À propos du routage VPN point à siteAbout Point-to-Site VPN routing

Cet article vous aide à comprendre le comportement du routage VPN point à site Azure.This article helps you understand how Azure Point-to-Site VPN routing behaves. Le comportement du routage VPN point à site (P2S) dépend du système d’exploitation client, du protocole utilisé pour la connexion VPN et du mode de connexion des réseaux virtuels entre eux.P2S VPN routing behavior is dependent on the client OS, the protocol used for the VPN connection, and how the virtual networks (VNets) are connected to each other.

Actuellement, Azure prend en charge deux protocoles pour l’accès à distance, IKEv2 et SSTP.Azure currently supports two protocols for remote access, IKEv2 and SSTP. IKEv2 est pris en charge sur de nombreux systèmes d’exploitation clients, notamment Windows, Linux, macOS, Android et iOS.IKEv2 is supported on many client operating systems including Windows, Linux, macOS, Android, and iOS. SSTP est pris en charge sur Windows uniquement.SSTP is only supported on Windows. Si vous apportez un changement à la topologie de votre réseau et que vous avez des clients VPN Windows, vous devez retélécharger et réinstaller le package client VPN pour les clients Windows afin d’appliquer ce changement au client.If you make a change to the topology of your network and have Windows VPN clients, the VPN client package for Windows clients must be downloaded and installed again in order for the changes to be applied to the client.

Notes

Cet article s’applique uniquement à IKEv2.This article applies to IKEv2 only.

À propos des diagrammesAbout the diagrams

Vous trouverez différents diagrammes dans cet article.There are a number of different diagrams in this article. Chaque section présente une topologie ou une configuration différente.Each section shows a different topology or configuration. Dans le cadre de cet article, les connexions site à site (S2S) et réseau virtuel à réseau virtuel fonctionnent de la même façon parce que les deux sont des tunnels IPsec.For the purposes of this article, Site-to-Site (S2S) and VNet-to-VNet connections function the same way, as both are IPsec tunnels. Toutes les passerelles VPN de cet article sont basées sur le routage.All VPN gateways in this article are route-based.

Un réseau virtuel isoléOne isolated VNet

La connexion de passerelle VPN point à site de cet exemple est pour un réseau virtuel qui n’est connecté ni appairé à aucun autre réseau virtuel (VNet1).The Point-to-Site VPN gateway connection in this example is for a VNet that is not connected or peered with any other virtual network (VNet1). Dans cet exemple, les clients peuvent accéder à VNet1.In this example, clients can access VNet1.

Routage d’un réseau virtuel isolé

Espace d’adressageAddress space

  • VNet1 : 10.1.0.0/16VNet1: 10.1.0.0/16

Routes ajoutéesRoutes added

  • Routes ajoutées aux clients Windows : 10.1.0.0/16, 192.168.0.0/24Routes added to Windows clients: 10.1.0.0/16, 192.168.0.0/24

  • Routes ajoutées aux clients non-Windows : 10.1.0.0/16, 192.168.0.0/24Routes added to non-Windows clients: 10.1.0.0/16, 192.168.0.0/24

AccèsAccess

  • Les clients Windows peuvent accéder à VNet1Windows clients can access VNet1

  • Les clients non-Windows peuvent accéder à VNet1Non-Windows clients can access VNet1

Plusieurs réseaux virtuels appairésMultiple peered VNets

Dans cet exemple, la connexion de passerelle VPN point à site est pour VNet1.In this example, the Point-to-Site VPN gateway connection is for VNet1. VNet1 est appairé à VNet2.VNet1 is peered with VNet2. VNet2 est appairé à VNet3.VNet 2 is peered with VNet3. VNet1 est appairé à VNet4.VNet1 is peered with VNet4. Il n’existe aucun peering direct entre VNet1 et VNet3.There is no direct peering between VNet1 and VNet3. VNet1 a l’option « Autoriser le transit par passerelle » activée, tandis que VNet2 et VNet4 ont l’option « Utiliser des passerelles distantes » activée.VNet1 has “Allow gateway transit” and VNet2 and VNet4 have “Use remote gateways” enabled.

