À propos du VPN de point à siteAbout Point-to-Site VPN

Une connexion par passerelle VPN point à site (P2S) vous permet de créer une connexion sécurisée à votre réseau virtuel à partir d’un ordinateur de client individuel.A Point-to-Site (P2S) VPN gateway connection lets you create a secure connection to your virtual network from an individual client computer. Une connexion P2S est établie en étant démarrée à partir de l’ordinateur client.A P2S connection is established by starting it from the client computer. Cette solution est utile pour les télétravailleurs souhaitant se connecter à un réseau virtuel à partir d’un emplacement distant, comme depuis leur domicile ou pendant une conférence.This solution is useful for telecommuters who want to connect to Azure VNets from a remote location, such as from home or a conference. De même, l’utilisation d’un VPN P2S est une solution utile qui constitue une alternative au VPN Site à Site (S2S) lorsqu’un nombre restreint de clients doit se connecter à un réseau virtuel.P2S VPN is also a useful solution to use instead of S2S VPN when you have only a few clients that need to connect to a VNet. Cet article s'applique au modèle de déploiement Resource Manager.This article applies to the Resource Manager deployment model.

Quel protocole est utilisé par le P2S ?What protocol does P2S use?

La connexion VPN point à site peut utiliser un des protocoles suivants :Point-to-site VPN can use one of the following protocols:

  • Protocole OpenVPN®, un protocole VPN basé sur SSL/TLS.OpenVPN® Protocol, an SSL/TLS based VPN protocol. Une solution VPN TLS peut pénétrer des pare-feu, puisque la plupart des pare-feu ouvrent le port de sortie TCP 443 utilisé par le protocole TLS.A TLS VPN solution can penetrate firewalls, since most firewalls open TCP port 443 outbound, which TLS uses. Vous pouvez utiliser OpenVPN pour vous connecter à partir d’appareils Android, iOS (versions 11.0 et versions ultérieures), Windows, Linux et Mac (OSX 10.13 et versions ultérieures).OpenVPN can be used to connect from Android, iOS (versions 11.0 and above), Windows, Linux and Mac devices (OSX versions 10.13 and above).

  • Le Protocole SSTP (Secure Socket Tunneling Protocol) est un protocole propriétaire VPN basé sur le protocole TLS.Secure Socket Tunneling Protocol (SSTP), a proprietary TLS-based VPN protocol. Une solution VPN TLS peut pénétrer des pare-feu, puisque la plupart des pare-feu ouvrent le port de sortie TCP 443 utilisé par le protocole TLS.A TLS VPN solution can penetrate firewalls, since most firewalls open TCP port 443 outbound, which TLS uses. SSTP est pris en charge sur les appareils Windows uniquement.SSTP is only supported on Windows devices. Azure prend en charge toutes les versions de Windows disposant de SSTP (Windows 7 et versions ultérieures).Azure supports all versions of Windows that have SSTP (Windows 7 and later).

  • Un VPN IKEv2 est une solution VPN IPsec basée sur des normes.IKEv2 VPN, a standards-based IPsec VPN solution. Un VPN IKEv2 peut être utilisé pour se connecter à partir d’appareils Mac (OSX 10.11 et versions ultérieures).IKEv2 VPN can be used to connect from Mac devices (OSX versions 10.11 and above).

Notes

IKEv2 et OpenVPN pour P2S sont uniquement disponibles pour le modèle de déploiement Resource Manager.IKEv2 and OpenVPN for P2S are available for the Resource Manager deployment model only. Ils ne sont pas disponibles pour le modèle de déploiement classique.They are not available for the classic deployment model.

Comment les clients VPN P2S sont-ils authentifiés ?How are P2S VPN clients authenticated?

Avant qu’Azure n’accepte une connexion VPN P2S, l’utilisateur doit d’abord s’authentifier.Before Azure accepts a P2S VPN connection, the user has to be authenticated first. Azure permet aux utilisateurs qui se connectent de s’authentifier à l’aide de deux mécanismes.There are two mechanisms that Azure offers to authenticate a connecting user.

