses IP qu’Azure acheminera vers votre emplacement local. Aucun des sous-réseaux de votre réseau local ne peut chevaucher les sous-réseaux du réseau virtuel auquel vous souhaitez vous connecter.
  • PowerShell est requis pour spécifier la clé partagée et créer la connexion de passerelle VPN. Quand vous utilisez le modèle de déploiement classique, vous ne pouvez pas utiliser Azure Cloud Shell. Vous devez à la place installer la dernière version des applets de commande PowerShell Azure Service Management (SM) localement sur votre ordinateur. Ces applets de commande sont différentes des applets de commande AzureRM ou AZ. Pour installer les applets de commande SM, consultez Installer les applets de commande de management des services. Pour plus d’informations sur Azure PowerShell en général, consultez la documentation Azure PowerShell.

Exemples de valeurs de configuration pour cet exercice

Nous utilisons les valeurs suivantes dans les exemples de cet article. Vous pouvez utiliser ces valeurs pour créer un environnement de test ou vous y référer pour mieux comprendre les exemples de cet article. En règle générale, lorsque vous utilisez des valeurs d’adresse IP pour l’espace d’adressage, vous devez vous coordonner avec votre administrateur réseau afin d’éviter le chevauchement des espaces d’adressage, qui peut perturber le routage. Dans ce cas, remplacez les valeurs d’adresse IP par les vôtres si vous souhaitez créer une connexion qui fonctionne.

  • Groupe de ressources : TestRG1
  • Nom du réseau virtuel : TestVNet1
  • Espace d’adressage : 10.11.0.0/16
  • Nom du sous-réseau : FrontEnd
  • Plage d'adresses du sous-réseau : 10.11.0.0/24
  • GatewaySubnet : 10.11.255.0/27
  • Région : (États-Unis) USA Est
  • Nom du site local : Site2
  • Espace d’adressage du client : Espace d’adressage qui se trouve sur votre site local.

Créez un réseau virtuel

Lorsque vous créez un réseau virtuel qui sera utilisé pour une connexion S2S, vous devez vous assurer que les espaces d’adressage que vous spécifiez ne se chevauchent pas avec les espaces d’adressage du client pour les sites locaux auxquels vous souhaitez vous connecter. Si vos sous-réseaux se chevauchent, votre connexion ne fonctionnera pas correctement.

  • Si vous disposez déjà d’un réseau virtuel, vérifiez que les paramètres sont compatibles avec la conception de votre passerelle VPN, Accordez une attention particulière aux sous-réseaux qui pourraient chevaucher d’autres réseaux.

  • Si vous n’avez pas de réseau virtuel, créez-en un. Les captures d’écran sont fournies à titre d’exemple. Assurez-vous de remplacer ces valeurs par les vôtres.

Pour créer un réseau virtuel

  1. Dans un navigateur, accédez au portail Azure et, si nécessaire, connectez-vous avec votre compte Azure.
  2. Sélectionnez +Créer une ressource. Dans le champ Rechercher dans le marketplace, tapez « réseau virtuel ». Localisez Réseau virtuel dans la liste renvoyée et cliquez dessus pour ouvrir la page Réseau virtuel.
  3. Dans la page Réseau virtuel, sous le bouton Créer, vous voyez « Déployer avec Resource Manager (passer à Classic) ». Resource Manager est la valeur par défaut pour la création d’un réseau virtuel. Vous ne voulez pas créer de réseau virtuel Resource Manager. Sélectionnez (passer à Classic) pour créer un réseau virtuel classique. Ensuite, sélectionnez l’onglet Vue d’ensemble et sélectionnez Créer.
  4. Dans la page Créer un réseau virtuel (classique) , sous l’onglet Basique, configurez les paramètres du réseau virtuel avec les exemples de valeurs.
  5. Sélectionnez Vérifier + créer pour valider votre réseau virtuel.
  6. La validation s’exécute. Une fois le réseau virtuel validé, sélectionnez Créer.

