Connecter des passerelles VPN à plusieurs périphériques VPN basés sur des stratégies via PowerShellConnect Azure VPN gateways to multiple on-premises policy-based VPN devices using PowerShell

Cet article vous aidera à configurer une passerelle VPN Azure basée sur le routage pour connecter plusieurs périphériques VPN basés sur des stratégies locales tirant parti des stratégies IPsec/IKE personnalisées sur les connexions VPN S2S.This article helps you configure an Azure route-based VPN gateway to connect to multiple on-premises policy-based VPN devices leveraging custom IPsec/IKE policies on S2S VPN connections.

Notes

Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Vous pouvez toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Pour en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module Az d’Azure PowerShell.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

À propos des passerelles VPN basées sur le routage et les stratégiesAbout policy-based and route-based VPN gateways

Les périphériques VPN basés sur des stratégies et ceux basés sur le routage diffèrent au niveau des sélecteurs de trafic IPsec et de la façon dont ils sont définis sur une connexion :Policy- vs. route-based VPN devices differ in how the IPsec traffic selectors are set on a connection:

  • Les périphériques VPN basés sur des stratégies utilisent des combinaisons de préfixes provenant des deux réseaux pour définir la façon dont le trafic est chiffré/déchiffré via les tunnels IPsec.Policy-based VPN devices use the combinations of prefixes from both networks to define how traffic is encrypted/decrypted through IPsec tunnels. En règle générale, ce modèle est construit sur des pare-feu qui se chargent du filtrage des paquets.It is typically built on firewall devices that perform packet filtering. Les fonctions de chiffrement et de déchiffrement de tunnel IPsec sont ajoutées au filtrage des paquets et au moteur de traitement.IPsec tunnel encryption and decryption are added to the packet filtering and processing engine.
  • Les périphériques VPN basés sur le routage utilisent des sélecteurs de trafic universels (caractère générique) et laissent les tables de routage/transfert diriger le trafic vers les différents tunnels IPsec.Route-based VPN devices use any-to-any (wildcard) traffic selectors, and let routing/forwarding tables direct traffic to different IPsec tunnels. En règle générale, ce modèle est construit sur des plateformes de routeur où chaque tunnel IPsec est modélisé en tant qu’interface réseau ou VTI (interface virtuelle de tunnel).It is typically built on router platforms where each IPsec tunnel is modeled as a network interface or VTI (virtual tunnel interface).

Les diagrammes suivants illustrent les deux modèles :The following diagrams highlight the two models:

Exemple de VPN basé sur des stratégiesPolicy-based VPN example

basé sur des stratégies

Exemple de VPN basé sur le routageRoute-based VPN example

basé sur le routage

Prise en charge par Azure des VPN basés sur des stratégiesAzure support for policy-based VPN

Actuellement, Azure prend en charge les deux modes de passerelles VPN : les passerelles VPN basées sur le routage et les passerelles VPN basées sur des stratégies.Currently, Azure supports both modes of VPN gateways: route-based VPN gateways and policy-based VPN gateways. Les deux modes sont construits sur différentes plateformes internes aux caractéristiques différentes :They are built on different internal platforms, which result in different specifications:

Passerelle VPN basée sur des stratégiesPolicyBased VPN Gateway Passerelle VPN basée sur le routageRouteBased VPN Gateway
Référence SKU de passerelle AzureAzure Gateway SKU De baseBasic Basic, Standard, HighPerformance, VpnGw1, VpnGw2, VpnGw3Basic, Standard, HighPerformance, VpnGw1, VpnGw2, VpnGw3
Version IKEIKE version IKEv1IKEv1 IKEv2IKEv2
IOPS Connexions S2SMax. S2S connections 11 Basic/Standard : 10Basic/Standard: 10
HighPerformance : 30HighPerformance: 30