S’authentifier à l’aide d’une authentification par certificat Azure nativeAuthenticate using native Azure certificate authentication

Lorsque vous utilisez l’authentification par certificat Azure native, un certificat client présent sur l’appareil est utilisé pour authentifier l’utilisateur qui se connecte.When using the native Azure certificate authentication, a client certificate that is present on the device is used to authenticate the connecting user. Les certificats client sont générés à partir d’un certificat racine de confiance et installés sur chaque ordinateur client.Client certificates are generated from a trusted root certificate and then installed on each client computer. Vous pouvez utiliser un certificat racine qui a été généré à l’aide d’une solution d’entreprise, ou vous pouvez générer un certificat auto-signé.You can use a root certificate that was generated using an Enterprise solution, or you can generate a self-signed certificate.

La validation du certificat client est effectuée par la passerelle VPN et se produit pendant l’établissement de la connexion VPN P2S.The validation of the client certificate is performed by the VPN gateway and happens during establishment of the P2S VPN connection. Le certificat racine est requis pour la validation et doit être chargé sur Azure.The root certificate is required for the validation and must be uploaded to Azure.

S’authentifier à l’aide d’une authentification Azure Active Directory nativeAuthenticate using native Azure Active Directory authentication

L’authentification Azure AD permet aux utilisateurs de se connecter à Azure à l’aide de leurs informations d’identification Azure Active Directory.Azure AD authentication allows users to connect to Azure using their Azure Active Directory credentials. L’authentification Azure AD native est uniquement prise en charge pour le protocole OpenVPN et Windows 10 et nécessite l’utilisation d’Azure VPN Client.Native Azure AD authentication is only supported for OpenVPN protocol and Windows 10 and requires the use of the Azure VPN Client.

Avec l’authentification Azure AD native, vous pouvez tirer parti de l’accès conditionnel d’Azure AD ainsi que des fonctionnalités d’authentification multifacteur (MFA) pour le VPN.With native Azure AD authentication, you can leverage Azure AD's conditional access as well as Multi-Factor Authentication(MFA) features for VPN.

De façon générale, vous devez effectuer les étapes suivantes pour configurer l’authentification Azure AD :At a high level, you need to perform the following steps to configure Azure AD authentication:

  1. Configurer un locataire Azure ADConfigure an Azure AD tenant

  2. Activer l’authentification Azure AD sur la passerelleEnable Azure AD authentication on the gateway

  3. Télécharger et configurer Azure VPN ClientDownload and configure Azure VPN Client

S’authentifier à l’aide du serveur de domaine Active Directory (AD)Authenticate using Active Directory (AD) Domain Server

L’authentification de domaine AD permet aux utilisateurs de se connecter à Azure à l’aide des informations d’identification du domaine de l’organisation.AD Domain authentication allows users to connect to Azure using their organization domain credentials. Un serveur RADIUS qui s’intègre avec le serveur AD est requis.It requires a RADIUS server that integrates with the AD server. Les organisations peuvent aussi exploiter un déploiement RADIUS existant.Organizations can also leverage their existing RADIUS deployment.    Le serveur RADIUS peut être déployé localement ou sur votre réseau virtuel Azure.The RADIUS server could be deployed on-premises or in your Azure VNet. Lors de l’authentification, la passerelle VPN Azure permet le transfert direct et transfère les messages d’authentification entre le serveur RADIUS et l’appareil de connexion.During authentication, the Azure VPN Gateway acts as a pass through and forwards authentication messages back and forth between the RADIUS server and the connecting device. Par conséquent, l’accessibilité de la passerelle au serveur RADIUS est importante.So Gateway reachability to the RADIUS server is important. Si le serveur RADIUS est situé en local, une connexion VPN S2S au site local à partir d’Azure est requise pour établir l’accessibilité.  If the RADIUS server is present on-premises, then a VPN S2S connection from Azure to the on-premises site is required for reachability.      Le serveur RADIUS peut aussi être intégré aux services de certificat AD.The RADIUS server can also integrate with AD certificate services. Cela vous permet d’utiliser le serveur RADIUS et le déploiement de certificat d’entreprise pour votre authentification par certificat P2S comme alternative à l’authentification par certificat Azure.This lets you use the RADIUS server and your enterprise certificate deployment for P2S certificate authentication as an alternative to the Azure certificate authentication. L’avantage est que vous n’avez pas besoin de charger les certificats racine et les certificats révoqués sur Azure.The advantage is that you don’t need to upload root certificates and revoked certificates to Azure.