Les clients utilisant Windows peuvent accéder directement aux réseaux virtuels appairés, mais le client VPN doit être retéléchargé si des changements sont apportés au peering du réseau virtuel ou à la topologie du réseau.Clients using Windows can access directly peered VNets, but the VPN client must be downloaded again if any changes are made to VNet peering or the network topology. Les clients non-Windows peuvent accéder directement aux réseaux virtuels appairés.Non-Windows clients can access directly peered VNets. L’accès n’est pas transitif et est limité aux réseaux virtuels directement appairés uniquement.Access is not transitive and is limited to only directly peered VNets.

Plusieurs réseaux virtuels appairés

Espace d’adressage :Address space:

  • VNet1 : 10.1.0.0/16VNet1: 10.1.0.0/16

  • VNet2 : 10.2.0.0/16VNet2: 10.2.0.0/16

  • VNet3 : 10.3.0.0/16VNet3: 10.3.0.0/16

  • VNet4 : 10.4.0.0/16VNet4: 10.4.0.0/16

Routes ajoutéesRoutes added

  • Routes ajoutées aux clients Windows : 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24Routes added to Windows clients: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24

  • Routes ajoutées aux clients non-Windows : 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24Routes added to non-Windows clients: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24

AccèsAccess

  • Les clients Windows peuvent accéder à VNet1, VNet2 et VNet4, mais le client VPN doit être retéléchargé pour que les changements de topologie prennent effet.Windows clients can access VNet1, VNet2, and VNet4, but the VPN client must be downloaded again for any topology changes to take effect.

  • Les clients non-Windows peuvent accéder à VNet1, VNet2 et VNet4.Non-Windows clients can access VNet1, VNet2, and VNet4

Plusieurs réseaux virtuels connectés avec un VPN S2SMultiple VNets connected using an S2S VPN

Dans cet exemple, la connexion de passerelle VPN point à site est pour VNet1.In this example, the Point-to-Site VPN gateway connection is for VNet1. VNet1 est connecté à VNet2 avec une connexion VPN site à site.VNet1 is connected to VNet2 using a Site-to-Site VPN connection. VNet2 est connecté à VNet3 avec une connexion VPN site à site.VNet2 is connected to VNet3 using a Site-to-Site VPN connection. Il n’existe aucun peering direct ni aucune connexion VPN site à site entre VNet1 et VNet3.There is no direct peering or Site-to-Site VPN connection between VNet1 and VNet3. Toutes les connexions site à site n’exécutent pas BGP pour le routage.All Site-to-Site connections are not running BGP for routing.

Les clients utilisant Windows ou un autre système d’exploitation pris en charge peuvent accéder à VNet1 uniquement.Clients using Windows, or another supported OS, can only access VNet1. Pour accéder à d’autres réseaux virtuels, BGP doit être utilisé.To access additional VNets, BGP must be used.

Plusieurs réseaux virtuels et S2S

Espace d’adressageAddress space

  • VNet1 : 10.1.0.0/16VNet1: 10.1.0.0/16

  • VNet2 : 10.2.0.0/16VNet2: 10.2.0.0/16

  • VNet3 : 10.3.0.0/16VNet3: 10.3.0.0/16

Routes ajoutéesRoutes added

  • Routes ajoutées aux clients Windows : 10.1.0.0/16, 192.168.0.0/24Routes added to Windows clients: 10.1.0.0/16, 192.168.0.0/24

  • Routes ajoutées aux clients non-Windows : 10.1.0.0/16, 10.2.0.0/16, 192.168.0.0/24Routes added to Non-Windows clients: 10.1.0.0/16, 10.2.0.0/16, 192.168.0.0/24