Avec une stratégie IPsec/IKE personnalisée, vous pouvez désormais configurer les passerelles VPN Azure basées sur le routage pour utiliser des sélecteurs de trafic basés sur les préfixes avec l’option «PolicyBasedTrafficSelectors», afin de vous connecter à des périphériques VPN basés sur des stratégies locales.With the custom IPsec/IKE policy, you can now configure Azure route-based VPN gateways to use prefix-based traffic selectors with option "PolicyBasedTrafficSelectors", to connect to on-premises policy-based VPN devices. Cette fonctionnalité vous permet de vous connecter à partir d’un réseau virtuel Azure et d’une passerelle VPN à plusieurs périphériques VPN/pare-feu basés sur des stratégies locales, en supprimant ainsi la limite d’une connexion unique à partir des passerelles VPN Azure basées sur des stratégies locales.This capability allows you to connect from an Azure virtual network and VPN gateway to multiple on-premises policy-based VPN/firewall devices, removing the single connection limit from the current Azure policy-based VPN gateways.

Important

  1. Pour activer cette connectivité, vos périphériques VPN basés sur des stratégies locales doivent prendre en charge IKEv2 pour la connexion aux passerelles VPN Azure basées sur le routage.To enable this connectivity, your on-premises policy-based VPN devices must support IKEv2 to connect to the Azure route-based VPN gateways. Vérifiez les caractéristiques de votre périphérique VPN.Check your VPN device specifications.
  2. Les réseaux locaux qui utilisent ce mécanisme pour se connecter via des périphériques VPN basés sur des stratégies ne peuvent se connecter qu’au réseau virtuel Azure ; c’est-à-dire qu’ils ne peuvent pas transiter vers d’autres réseaux locaux ou virtuels via la même passerelle VPN Azure.The on-premises networks connecting through policy-based VPN devices with this mechanism can only connect to the Azure virtual network; they cannot transit to other on-premises networks or virtual networks via the same Azure VPN gateway.
  3. L’option de configuration fait partie de la stratégie de connexion personnalisée IPsec/IKE.The configuration option is part of the custom IPsec/IKE connection policy. Vous devez spécifier la stratégie complète (algorithmes de chiffrement et d’intégrité IPsec/IKE, puissance des clés et durée de vie des associations de sécurité) si vous activez l’option Sélecteur de trafic basé sur des stratégies.If you enable the policy-based traffic selector option, you must specify the complete policy (IPsec/IKE encryption and integrity algorithms, key strengths, and SA lifetimes).

Le diagramme suivant montre pourquoi le routage de transit via la passerelle VPN Azure ne fonctionne pas avec l’option basée sur des stratégies :The following diagram shows why transit routing via Azure VPN gateway doesn't work with the policy-based option:

transit basé sur des stratégies

Comme illustré dans le diagramme, les sélecteurs de trafic de la passerelle VPN Azure vont du réseau virtuel vers chaque préfixe de réseau local, mais les connexions croisées ne sont pas possibles.As shown in the diagram, the Azure VPN gateway has traffic selectors from the virtual network to each of the on-premises network prefixes, but not the cross-connection prefixes. Par exemple, les sites locaux 2, 3 et 4 peuvent tous communiquer avec VNet1, mais ils ne peuvent pas se connecter entre eux via la passerelle VPN Azure.For example, on-premises site 2, site 3, and site 4 can each communicate to VNet1 respectively, but cannot connect via the Azure VPN gateway to each other. Le diagramme montre les sélecteurs de trafic croisés qui ne sont pas disponibles dans cette configuration de la passerelle VPN Azure.The diagram shows the cross-connect traffic selectors that are not available in the Azure VPN gateway under this configuration.

Configurer des sélecteurs de trafic basés sur des stratégies sur une connexionConfigure policy-based traffic selectors on a connection

Les instructions fournies dans cet article suivent le même exemple que l’article Configurer la stratégie IPsec/IKE pour des connexions VPN S2S ou de réseau virtuel à réseau virtuel pour établir une connexion VPN S2S.The instructions in this article follow the same example as described in Configure IPsec/IKE policy for S2S or VNet-to-VNet connections to establish a S2S VPN connection. Cette situation est présentée dans le diagramme suivant :This is shown in the following diagram:

stratégie S2S

Le flux de travail pour activer cette connectivité est le suivant :The workflow to enable this connectivity:

  1. Créez le réseau virtuel, la passerelle VPN et la passerelle de réseau local pour votre connexion entre sites.Create the virtual network, VPN gateway, and local network gateway for your cross-premises connection
  2. Créez une stratégie IPsec/IKE.Create an IPsec/IKE policy
  3. Appliquez la stratégie lorsque vous créez une connexion S2S ou entre deux réseaux virtuels, et activez les sélecteurs de trafic basés sur des stratégies sur la connexionApply the policy when you create a S2S or VNet-to-VNet connection, and enable the policy-based traffic selectors on the connection
  4. Si la connexion est déjà créée, vous pouvez appliquer ou mettre à jour la stratégie sur une connexion existanteIf the connection is already created, you can apply or update the policy to an existing connection

Avant de commencerBefore you begin

Assurez-vous de disposer d’un abonnement Azure.Verify that you have an Azure subscription. Si vous ne disposez pas déjà d’un abonnement Azure, vous pouvez activer vos avantages abonnés MSDN ou créer un compte gratuit.If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.

Cet article utilise des cmdlets PowerShell.This article uses PowerShell cmdlets. Pour exécuter les applets de commande, vous pouvez utiliser Azure Cloud Shell, un environnement d’interpréteur de commandes interactif hébergé dans Azure et utilisée par le biais du navigateur.To run the cmdlets, you can use Azure Cloud Shell, an interactive shell environment hosted in Azure and used through the browser. Azure Cloud Shell est fourni avec les applets de commande PowerShell de Azure préalablement installée.Azure Cloud Shell comes with the Azure PowerShell cmdlets pre-installed.

Pour exécuter n’importe quel code contenue dans cet article sur Azure Cloud Shell, ouvrez une session Cloud Shell, utilisez le copie bouton sur un bloc de code pour copier le code et collez-le dans la session Cloud Shell avec Ctrl + Maj + V sur Windows et Linux, ou Cmd + Maj + V sur macOS.To run any code contained in this article on Azure Cloud Shell, open a Cloud Shell session, use the Copy button on a code block to copy the code, and paste it into the Cloud Shell session with Ctrl+Shift+V on Windows and Linux, or Cmd+Shift+V on macOS. Texte collé n’est pas exécutée automatiquement, appuyez sur entrée pour exécuter du code.Pasted text is not automatically executed, so press Enter to run code.

Vous pouvez lancer Azure Cloud Shell avec :You can launch Azure Cloud Shell with:

Sélectionnez Essayer dans le coin supérieur droit d’un bloc de code.Select Try It in the upper-right corner of a code block. Cela ne copier automatiquement du texte dans Cloud Shell.This doesn't automatically copy text to Cloud Shell. Exemple Essayer pour Azure Cloud Shell
Ouvrez shell.azure.com dans votre navigateur.Open shell.azure.com in your browser. Bouton Lancer Azure Cloud ShellLaunch Azure Cloud Shell button
Sélectionnez le bouton Cloud Shell du menu situé en haut à droite du portail Azure.Select the Cloud Shell button on the menu in the upper-right corner of the Azure portal. Bouton Cloud Shell du portail Azure

Exécutez PowerShell en localRunning PowerShell locally

Vous pouvez également installer et exécuter les applets de commande Azure PowerShell localement sur votre ordinateur.You can also install and run the Azure PowerShell cmdlets locally on your computer. Applets de commande PowerShell sont fréquemment mis à jour.PowerShell cmdlets are updated frequently. Si vous n’exécutez pas la dernière version, les valeurs spécifiées dans les instructions peuvent échouer.If you are not running the latest version, the values specified in the instructions may fail. Pour rechercher la version de PowerShell que vous exécutez localement, utilisez le Get-Module -ListAvailable Az applet de commande.To find the version of PowerShell that you are running locally, use the Get-Module -ListAvailable Az cmdlet. Pour installer ou mettre à jour, consultez installer le module Azure PowerShell.To install or update, see Install the Azure PowerShell module.