Un serveur RADIUS permet également l’intégration avec d’autres systèmes d’identité externe.A RADIUS server can also integrate with other external identity systems. Cette opération ouvre de nombreuses options d’authentification pour les VPN P2S, notamment les options de multifacteur.This opens up plenty of authentication options for P2S VPN, including multi-factor options.

point à sitepoint-to-site

Quelle est la configuration requise pour les clients ?What are the client configuration requirements?

Notes

Pour les clients Windows, vous devez disposer des droits d’administrateur sur l’appareil client afin d’initialiser la connexion VPN à partir de l’appareil client vers Azure.For Windows clients, you must have administrator rights on the client device in order to initiate the VPN connection from the client device to Azure.

Les utilisateurs utilisent les clients VPN natifs sur les appareils Windows et Mac pour P2S.Users use the native VPN clients on Windows and Mac devices for P2S. Azure fournit un fichier zip de configuration de client VPN qui contient les paramètres requis par ces clients natifs afin de se connecter à Azure.Azure provides a VPN client configuration zip file that contains settings required by these native clients to connect to Azure.

  • Pour les appareils Windows, la configuration du client VPN comprend un package d’installation que les utilisateurs installent sur leurs appareils.For Windows devices, the VPN client configuration consists of an installer package that users install on their devices.
  • Pour les appareils Mac, elle contient un fichier mobileconfig que les utilisateurs installent sur leurs appareils.For Mac devices, it consists of the mobileconfig file that users install on their devices.

Le fichier zip fournit également les valeurs de certains paramètres importants pour Azure que vous pouvez utiliser pour créer votre propre profil pour ces appareils.The zip file also provides the values of some of the important settings on the Azure side that you can use to create your own profile for these devices. Ces valeurs incluent notamment l’adresse de passerelle VPN, les types de tunnel configurés, les itinéraires et le certificat racine pour la validation de la passerelle.Some of the values include the VPN gateway address, configured tunnel types, routes, and the root certificate for gateway validation.

Notes

À compter du 1er juillet 2018, la passerelle VPN Azure ne prendra plus en charge TLS 1.0 et 1.1.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. Elle prendra uniquement en charge TLS 1.2.VPN Gateway will support only TLS 1.2. Seules les connexions de point à site sont affectées ; les connexions site à site ne le sont pas.Only point-to-site connections are impacted; site-to-site connections will not be affected. Si vous utilisez le protocole TLS pour les VPN de point à site sur des clients Windows 10, aucune action n’est nécessaire.If you’re using TLS for point-to-site VPNs on Windows 10 clients, you don’t need to take any action. Si vous utilisez le protocole TLS pour les connexions de point à site sur des clients Windows 7 et Windows 8, consultez Questions fréquentes (FAQ) sur la passerelle VPN pour obtenir des instructions de mise à jour.If you are using TLS for point-to-site connections on Windows 7 and Windows 8 clients, see the VPN Gateway FAQ for update instructions.

Quelles références SKU de passerelle prennent en charge les VPN P2S ?Which gateway SKUs support P2S VPN?