AccèsAccess

  • Les clients Windows peuvent accéder à VNet1 uniquementWindows clients can only access VNet1

  • Les clients non-Windows peuvent accéder à VNet1 uniquementNon-Windows clients can access VNet1 only

Plusieurs réseaux virtuels connectés avec un VPN S2S (BGP)Multiple VNets connected using an S2S VPN (BGP)

Dans cet exemple, la connexion de passerelle VPN point à site est pour VNet1.In this example, the Point-to-Site VPN gateway connection is for VNet1. VNet1 est connecté à VNet2 avec une connexion VPN site à site.VNet1 is connected to VNet2 using a Site-to-Site VPN connection. VNet2 est connecté à VNet3 avec une connexion VPN site à site.VNet2 is connected to VNet3 using a Site-to-Site VPN connection. Il n’existe aucun peering direct ni aucune connexion VPN site à site entre VNet1 et VNet3.There is no direct peering or Site-to-Site VPN connection between VNet1 and VNet3. Toutes les connexions site à site exécutent BGP pour le routage.All Site-to-Site connections are running BGP for routing.

Les clients utilisant Windows ou un autre système d’exploitation pris en charge peuvent accéder à tous les réseaux virtuels qui sont connectés avec une connexion VPN site à site, mais les routes vers les réseaux virtuels connectés doivent être ajoutées manuellement dans les clients Windows.Clients using Windows, or another supported OS, can access all VNets that are connected using a Site-to-Site VPN connection, but routes to connected VNets have to be manually added to the Windows clients.

Plusieurs réseaux virtuels et S2S (BGP)

Espace d’adressageAddress space

  • VNet1 : 10.1.0.0/16VNet1: 10.1.0.0/16

  • VNet2 : 10.2.0.0/16VNet2: 10.2.0.0/16

  • VNet3 : 10.3.0.0/16VNet3: 10.3.0.0/16

Routes ajoutéesRoutes added

  • Routes ajoutées aux clients Windows : 10.1.0.0/16Routes added to Windows clients: 10.1.0.0/16

  • Routes ajoutées aux clients non-Windows : 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 192.168.0.0/24Routes added to Non-Windows clients: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 192.168.0.0/24

AccèsAccess

  • Les clients Windows peuvent accéder à VNet1, VNet2 et VNet3, mais les routes vers VNet2 et VNet3 doivent être ajoutées manuellement.Windows clients can access VNet1, VNet2, and VNet3, but routes to VNet2 and VNet3 will have to be manually added.

  • Les clients non-Windows peuvent accéder à VNet1, VNet2 et VNet3.Non-Windows clients can access VNet1, VNet2, and VNet3

Un réseau virtuel et une filialeOne VNet and a branch office

Dans cet exemple, la connexion de passerelle VPN point à site est pour VNet1.In this example, the Point-to-Site VPN gateway connection is for VNet1. VNet1 n’est connecté / appairé à aucun autre réseau virtuel, mais est connecté à un site local via une connexion VPN site à site qui n’exécute pas BGP.VNet1 is not connected/ peered with any other virtual network, but is connected to an on-premises site through a Site-to-Site VPN connection that is not running BGP.

Les clients Windows et non-Windows peuvent uniquement accéder à VNet1.Windows and non-Windows clients can only access VNet1.

Routage avec un réseau virtuel et une filiale

Espace d’adressageAddress space

  • VNet1 : 10.1.0.0/16VNet1: 10.1.0.0/16

  • Site1 : 10.101.0.0/16Site1: 10.101.0.0/16

Routes ajoutéesRoutes added

  • Routes ajoutées aux clients Windows : 10.1.0.0/16, 192.168.0.0/24Routes added to Windows clients: 10.1.0.0/16, 192.168.0.0/24

  • Routes ajoutées aux clients non-Windows : 10.1.0.0/16, 192.168.0.0/24Routes added to Non-Windows clients: 10.1.0.0/16, 192.168.0.0/24