Activer des sélecteurs de trafic basés sur des stratégies sur une connexionEnable policy-based traffic selectors on a connection

Assurez-vous d’avoir terminé la partie 3 de l’article sur la configuration d’une stratégie IPsec/IKE avant d’aborder cette section.Make sure you have completed Part 3 of the Configure IPsec/IKE policy article for this section. L’exemple suivant utilise les mêmes paramètres et étapes :The following example uses the same parameters and steps:

Étape 1 : création du réseau virtuel, de la passerelle VPN et de la passerelle de réseau localStep 1 - Create the virtual network, VPN gateway, and local network gateway

1. Vous connecter à votre abonnement et déclarer vos variables1. Connect to your subscription and declare your variables

Ouvrez la console PowerShell avec des privilèges élevés.Open your PowerShell console with elevated privileges.

Si vous exécutez Azure PowerShell en local, connectez-vous à votre compte Azure.If you are running Azure PowerShell locally, connect to your Azure account. L’applet de commande Connect-AzAccount vous invite à saisir vos informations d’identification.The Connect-AzAccount cmdlet prompts you for credentials. Une fois que vous êtes identifié, vos paramètres de compte sont téléchargés afin de les mettre à disposition d’Azure PowerShell.After authenticating, it downloads your account settings so that they are available to Azure PowerShell. Si vous n’exécutez pas PowerShell localement mais que vous utilisez la fonctionnalité Azure Cloud Shell « Essayer » dans le navigateur, passez cette première étape.If you are not running PowerShell locally and are instead using the Azure Cloud Shell 'Try it' in the browser, skip this first step. Vous serez automatiquement connecté à votre compte Azure.You will connect to your Azure account automatically.

Connect-AzAccount

Si vous possédez plusieurs abonnements, procurez-vous la liste de vos abonnements Azure.If you have more than one subscription, get a list of your Azure subscriptions.

Get-AzSubscription

Spécifiez l’abonnement à utiliser.Specify the subscription that you want to use.

Select-AzSubscription -SubscriptionName "Name of subscription"

Déclarez vos variables.Declare your variables. Dans cet exercice, nous utilisons les variables suivantes :For this exercise, we use the following variables:

$Sub1          = "<YourSubscriptionName>"
$RG1           = "TestPolicyRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"

$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

2. Créer le réseau virtuel, la passerelle VPN et la passerelle de réseau local2. Create the virtual network, VPN gateway, and local network gateway

Créez un groupe de ressources.Create a resource group.

New-AzResourceGroup -Name $RG1 -Location $Location1

Utilisez l’exemple suivant pour créer le réseau virtuel TestVNet1 avec trois sous-réseaux et la passerelle VPN.Use the following example to create the virtual network TestVNet1 with three subnets, and the VPN gateway. Si vous souhaitez substituer des valeurs, pensez à toujours nommer votre sous-réseau de passerelle « GatewaySubnet ».If you want to substitute values, it's important that you always name your gateway subnet specifically 'GatewaySubnet'. Si vous le nommez autrement, la création de votre passerelle échoue.If you name it something else, your gateway creation fails.

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1    = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1      = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku HighPerformance

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

Étape 2 : création d’une connexion VPN S2S avec une stratégie IPsec/IKEStep 2 - Create a S2S VPN connection with an IPsec/IKE policy

1. Créez une stratégie IPsec/IKE.1. Create an IPsec/IKE policy

Important

Vous devez créer une stratégie IPsec/IKE afin d’activer l’option « UsePolicyBasedTrafficSelectors » sur la connexion.You need to create an IPsec/IKE policy in order to enable "UsePolicyBasedTrafficSelectors" option on the connection.

L’exemple de script suivant crée une stratégie IPsec/IKE avec les paramètres et les algorithmes suivants :The following example creates an IPsec/IKE policy with these algorithms and parameters:

  • IKEv2 : AES256, SHA384, DHGroup24IKEv2: AES256, SHA384, DHGroup24
  • IPsec : AES256, SHA256, PFS None, SA Lifetime 14400 seconds & 102400000KBIPsec: AES256, SHA256, PFS None, SA Lifetime 14400 seconds & 102400000KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

2. Créez la connexion VPN S2S avec les sélecteurs de trafic basés sur des stratégies et la stratégie IPsec/IKE.2. Create the S2S VPN connection with policy-based traffic selectors and IPsec/IKE policy