Génération
de passerelle
VPN
VPN
Gateway
Generation
Référence (SKU)SKU S2S/VNet-to-VNet
Tunnels
S2S/VNet-to-VNet
Tunnels
P2S
connexions SSTP
P2S
SSTP Connections
P2S
connexions IKEv2/OpenVPN
P2S
IKEv2/OpenVPN Connections
Agrégat
Référence de débit
Aggregate
Throughput Benchmark
BGPBGP Redondant interzoneZone-redundant
Génération1Generation1 De baseBasic Bande passanteMax. 1010 Bande passanteMax. 128128 Non pris en chargeNot Supported 100 Mbits/s100 Mbps Non pris en chargeNot Supported NonNo
Génération1Generation1 VpnGw1VpnGw1 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 250250 650 Mbits/s650 Mbps Prise en chargeSupported NonNo
Génération1Generation1 VpnGw2VpnGw2 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 500500 1 Gbit/s1 Gbps Prise en chargeSupported NonNo
Génération1Generation1 VpnGw3VpnGw3 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 1 0001000 1,25 Gbits/s1.25 Gbps Prise en chargeSupported NonNo
Génération1Generation1 VpnGw1AZVpnGw1AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 250250 650 Mbits/s650 Mbps Prise en chargeSupported OuiYes
Génération1Generation1 VpnGw2AZVpnGw2AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 500500 1 Gbit/s1 Gbps Prise en chargeSupported OuiYes
Génération1Generation1 VpnGw3AZVpnGw3AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 1 0001000 1,25 Gbits/s1.25 Gbps Prise en chargeSupported OuiYes
Génération2Generation2 VpnGw2VpnGw2 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 500500 1,25 Gbits/s1.25 Gbps Prise en chargeSupported NonNo
Génération2Generation2 VpnGw3VpnGw3 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 1 0001000 2,5 Gbits/s2.5 Gbps Prise en chargeSupported NonNo
Génération2Generation2 VpnGw4VpnGw4 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 5 0005000 5 Gbit/s5 Gbps Prise en chargeSupported NonNo
Génération2Generation2 VpnGw5VpnGw5 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 1000010000 10 Gbits/s10 Gbps Prise en chargeSupported NonNo
Génération2Generation2 VpnGw2AZVpnGw2AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 500500 1,25 Gbits/s1.25 Gbps Prise en chargeSupported OuiYes
Génération2Generation2 VpnGw3AZVpnGw3AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 1 0001000 2,5 Gbits/s2.5 Gbps Prise en chargeSupported OuiYes
Génération2Generation2 VpnGw4AZVpnGw4AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 5 0005000 5 Gbit/s5 Gbps Prise en chargeSupported OuiYes
Génération2Generation2 VpnGw5AZVpnGw5AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 1000010000 10 Gbits/s10 Gbps Prise en chargeSupported OuiYes

(*) Utilisez le WAN virtuel si vous avez besoin de plus de 30 tunnels VPN S2S.(*) Use Virtual WAN if you need more than 30 S2S VPN tunnels.

  • Le redimensionnement des références SKU VpnGw est autorisé dans la même génération, à l’exception du redimensionnement de la référence SKU De base.The resizing of VpnGw SKUs is allowed within the same generation, except resizing of the Basic SKU. La référence SKU De base est une référence SKU héritée et présente des limitations en termes de fonctionnalités.The Basic SKU is a legacy SKU and has feature limitations. Pour passer de la référence SKU De base à une autre référence SKU VpnGw, vous devez supprimer la passerelle VPN de la référence SKU De base et créer une passerelle avec la combinaison de taille de référence SKU et de génération souhaitée.In order to move from Basic to another VpnGw SKU, you must delete the Basic SKU VPN gateway and create a new gateway with the desired Generation and SKU size combination.

  • Ces limites de connexion sont séparées.These connection limits are separate. Par exemple, vous pouvez avoir 128 connexions SSTP et 250 connexions IKEv2 sur une référence SKU VpnGw1.For example, you can have 128 SSTP connections and also 250 IKEv2 connections on a VpnGw1 SKU.

  • Pour des informations sur les prix, consultez la page Tarification .Pricing information can be found on the Pricing page.

  • Vous trouverez des informations relatives au contrat de niveau de service (SLA) sur la page SLA.SLA (Service Level Agreement) information can be found on the SLA page.

