Vue d’ensemble des configurations d’appareils VPN partenairesOverview of partner VPN device configurations

Cet article fournit une vue d’ensemble de la configuration des appareils VPN locaux pour une connexion à des passerelles VPN Azure.This article provides an overview of configuring on-premises VPN devices for connecting to Azure VPN gateways. Un exemple de configuration de réseau virtuel Azure et de passerelle VPN est utilisé pour vous montrer comment établir une connexion à différentes configurations d’appareils VPN locaux en utilisant les mêmes paramètres.A sample Azure virtual network and VPN gateway setup is used to show you how to connect to different on-premises VPN device configurations by using the same parameters.

Notes

Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Vous pouvez toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Pour en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module Az d’Azure PowerShell.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

Configuration requise du périphériqueDevice requirements

Les passerelles VPN Azure utilisent des suites de protocoles IPsec/IKE standard pour les tunnels VPN de site à site (S2S).Azure VPN gateways use standard IPsec/IKE protocol suites for site-to-site (S2S) VPN tunnels. Pour obtenir la liste des paramètres et algorithmes de chiffrement IPsec/IKE pour les passerelles VPN Azure, consultez À propos des appareils VPN.For a list of IPsec/IKE parameters and cryptographic algorithms for Azure VPN gateways, see About VPN devices. Vous pouvez aussi spécifier les algorithmes et les forces de clé exacts d’une connexion spécifique, comme décrit dans À propos des exigences de chiffrement.You can also specify the exact algorithms and key strengths for a specific connection as described in About cryptographic requirements.

Tunnel VPN uniqueSingle VPN tunnel

La première configuration de l’exemple présente un tunnel VPN S2S unique entre une passerelle VPN Azure et un appareil VPN local.The first configuration in the sample consists of a single S2S VPN tunnel between an Azure VPN gateway and an on-premises VPN device. Vous pouvez éventuellement configurer le protocole de passerelle frontière (BGP) dans le tunnel VPN.You can optionally configure the Border Gateway Protocol (BGP) across the VPN tunnel.

Diagramme d’un tunnel VPN S2S unique

Pour obtenir des instructions pas à pas pour configurer un tunnel VPN unique, consultez Configurer une connexion de site à site.For step-by-step instructions to set up a single VPN tunnel, see Configure a site-to-site connection. Les sections suivantes spécifient les paramètres de connexion de l’exemple de configuration et fournissent un script PowerShell pour vous aider à démarrer.The following sections specify the connection parameters for the sample configuration and provide a PowerShell script to help you get started.

Paramètres de connexionConnection parameters

Cette section répertorie les paramètres des exemples décrits dans les sections précédentes.This section lists the parameters for the examples that are described in the previous sections.

ParamètreParameter ValeurValue
Préfixes d’adresse de réseau virtuelVirtual network address prefixes 10.11.0.0/1610.11.0.0/16
10.12.0.0/1610.12.0.0/16
IP de la passerelle VPN AzureAzure VPN gateway IP IP de la passerelle VPN AzureAzure VPN Gateway IP
Préfixes d’adresse localeOn-premises address prefixes 10.51.0.0/1610.51.0.0/16
10.52.0.0/1610.52.0.0/16
IP du périphérique VPN localOn-premises VPN device IP IP du périphérique VPN localOn-premises VPN device IP
* ASN BGP du réseau virtuel* Virtual network BGP ASN 6501065010
* IP d’homologue BGP Azure* Azure BGP peer IP 10.12.255.3010.12.255.30
* ASN BGP local* On-premises BGP ASN 6505065050
* IP d’homologue BGP local* On-premises BGP peer IP 10.52.255.25410.52.255.254

* Paramètre facultatif pour BGP uniquement.* Optional parameter for BGP only.

Exemple de script PowerShellSample PowerShell script

Cette section fournit un exemple de script pour vous aider à démarrer.This section provides a sample script to get you started. Pour obtenir des instructions détaillées, consultez Créer une connexion VPN S2S à l’aide de PowerShell.For detailed instructions, see Create an S2S VPN connection by using PowerShell.