Les paramètres DNS ne constituent pas une partie obligatoire de cette configuration, mais le DNS est nécessaire si vous souhaitez la résolution de noms entre vos machines virtuelles. La définition d’une valeur n’entraîne pas la création de serveur DNS. L’adresse IP du serveur DNS que vous spécifiez doit pouvoir résoudre les noms des ressources auxquelles vous vous connectez.

Après avoir créé votre réseau virtuel, vous pouvez ajouter l’adresse IP d’un serveur DNS pour gérer la résolution de noms. Ouvrez les paramètres de votre réseau virtuel, sélectionnez Serveurs DNS et ajoutez l’adresse IP du serveur DNS que vous souhaitez utiliser pour la résolution de noms.

  1. Recherchez le réseau virtuel dans le portail.
  2. Sur la page de votre réseau virtuel, dans la section Paramètres, sélectionnez Serveurs DNS.
  3. Ajoutez un serveur DNS.
  4. Pour enregistrer vos paramètres, sélectionnez Enregistrer en haut de la page.

Configurer le site et la passerelle

Pour configurer le site :

Le site local fait généralement référence à votre emplacement local. Il contient l’adresse IP du périphérique VPN avec lequel vous allez créer une connexion et les plages d’adresses IP qui seront acheminées via la passerelle VPN vers le périphérique VPN.

  1. Sur la page de votre réseau virtuel, sous Paramètres, sélectionnez Connexions de site à site.

  2. Dans la page Connexions de site à site, sélectionnez + Ajouter.

  3. Dans la page Configurer une connexion VPN et une passerelle, pour Type de connexion, gardez l’option Site à site sélectionnée. Pour cet exercice, vous devrez utiliser un mélange des valeurs d’exemple et de vos propres valeurs.

    • Adresse IP de la passerelle VPN : Adresse IP publique du périphérique VPN pour votre réseau local. Le périphérique VPN requiert une adresse IP IPv4 publique. Spécifiez une adresse IP publique valide pour le périphérique VPN auquel vous souhaitez vous connecter. Il doit être accessible par Azure. Si vous ne connaissez pas l’adresse IP de votre périphérique VPN, vous pouvez toujours placer une valeur d’espace réservé (à condition qu’elle soit au format d’une adresse IP publique valide) et la modifier ultérieurement.

    • Espace d’adressage du client : Listez les plages d’adresses IP que vous voulez router vers le réseau local par le biais de cette passerelle. Vous pouvez ajouter plusieurs plages d’espaces d’adressage. Assurez-vous que les plages que vous spécifiez ici ne se chevauchent pas avec des plages d’adresses d’autres réseaux auxquels votre réseau virtuel se connecte, ou avec les propres plages d’adresses du réseau virtuel.

  4. En bas de la page, NE sélectionnez PAS passer Vérifier + créer. Au lieu de cela, sélectionnez Suivant : Passerelle>.

Pour configurer la passerelle de réseau virtuel

  1. Sur la page Passerelle, sélectionnez les valeurs suivantes :

    • Taille : Il s’agit de la référence de passerelle que vous utilisez pour créer votre passerelle de réseau virtuel. Les passerelles VPN classiques utilisent les anciennes références SKU de passerelles. Pour en savoir plus sur les anciennes références SKU de passerelle, consultez la section Utilisation des références SKU de passerelle de réseau virtuel (anciennes références SKU). Vous pouvez sélectionner Standard pour cet exercice.

    • Sous-réseau de passerelle : La taille du sous-réseau de passerelle que vous spécifiez dépend de la configuration de la passerelle VPN que vous souhaitez créer. Bien qu’il soit possible de créer un sous-réseau de passerelle aussi petit que /29, nous vous recommandons d’utiliser un sous-réseau /27 ou /28. Cette opération crée un sous-réseau plus grand qui inclut plusieurs adresses. En choisissant un sous-réseau de passerelle plus vaste, vous disposez de suffisamment d’adresses IP pour prendre en charge d’éventuelles configurations futures.