  • Dans un tunnel unique, un débit maximal de 1 Gbit/s peut être atteint.On a single tunnel a maximum of 1 Gbps throughput can be achieved. La référence de débit agrégée indiquée dans le tableau ci-dessus se base sur les mesures de plusieurs tunnels agrégés par le biais d’une passerelle unique.Aggregate Throughput Benchmark in the above table is based on measurements of multiple tunnels aggregated through a single gateway. Le test d’évaluation du débit d’agrégat pour une passerelle VPN est S2S + P2S combinés.The Aggregate Throughput Benchmark for a VPN Gateway is S2S + P2S combined. Si vous avez un grand nombre de connexions P2S, cela peut avoir un impact négatif sur la connexion S2S à cause des limites de débit.If you have a lot of P2S connections, it can negatively impact a S2S connection due to throughput limitations. La référence de débit agrégée n’est pas garantie en raison des conditions de trafic Internet et des comportements de votre application.The Aggregate Throughput Benchmark is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

Pour aider nos clients à comprendre les performances relatives des références SKU à l’aide de différents algorithmes, nous avons utilisé les outils disponibles publiquement iPerf et CTSTraffic pour mesurer les performances.To help our customers understand the relative performance of SKUs using different algorithms, we used publicly available iPerf and CTSTraffic tools to measure performances. Le tableau ci-dessous liste les résultats des tests de performances des références SKU VpnGw de génération 1.The table below lists the results of performance tests for Generation 1, VpnGw SKUs. Comme vous pouvez le voir, les meilleures performances sont obtenues quand nous utilisons l’algorithme GCMAES256 pour le chiffrement IPsec et pour l’intégrité.As you can see, the best performance is obtained when we used GCMAES256 algorithm for both IPsec Encryption and Integrity. Nous obtenons des performances moyennes lors de l’utilisation d’AES256 pour le chiffrement IPsec et de SHA256 pour l’intégrité.We got average performance when using AES256 for IPsec Encryption and SHA256 for Integrity. Quand nous utilisons DES3 pour le chiffrement IPsec et SHA256 pour l’intégrité, nous obtenons les performances les plus faibles.When we used DES3 for IPsec Encryption and SHA256 for Integrity we got lowest performance.

GénérationGeneration Référence (SKU)SKU Algorithmes
utilisés
Algorithms
used
Débit
observé
Throughput
observed
Paquets par seconde
observés
Packets per second
observed
Génération1Generation1 VpnGw1VpnGw1 GCMAES256GCMAES256
AES256 et SHA256AES256 & SHA256
DES3 et SHA256DES3 & SHA256
650 Mbits/s650 Mbps
500 Mbits/s500 Mbps
120 Mbits/s120 Mbps
58 00058,000
50 00050,000
50 00050,000
Génération1Generation1 VpnGw2VpnGw2 GCMAES256GCMAES256
AES256 et SHA256AES256 & SHA256
DES3 et SHA256DES3 & SHA256
1 Gbit/s1 Gbps
500 Mbits/s500 Mbps
120 Mbits/s120 Mbps
90 00090,000
80 00080,000
55 00055,000
Génération1Generation1 VpnGw3VpnGw3 GCMAES256GCMAES256
AES256 et SHA256AES256 & SHA256
DES3 et SHA256DES3 & SHA256
1,25 Gbits/s1.25 Gbps
550 Mbits/s550 Mbps
120 Mbits/s120 Mbps
105 000105,000
90 00090,000
60 00060,000
Génération1Generation1 VpnGw1AZVpnGw1AZ GCMAES256GCMAES256
AES256 et SHA256AES256 & SHA256
DES3 et SHA256DES3 & SHA256
650 Mbits/s650 Mbps
500 Mbits/s500 Mbps
120 Mbits/s120 Mbps
58 00058,000
50 00050,000
50 00050,000
Génération1Generation1 VpnGw2AZVpnGw2AZ GCMAES256GCMAES256
AES256 et SHA256AES256 & SHA256
DES3 et SHA256DES3 & SHA256
1 Gbit/s1 Gbps
500 Mbits/s500 Mbps
120 Mbits/s120 Mbps
90 00090,000
80 00080,000
55 00055,000
Génération1Generation1 VpnGw3AZVpnGw3AZ GCMAES256GCMAES256
AES256 et SHA256AES256 & SHA256
DES3 et SHA256DES3 & SHA256
1,25 Gbits/s1.25 Gbps
550 Mbits/s550 Mbps
120 Mbits/s120 Mbps
105 000105,000
90 00090,000
60 00060,000