AccèsAccess

  • Les clients Windows peuvent accéder à VNet1 uniquementWindows clients can access only VNet1

  • Les clients non-Windows peuvent accéder à VNet1 uniquementNon-Windows clients can access VNet1 only

Un réseau virtuel et une filiale (BGP)One VNet and a branch office (BGP)

Dans cet exemple, la connexion de passerelle VPN point à site est pour VNet1.In this example, the Point-to-Site VPN gateway connection is for VNet1. VNet1 n’est connecté ni appairé à aucun autre réseau virtuel, mais est connecté à un site local (Site1) via une connexion VPN site à site qui exécute BGP.VNet1 is not connected or peered with any other virtual network, but is connected to an on-premises site (Site1) through a Site-to-Site VPN connection running BGP.

Les clients Windows peuvent accéder au réseau virtuel et à la filiale (Site1), mais les routes vers Site1 doivent être ajoutées manuellement dans le client.Windows clients can access the VNet and the branch office (Site1), but the routes to Site1 must be manually added to the client. Les clients non-Windows peuvent accéder au réseau virtuel, ainsi qu’à la filiale locale.Non-Windows clients can access the VNet as well as the on-premises branch office.

Routage avec un réseau virtuel et une filiale - BGP

Espace d’adressageAddress space

  • VNet1 : 10.1.0.0/16VNet1: 10.1.0.0/16

  • Site1 : 10.101.0.0/16Site1: 10.101.0.0/16

Routes ajoutéesRoutes added

  • Routes ajoutées aux clients Windows : 10.1.0.0/16, 192.168.0.0/24Routes added to Windows clients: 10.1.0.0/16, 192.168.0.0/24

  • Routes ajoutées aux clients non-Windows : 10.1.0.0/16, 10.101.0.0/16, 192.168.0.0/24Routes added to Non-Windows clients: 10.1.0.0/16, 10.101.0.0/16, 192.168.0.0/24

AccèsAccess

  • Les clients Windows peuvent accéder à VNet1 et à Site1, mais les routes vers Site1 doivent être ajoutées manuellement.Windows clients can access VNet1 and Site1, but routes to Site1 will have to be manually added.

  • Les clients non-Windows peuvent accéder à VNet1 et à Site1.Non-Windows clients can access VNet1 and Site1.

Plusieurs réseaux virtuels connectés avec S2S et une filialeMultiple VNets connected using S2S and a branch office

Dans cet exemple, la connexion de passerelle VPN point à site est pour VNet1.In this example, the Point-to-Site VPN gateway connection is for VNet1. VNet1 est connecté à VNet2 avec une connexion VPN site à site.VNet1 is connected to VNet2 using a Site-to-Site VPN connection. VNet2 est connecté à VNet3 avec une connexion VPN site à site.VNet2 is connected to VNet3 using a Site-to-Site VPN connection. Il n’existe aucun peering direct ni aucun tunnel VPN site à site entre les réseaux VNet1 et VNet3.There is no direct peering or Site-to-Site VPN tunnel between the VNet1 and VNet3 networks. VNet3 est connecté à une filiale (Site1) avec une connexion VPN site à site.VNet3 is connected to a branch office (Site1) using a Site-to-Site VPN connection. Toutes les connexions VPN n’exécutent pas BGP.All VPN connections are not running BGP.

Tous les clients peuvent accéder à VNet1 uniquement.All clients can access VNet1 only.