Créez une connexion VPN S2S et appliquez la stratégie IPsec/IKE créée dans l’étape précédente.Create an S2S VPN connection and apply the IPsec/IKE policy created in the previous step. Prenez connaissance de l’utilisation du paramètre supplémentaire « -UsePolicyBasedTrafficSelectors $True ». Il permet d’activer les sélecteurs de trafic basés sur des stratégies sur la connexion.Be aware of the additional parameter "-UsePolicyBasedTrafficSelectors $True" which enables policy-based traffic selectors on the connection.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -UsePolicyBasedTrafficSelectors $True -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

Une fois que vous aurez terminé ces étapes, la connexion VPN S2S utilisera la stratégie IPsec/IKE définie et activera sur la connexion les sélecteurs de trafic basés sur des stratégies.After completing the steps, the S2S VPN connection will use the IPsec/IKE policy defined, and enable policy-based traffic selectors on the connection. Vous pouvez répéter les mêmes étapes pour ajouter davantage de connexions à des périphériques VPN supplémentaires basés sur des stratégies locales à partir de la même passerelle VPN Azure.You can repeat the same steps to add more connections to additional on-premises policy-based VPN devices from the same Azure VPN gateway.

Mettre à jour des sélecteurs de trafic basés sur des stratégies pour une connexionUpdate policy-based traffic selectors for a connection

La dernière section indique comment mettre à jour l’option des sélecteurs de trafic basés sur des stratégies pour une connexion VPN S2S existante.The last section shows you how to update the policy-based traffic selectors option for an existing S2S VPN connection.

1. Obtenez la connexion.1. Get the connection

Commencez par obtenir la ressource de connexion.Get the connection resource.

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

2. Vérifiez l’option des sélecteurs de trafic basés sur des stratégies.2. Check the policy-based traffic selectors option

La ligne suivante indique si les sélecteurs de trafic basés sur des stratégies sont utilisés pour la connexion :The following line shows whether the policy-based traffic selectors are used for the connection:

$connection6.UsePolicyBasedTrafficSelectors

Si la ligne renvoie « True », alors les sélecteurs de trafic basés sur des stratégies sont configurés sur la connexion ; sinon, elle indique « False ».If the line returns "True", then policy-based traffic selectors are configured on the connection; otherwise it returns "False."

3. Activer/désactiver les sélecteurs de trafic basés sur des stratégies sur une connexion3. Enable/Disable the policy-based traffic selectors on a connection

Une fois que vous avez obtenu la ressource de connexion, vous pouvez activer ou désactiver l’option.Once you obtain the connection resource, you can enable or disable the option.

Pour activer UsePolicyBasedTrafficSelectorsTo Enable UsePolicyBasedTrafficSelectors

Dans l’exemple suivant, l’option des sélecteurs du trafic basés sur des stratégies est désactivée, mais ne modifie pas la stratégie IPsec/IKE :The following example enables the policy-based traffic selectors option, but leaves the IPsec/IKE policy unchanged:

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $True

Pour désactiver UsePolicyBasedTrafficSelectorsTo Disable UsePolicyBasedTrafficSelectors

Dans l’exemple suivant, l’option des sélecteurs du trafic basés sur des stratégies est désactivée, mais ne modifie pas la stratégie IPsec/IKE :The following example disables the policy-based traffic selectors option, but leaves the IPsec/IKE policy unchanged:

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $False

Étapes suivantesNext steps

Une fois la connexion achevée, vous pouvez ajouter des machines virtuelles à vos réseaux virtuels.Once your connection is complete, you can add virtual machines to your virtual networks. Consultez Création d’une machine virtuelle pour connaître les différentes étapes.See Create a Virtual Machine for steps.

Pour en savoir plus sur les stratégies IPsec/IKE personnalisées, consultez Configure IPsec/IKE policy for S2S VPN or VNet-to-VNet connections (Configuration d’une stratégie IPsec/IKE pour les connexions VPN S2S ou entre deux réseaux virtuels).Also review Configure IPsec/IKE policy for S2S VPN or VNet-to-VNet connections for more details on custom IPsec/IKE policies.