  2. Au bas de la page, sélectionnez Vérifier + créer pour confirmer vos paramètres. Sélectionnez Créer pour effectuer le déploiement. Selon la référence SKU que vous sélectionnez, cela peut prendre jusqu’à 45 minutes pour créer une passerelle de réseau virtuel.

Configuration de votre périphérique VPN

Les connexions site à site vers un réseau local nécessitent un périphérique VPN. Dans cette étape, vous configurez votre périphérique VPN. Lorsque vous configurez votre périphérique VPN, vous avez besoin des valeurs suivantes :

  • Une clé partagée. Il s’agit de la clé partagée spécifiée lors de la création de la connexion VPN de site à site. Dans nos exemples, nous utilisons une clé partagée basique. Nous vous conseillons de générer une clé plus complexe.
  • L’adresse IP publique de votre passerelle de réseau virtuel. Vous pouvez afficher l’adresse IP publique à l’aide du portail Azure, de PowerShell ou de l’interface de ligne de commande.

Selon le périphérique VPN dont vous disposez, vous pouvez éventuellement télécharger un script de configuration de périphérique VPN. Pour plus d’informations, consultez la page Télécharger des script de configuration de périphérique VPN.

Les liens suivants fournissent d’autres informations de configuration :

Récupérer les valeurs

Lorsque vous créez des réseaux virtuels classiques dans le portail Azure, le nom que vous voyez ne correspond pas au nom complet que vous utilisez pour PowerShell. Par exemple, un réseau virtuel qui semble être nommé TestVNet1 dans le portail Azure peut avoir un nom beaucoup plus long dans le fichier de configuration réseau. Pour un réseau virtuel dans le groupe de ressources « ClassicRG », le nom peut ressembler à ceci : Groupe ClassicRG TestVNet1. Lorsque vous créez vos connexions, il est important d’utiliser les valeurs que vous voyez dans le fichier de configuration réseau.

Dans les étapes suivantes, vous allez vous connecter à votre compte Azure et télécharger et afficher le fichier de configuration réseau pour obtenir les valeurs nécessaire pour établir les connexions.

  1. Téléchargez et installez la dernière version des applets de commande PowerShell Azure Service Management (SM). La plupart des utilisateurs disposent des modules Resource Manager installés localement, mais pas des modules de gestion des services. Les modules de gestion des services sont hérités et doivent être installés séparément. Pour plus d’informations, consultez Installer des applets de commande de gestion des services.

  2. Ouvrez la console PowerShell avec des droits élevés et connectez-vous à votre compte. Utilisez les exemples suivants pour faciliter votre connexion. Vous devez exécuter ces commandes localement à l’aide du module PowerShell Service Management. Se connecter à votre compte. Utilisez l’exemple suivant pour faciliter votre connexion :

    Add-AzureAccount
    
  3. Vérifiez les abonnements associés au compte.

    Get-AzureSubscription
    
  4. Si vous avez plusieurs abonnements, sélectionnez celui que vous souhaitez utiliser.

    Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
    
  5. Créez un annuaire sur votre ordinateur. Par exemple, C:\AzureVNet

  6. Exportez le fichier de configuration réseau dans le répertoire. Dans cet exemple, le fichier de configuration réseau est exporté vers C:\AzureNet.

    Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
    
  7. Dans un éditeur de texte, ouvrez le fichier, puis affichez les noms de vos réseaux virtuels et de vos sites. Ces noms sont ceux que vous utiliserez lorsque vous allez créer vos connexions.
    Les noms des réseaux virtuels sont répertoriés comme suit : VirtualNetworkSite name =
    Les noms des sites sont répertoriés comme suit : LocalNetworkSiteRef name =

Créer la connexion

Notes

Pour le modèle de déploiement classique, cette étape n’est pas disponible dans le portail Azure ni via Azure Cloud Shell. Vous devez utiliser la version Management des services (SM) des cmdlets Azure PowerShell localement à partir de votre bureau.