# Declare your variables

$Sub1          = "Replace_With_Your_Subscription_Name"
$RG1           = "TestRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$VNet1ASN      = 65010
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GWIPName1     = "VNet1GWIP"
$GWIPconfName1 = "gwipconf1"
$Connection15  = "VNet1toSite5"
$LNGName5      = "Site5"
$LNGPrefix50   = "10.52.255.254/32"
$LNGPrefix51   = "10.51.0.0/16"
$LNGPrefix52   = "10.52.0.0/16"
$LNGIP5        = "Your_VPN_Device_IP"
$LNGASN5       = 65050
$BGPPeerIP5    = "10.52.255.254"

# Connect to your subscription and create a new resource group

Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1

# Create virtual network

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1 $besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

# Create VPN gateway

$gwpip1    = New-AzPublicIpAddress -Name $GWIPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1     = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1   = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gwipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName1 -Subnet $subnet1 -PublicIpAddress $gwpip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gwipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -Asn $VNet1ASN

# Create local network gateway

New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix51,$LNGPrefix52 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5

# Create the S2S VPN connection

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng5gw  = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False

(Facultatif) Utiliser une stratégie IPsec/IKE personnalisée avec l’option UsePolicyBasedTrafficSelectors(Optional) Use custom IPsec/IKE policy with UsePolicyBasedTrafficSelectors

Si vos appareils VPN ne prennent pas en charge les sélecteurs de trafic universels, comme les configurations basées sur le routage ou sur une interface virtuelle de tunnel (VTI), créez une stratégie IPsec/IKE personnalisée avec l’option UsePolicyBasedTrafficSelectors.If your VPN devices don't support any-to-any traffic selectors, such as route-based or VTI-based configurations, create a custom IPsec/IKE policy with the UsePolicyBasedTrafficSelectors option.

Important

Vous devez créer une stratégie IPsec/IKE pour activer l’option UsePolicyBasedTrafficSelectors sur la connexion.You must create an IPsec/IKE policy to enable the UsePolicyBasedTrafficSelectors option on the connection.

L’exemple de script crée une stratégie IPsec/IKE avec les paramètres et algorithmes suivants :The sample script creates an IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2 : AES256, SHA384, DHGroup24IKEv2: AES256, SHA384, DHGroup24
  • IPsec : AES256, SHA1, PFS24, SA Lifetime 7 200 secondes et 20 480 000 Ko (20 Go)IPsec: AES256, SHA1, PFS24, SA Lifetime 7,200 seconds, and 20,480,000 KB (20 GB)

Le script applique la stratégie IPsec/IKE et active l’option UsePolicyBasedTrafficSelectors sur la connexion.The script applies the IPsec/IKE policy and enables the UsePolicyBasedTrafficSelectors option on the connection.

$ipsecpolicy5 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA1 -PfsGroup PFS24 -SALifeTimeSeconds 7200 -SADataSizeKilobytes 20480000

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng5gw  = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False -IpsecPolicies $ipsecpolicy5 -UsePolicyBasedTrafficSelectors $True

(Facultatif) Utiliser le protocole de passerelle frontière (BGP) sur la connexion VPN S2S(Optional) Use BGP on S2S VPN connection

Quand vous créez la connexion VPN S2S, vous pouvez éventuellement utiliser le protocole BGP pour la passerelle VPN.When you create the S2S VPN connection, you can optionally use BGP for the VPN gateway. Cette approche présente deux différences :This approach has two differences:

  • Les préfixes d’adresse locale peuvent correspondre à une adresse d’hôte unique.The on-premises address prefixes can be a single host address. L’adresse IP de l’homologue BGP local est spécifiée comme suit :The on-premises BGP peer IP address is specified as follows:

    New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix50 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5
    
  • Quand vous créez la connexion, vous devez définir l’option -EnableBGP sur $true :When you create the connection, you must set the -EnableBGP option to $True:

    New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $True
    

Étapes suivantesNext steps

Pour obtenir des instructions pas à pas pour configurer des passerelles VPN en mode actif/actif, consultez Configuration de passerelles VPN en mode actif/actif pour des connexions entre différents locaux et entre deux réseaux virtuels.For step-by-step instructions to set up active-active VPN gateways, see Configuring active-active VPN gateways for cross-premises and VNet-to-VNet connections.