Notes

La référence SKU de base ne prend pas en charge IKEv2 ou l’authentification RADIUS.The Basic SKU does not support IKEv2 or RADIUS authentication.

Quelles stratégies IKE/IPsec sont configurées sur les passerelles VPN pour P2S ?What IKE/IPsec policies are configured on VPN gateways for P2S?

IKEv2IKEv2

CipherCipher IntégritéIntegrity PRFPRF Groupe DHDH Group
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA384SHA384 GROUP_24GROUP_24
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA384SHA384 GROUP_14GROUP_14
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA384SHA384 GROUP_ECP384GROUP_ECP384
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA384SHA384 GROUP_ECP256GROUP_ECP256
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA256SHA256 GROUP_24GROUP_24
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA256SHA256 GROUP_14GROUP_14
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA256SHA256 GROUP_ECP384GROUP_ECP384
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA256SHA256 GROUP_ECP256GROUP_ECP256
AES256AES256 SHA384SHA384 SHA384SHA384 GROUP_24GROUP_24
AES256AES256 SHA384SHA384 SHA384SHA384 GROUP_14GROUP_14
AES256AES256 SHA384SHA384 SHA384SHA384 GROUP_ECP384GROUP_ECP384
AES256AES256 SHA384SHA384 SHA384SHA384 GROUP_ECP256GROUP_ECP256
AES256AES256 SHA256SHA256 SHA256SHA256 GROUP_24GROUP_24
AES256AES256 SHA256SHA256 SHA256SHA256 GROUP_14GROUP_14
AES256AES256 SHA256SHA256 SHA256SHA256 GROUP_ECP384GROUP_ECP384
AES256AES256 SHA256SHA256 SHA256SHA256 GROUP_ECP256GROUP_ECP256
AES256AES256 SHA256SHA256 SHA256SHA256 GROUP_2GROUP_2

IPsecIPsec

CipherCipher IntégritéIntegrity Groupe PFSPFS Group
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 GROUP_NONEGROUP_NONE
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 GROUP_24GROUP_24
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 GROUP_14GROUP_14
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 GROUP_ECP384GROUP_ECP384
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 GROUP_ECP256GROUP_ECP256
AES256AES256 SHA256SHA256 GROUP_NONEGROUP_NONE
AES256AES256 SHA256SHA256 GROUP_24GROUP_24
AES256AES256 SHA256SHA256 GROUP_14GROUP_14
AES256AES256 SHA256SHA256 GROUP_ECP384GROUP_ECP384
AES256AES256 SHA256SHA256 GROUP_ECP256GROUP_ECP256
AES256AES256 SHA1SHA1 GROUP_NONEGROUP_NONE

Quelles stratégies TLS sont configurées sur les passerelles VPN pour P2S ?What TLS policies are configured on VPN gateways for P2S?

TLSTLS

StratégiesPolicies
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256TLS_RSA_WITH_AES_256_CBC_SHA256

Comment configurer une connexion P2S ?How do I configure a P2S connection?

Une configuration P2S requiert quelques étapes spécifiques.A P2S configuration requires quite a few specific steps. Les articles suivants détaillent les étapes de la configuration P2S et incluent des liens pour configurer les appareils clients VPN :The following articles contain the steps to walk you through P2S configuration, and links to configure the VPN client devices:

Supprimer la configuration d’une connexion P2STo remove the configuration of a P2S connection

Pour connaître les étapes à suivre, consultez le Forum Aux Questions (FAQ) ci-dessous.For steps, see the FAQ, below.