Diagramme illustrant un S2S à plusieurs réseaux virtuels et une filiale

Espace d’adressageAddress space

  • VNet1 : 10.1.0.0/16VNet1: 10.1.0.0/16

  • VNet2 : 10.2.0.0/16VNet2: 10.2.0.0/16

  • VNet3 : 10.3.0.0/16VNet3: 10.3.0.0/16

  • Site1 : 10.101.0.0/16Site1: 10.101.0.0/16

Routes ajoutéesRoutes added

  • Routes ajoutées aux clients Windows : 10.1.0.0/16, 192.168.0.0/24Routes added to Windows clients: 10.1.0.0/16, 192.168.0.0/24

  • Routes ajoutées aux clients non-Windows : 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24Routes added to Non-Windows clients: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24

AccèsAccess

  • Les clients Windows peuvent accéder à VNet1 uniquementThe Windows clients can access VNet1 only

  • Les clients non-Windows peuvent accéder à VNet1 uniquementNon-Windows clients can access VNet1 only

Plusieurs réseaux virtuels connectés avec S2S et une filiale (BGP)Multiple VNets connected using S2S and a branch office (BGP)

Dans cet exemple, la connexion de passerelle VPN point à site est pour VNet1.In this example, the Point-to-Site VPN gateway connection is for VNet1. VNet1 est connecté à VNet2 avec une connexion VPN site à site.VNet1 is connected to VNet2 using a Site-to-Site VPN connection. VNet2 est connecté à VNet3 avec une connexion VPN site à site.VNet2 is connected to VNet3 using a Site-to-Site VPN connection. Il n’existe aucun peering direct ni aucun tunnel VPN site à site entre les réseaux VNet1 et VNet3.There is no direct peering or Site-to-Site VPN tunnel between the VNet1 and VNet3 networks. VNet3 est connecté à une filiale (Site1) avec une connexion VPN site à site.VNet3 is connected to a branch office (Site1) using a Site-to-Site VPN connection. Toutes les connexions VPN exécutent BGP.All VPN connections are running BGP.

Les clients utilisant Windows peuvent accéder aux réseaux virtuels et aux sites qui sont connectés avec une connexion VPN site à site, mais les routes vers VNet2, VNet3 et Site1 doivent être ajoutées manuellement dans le client.Clients using Windows can access VNets and sites that are connected using a Site-to-Site VPN connection, but the routes to VNet2, VNet3 and Site1 must be manually added to the client. Les clients non-Windows peuvent accéder aux réseaux virtuels et aux sites qui sont connectés avec une connexion VPN site à site sans aucune intervention manuelle.Non-Windows clients can access VNets and sites that are connected using a Site-to-Site VPN connection without any manual intervention. L’accès est transitif et les clients peuvent accéder aux ressources de tous les réseaux virtuels et sites (locaux) connectés.The access is transitive, and clients can access resources in all connected VNets and sites (on-premises).

S2S à plusieurs réseaux virtuels et filiale

Espace d’adressageAddress space

  • VNet1 : 10.1.0.0/16VNet1: 10.1.0.0/16

  • VNet2 : 10.2.0.0/16VNet2: 10.2.0.0/16

  • VNet3 : 10.3.0.0/16VNet3: 10.3.0.0/16

  • Site1 : 10.101.0.0/16Site1: 10.101.0.0/16

Routes ajoutéesRoutes added

  • Routes ajoutées aux clients Windows : 10.1.0.0/16, 192.168.0.0/24Routes added to Windows clients: 10.1.0.0/16, 192.168.0.0/24

  • Routes ajoutées aux clients non-Windows : 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24Routes added to Non-Windows clients: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24

AccèsAccess

  • Les clients Windows peuvent accéder à VNet1, VNet2, VNet3 et Site1, mais les routes vers VNet2, VNet3 et Site1 doivent être ajoutées manuellement dans le client.The Windows clients can access VNet1, VNet2, VNet3, and Site1, but routes to VNet2, VNet3 and Site1 must be manually added to the client.

  • Les clients non-Windows peuvent accéder à VNet1, Vnet2, VNet3 et Site1.Non-Windows clients can access VNet1, Vnet2, VNet3, and Site1.

Étapes suivantesNext steps

Consultez Créer un VPN P2S à l’aide du portail Azure pour commencer à créer votre VPN P2S.See Create a P2S VPN using the Azure portal to begin creating your P2S VPN.