Dans cette étape, en utilisant les valeurs des étapes précédentes, vous définissez la clé partagée et créez la connexion. La clé que vous définissez doit être la même que celle qui a été utilisée lors de la configuration de votre périphérique VPN.

  1. Définissez la clé partagée et créez la connexion.

    • Modifiez les valeurs -VNetName et -LocalNetworkSiteName. Lorsque vous spécifiez un nom qui contient des espaces, encadrez la valeur avec des guillemets.
    • « -SharedKey » est une valeur que vous pouvez générer, puis spécifier. Dans l’exemple, nous avons utilisé « abc123 », mais vous pouvez (et devriez) générer une valeur plus complexe. L’important, c’est que la valeur que vous spécifiez ici doit être identique à celle spécifiée lors de la configuration de votre périphérique VPN.
    Set-AzureVNetGatewayKey -VNetName 'Group TestRG1 TestVNet1' `
    -LocalNetworkSiteName '6C74F6E6_Site2' -SharedKey abc123
    
  2. Quand la connexion est créée, le résultat est : État : Réussi.

Vérifier votre connexion

Dans le portail Azure, vous pouvez afficher l’état de la connexion pour une passerelle VPN de réseau virtuel classique en accédant à cette dernière. Les étapes suivantes montrent un moyen d’accéder à votre connexion pour la vérifier.

  1. Sur le portail Azure, accédez à votre réseau virtuel classique .
  2. Sur la page Réseau virtuel, cliquez sur le type de connexion que vous souhaitez afficher. Par exemple, les Connexions site à site.
  3. Dans la page Connexions de site à site, sous Nom, sélectionnez la connexion au site que vous souhaitez afficher.
  4. Dans la page Propriétés, affichez les informations relatives à la connexion.

Si vous rencontrez des problèmes de connexion, consultez la section Dépanner dans la table des matières du volet gauche.

Réinitialisation d’une passerelle VPN

La réinitialisation d’une passerelle VPN Azure est utile si vous perdez la connectivité VPN entre différents locaux sur un ou plusieurs tunnels VPN de site à site. Dans ce cas, vos périphériques VPN locaux fonctionnent tous correctement, mais ils ne sont pas en mesure d’établir des tunnels IPsec avec les passerelles VPN Azure.

La cmdlet permettant de réinitialiser une passerelle classique est Reset-AzureVNetGateway. Les cmdlet Azure PowerShell pour le management des services doit être installé localement sur votre bureau. Vous ne pouvez pas utiliser Azure Cloud Shell. Avant d’effectuer une réinitialisation, vérifiez que vous disposez de la dernière version des cmdlets PowerShell Service Management (SM).

Lorsque vous utilisez cette commande, assurez-vous que vous utilisez le nom complet du réseau virtuel. Les réseaux virtuels classiques ayant été créés à l’aide du portail ont un nom long requis pour PowerShell. Vous pouvez afficher le nom long à l’aide Get-AzureVNetConfig -ExportToFile C:\Myfoldername\NetworkConfig.xmlde .

L’exemple suivant réinitialise la passerelle pour un réseau virtuel nommé « Group TestRG1 TestVNet1» (qui apparaît simplement comme « TestVNet1 » dans le portail) :

Reset-AzureVNetGateway –VnetName 'Group TestRG1 TestVNet1'

Résultat :

Error          :
HttpStatusCode : OK
Id             : f1600632-c819-4b2f-ac0e-f4126bec1ff8
Status         : Successful
RequestId      : 9ca273de2c4d01e986480ce1ffa4d6d9
StatusCode     : OK

Comment redimensionner une référence SKU de passerelle

Pour redimensionner une passerelle pour le modèle de déploiement classique, vous devez utiliser les cmdlets PowerShell de management des services. Utilisez la commande suivante :

Resize-AzureVirtualNetworkGateway -GatewayId <Gateway ID> -GatewaySKU HighPerformance

Étapes suivantes