Forum Aux Questions (FAQ) sur l’authentification par certificat Azure nativeFAQ for native Azure certificate authentication

Combien de points de terminaison clients VPN puis-je avoir dans ma configuration point à site ?How many VPN client endpoints can I have in my Point-to-Site configuration?

Cela dépend de la référence SKU de passerelle.It depends on the gateway SKU. Pour plus d’informations sur le nombre de connexions prises en charge, consultez Références SKU de passerelle.For more information on the number of connections supported, see Gateway SKUs.

Quels systèmes d’exploitation client puis-je utiliser avec une connexion point à site ?What client operating systems can I use with Point-to-Site?

Les systèmes d’exploitation clients pris en charge sont les suivants :The following client operating systems are supported:

  • Windows 7 (32 bits et 64 bits)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (64 bits uniquement)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32 bits et 64 bits)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (64 bits uniquement)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (64 bits uniquement)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (64 bits uniquement)Windows Server 2016 (64-bit only)
  • Windows Server 2019 (64 bits uniquement)Windows Server 2019 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X version 10.11 ou ultérieureMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Notes

À compter du 1er juillet 2018, la passerelle VPN Azure ne prendra plus en charge TLS 1.0 et 1.1.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. Elle prendra uniquement en charge TLS 1.2.VPN Gateway will support only TLS 1.2. Pour maintenir la prise en charge, consultez les mises à jour permettant la prise en charge de TLS 1.2.To maintain support, see the updates to enable support for TLS1.2.

Par ailleurs, les algorithmes hérités suivants sont également dépréciés pour TLS depuis le 1er juillet 2018 :Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm)DES (Data Encryption Algorithm)
  • 3DES (Triple Data Encryption Algorithm)3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)MD5 (Message Digest 5)

Comment activer la prise en charge de TLS 1.2 dans Windows 7 et Windows 8.1 ?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Ouvrez une invite de commandes avec des privilèges élevés en cliquant avec le bouton droit sur Invite de commandes et en sélectionnant Exécuter en tant qu’administrateur.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. Exécutez les commandes suivantes à partir de l’invite de commandes :Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Installez les mises à jour suivantes :Install the following updates:

  4. Redémarrez l'ordinateur.Reboot the computer.

  5. Connectez-vous au VPN.Connect to the VPN.

Notes

Vous devrez définir la clé de registre ci-dessus si vous utilisez une ancienne version de Windows 10 (10240).You will have to set the above registry key if you are running an older version of Windows 10 (10240).

Puis-je parcourir les serveurs proxy et les pare-feu à l’aide de la fonctionnalité point à site ?Can I traverse proxies and firewalls using Point-to-Site capability?

Azure prend en charge trois types d’options de VPN point à site :Azure supports three types of Point-to-site VPN options:

  • Protocole SSTP (Secure Socket Tunneling Protocol).Secure Socket Tunneling Protocol (SSTP). SSTP est une solution SSL propriétaire de Microsoft qui peut pénétrer les pare-feu, car la plupart des pare-feu ouvrent le port TCP 443 sortant utilisé par SSL.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN.OpenVPN. OpenVPN est une solution SSL qui peut pénétrer les pare-feu, car la plupart des pare-feu ouvrent le port TCP 443 sortant utilisé par SSL.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • VPN IKEv2.IKEv2 VPN. Le VPN IKEv2 est une solution VPN IPsec basée sur des normes qui utilise les ports UDP 500 et 4500 sortants ainsi que le protocole IP no.IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50.50. Les pare-feux n’ouvrent pas toujours ces ports. Il est donc possible que le VPN IKEv2 ne soit pas en mesure de parcourir les proxies et pare-feux.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Si je redémarre un ordinateur client avec une configuration point à site, le réseau VPN va-t-il se reconnecter automatiquement ?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Par défaut, l'ordinateur client ne rétablit pas automatiquement la connexion VPN.By default, the client computer will not reestablish the VPN connection automatically.

