Procédure d’installation d’un VPN Azure Site à Site

Je change un peu aujourd’hui, voici un petit devoir de vacances

Je travaille beaucoup sur les scénarios de mobilité et même si on peut faire beaucoup avec du cloud only, il est intéressant de pouvoir lier un environnement « On Premise » avec le cloud.

Il y a beaucoup de procédure sur Internet cependant rien lorsque que l’on souhaite monter ce type d’environnement derrière un NAT.

Je ne suis pas expert réseau mais voici la procédure que j’ai effectuée pour mettre en place mon environnement de Test / démo.

Dans mon scénario, je n’ai pas eu besoin de modifier les règles de mon modem/Routeur de mon FAI.

Mon environnement comporte un serveur Hyper-V contenant mes machines virtuelles Windows 8, Windows 10 ainsi qu’un tenant Azure.

Mes 2 principales VM sont un serveur RRAS sous Windows 2012R2 et un contrôleur de domaine, tous des deux connectés avec Azure via une connexion Site à Site.

Voici mon architecture

Le but de ce post n’est pas de décrire la mise en place de machines virtuelles dans Azure ni de l’installation d’un DC. Nous considérons donc que votre réseau Azure, réseau Hyper-V ainsi que VM sont déjà installés et configurés.

Créer et configurer le réseau Azure

Aller dans votre portail Azure

Choisir « Network »

Puis sélectionner « New » « Add Local Network”

Saisir le nom que vous souhaitez indiquer ainsi que votre IP publique. Attention, vous ne pourrez pas monter le VPN si votre IP publique change. Il faudra alors simplement la mettre à jour l’IP.

Cela doit pouvoir s’automatiser via PowerShell.

Spécifier la plage IP utilisée par le routeur FAI ainsi que celles utilisées par vos VM qui seront hébergées sur Hyper-V. Cela permettra la configuration de la table de routage

Sélectionner le réseau utilisé par vos VM Azure et sélectionner « Configure »

Cocher « Connect to the local network” dans “Site to Site connectivity” et saisir le réseau local précédemment créé

Ajouter une « Gateway »

Enfin, créer un « Dynamic Routing », ce processus peut prendre plusieurs dizaines de minutes !

Sur le serveur RRAS

Installer le Rôle RRAS

Choisir « RAS » ainsi que « Routing »

Puis finir l’installation, laisser les paramètres par défaut.

Lancer la console RRAS et exécuter « Configure and Enable Routing and Remote Access »

Choisir NAT pour permettre à vos machines virtuelles de se connecter à internet

Puis sélectionner la carte virtuelle connectée à votre routeur

Nous allons maintenant configurer le RRAS pour le VPN.

Une fois le wizard précédent terminé, il faut aller dans les propriétés du serveur puis sélectionner « Lan and demand-dial routing »

Il faut créer la connexion VPN, sélectionner «New Demand-Dial Interface »

Donner « Azure » comme nom (Ou le nom de votre choix)

Sélectionner VPN

Sélectionner IKEv2

Sur le portail, récupérer l’adresse IP affichée

Puis saisir l’adresse en destination

Cocher route IP

Saisir la plage IP de votre réseau virtuel. (Pour permettre le routage de votre réseau OnPrem vers le VPN d’Azure)

Nous n’utiliserons pas l’authentification Windows, mettre « Azure » comme User Name

Une fois la connexion créée, modifier les paramètres

Sur le portail, afficher votre « Manage Shared Key »

Dans l’onglet « Security », saisir votre « Manage Shared Key”

Vous pouvez maintenant monter le VPN et tester la connexion entre vos VM Azure et On Prem.

Son status doit maintenant être « Connected » sur le serveur RRAS

Dans le portail Azure, le réseau virtuel doit apparaitre connectée.

Si vous ne souhaitez pas que le VPN monte « On-demand » (uniquement à partir du On-Prem dans notre scénario),  il faut changer les propriétés de la connexion en « Persistent Connection »

Attention, comme nous n’avons pas modifié les paramètres de notre Router FAI, la connexion du VPN doit être initiée par votre serveur RRAS.

Pour permettre à Azure de monter le VPN, il faut que votre serveur RRAS soit accessible de l’extérieur. Ce n’est pas le cas pour notre scénario mais vous pouvez utiliser la fonction “DMZ” de votre routeur afin de publier le serveur RRAS si vous le souhaitez.

Pour rappel, cette procédure n’est faite que pour créer des environnements de test et démo. En aucun cas cette procédure n’est faite pour des environnement de production

Si vous aimez ces astuces, n’hésitez pas à me suivre sur twitter @VinsonAlexandre

Références :

Point-to-Site VPN in Azure Virtual Networks Point-to-Site VPN in Azure Virtual Networks

• https://blogs.msdn.com/b/piyushranjan/archive/2013/06/01/point-to-site-vpn-in-azure-virtual-networks.aspx

Connect an On-premises Network to Azure via Site to Site VPN

• https://blogs.technet.com/b/askpfeplat/archive/2014/03/03/connect-an-on-premises-network-to-azure-via-site-to-site-vpn-and-extend-your-active-directory-onto-an-iaas-vm-dc-in-azure.aspx
• https://msdn.microsoft.com/en-us/library/azure/dn636917.aspx

Site-to-Site VPN in Azure Virtual Network using Windows Server 2012R2

• https://blogs.technet.com/b/canitpro/archive/2013/10/09/step-by-step-create-a-site-to-site-vpn-between-your-network-and-azure.aspx

Step-By-Step: Create a Site-to-Site VPN between your network and Azure

• https://blogs.technet.com/b/canitpro/archive/2013/10/09/step-by-step-create-a-site-to-site-vpn-between-your-network-and-azure.aspx