La configuration point à site prend-elle en charge la reconnexion automatique et DDNS sur les clients VPN ?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

La reconnexion automatique et DDNS ne sont actuellement pas pris en charge dans les configurations VPN point à site.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

Puis-je avoir des configurations coexistantes site à site et point à site pour un même réseau virtuel ?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Oui.Yes. Pour le modèle de déploiement Resource Manager, vous devez disposer d’un type de VPN basé sur le routage pour votre passerelle.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Pour le modèle de déploiement Classic, vous avez besoin d’une passerelle dynamique.For the classic deployment model, you need a dynamic gateway. Nous ne prenons pas en charge la configuration point à site pour les passerelles VPN à routage statique ou les passerelles VPN basée sur une stratégie.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

Puis-je configurer un client point à site pour me connecter à plusieurs passerelles de réseaux virtuels en même temps ?Can I configure a Point-to-Site client to connect to multiple virtual network gateways at the same time?

En fonction du logiciel VPN Client utilisé, vous pouvez vous connecter à plusieurs passerelles de réseaux virtuels, à condition que les réseaux virtuels qui y sont connectés n’aient pas d’espaces d’adressage en conflit entre eux ou avec le réseau à partir duquel le client se connecte.Depending on the VPN Client software used, you may be able to connect to multiple Virtual Network Gateways provided the virtual networks being connected to do not have conflicting address spaces between them or the network from with the client is connecting from. Azure VPN Client prend en charge de nombreuses connexions VPN, mais une seule connexion peut être connectée à un moment M.While the Azure VPN Client supports many VPN connections, only one connection can be Connected at any given time.

Puis-je configurer un client point à site pour me connecter à plusieurs réseaux virtuels en même temps ?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Oui, les connexions de point à site à une passerelle de réseau virtuel déployée dans un réseau virtuel qui est appairé à d’autres réseaux virtuels peuvent avoir accès à d’autres réseaux virtuels appairés.Yes, Point-to-Site connections to a Virtual Network Gateway deployed in a VNet that is peered with other VNets may have access to other peered VNets. À condition que les réseaux virtuels appairés utilisent les fonctionnalités UseRemoteGateway / AllowGatewayTransit, le client point à site peut se connecter à ces réseaux virtuels appairés.Provided the peered VNets are using the UseRemoteGateway / AllowGatewayTransit features, the Point-to-Site client will be able to connect to those peered VNets. Pour plus d’informations, reportez-vous à cet article.For more information please reference this article.

Quel débit puis-je attendre des connexions site à site ou point à site ?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

Il est difficile de maintenir le débit exact des tunnels VPN.It's difficult to maintain the exact throughput of the VPN tunnels. IPsec et SSTP sont des protocoles VPN de chiffrement lourd.IPsec and SSTP are crypto-heavy VPN protocols. Le débit est également limité par la latence et la bande passante entre vos locaux et Internet.Throughput is also limited by the latency and bandwidth between your premises and the Internet. Pour une passerelle VPN ne disposant que des connexions VPN point à site IKEv2, le débit total que vous obtiendrez dépend de la référence SKU de passerelle.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Pour plus d’informations sur le débit, consultez Références SKU de passerelle.For more information on throughput, see Gateway SKUs.

Puis-je utiliser un client VPN logiciel pour une connexion point à site prenant en charge SSTP et/ou IKEv2 ?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

Non.No. Vous ne pouvez utiliser le client VPN natif sur Windows que pour SSTP et pour le client VPN natif sur Mac pour IKEv2.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. Toutefois, vous pouvez utiliser le client OpenVPN sur toutes les plateformes pour vous connecter via le protocole OpenVPN.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Reportez-vous à la liste des systèmes d’exploitation client pris en charge.Refer to the list of supported client operating systems.

Azure prend-elle en charge le VPN IKEv2 avec Windows ?Does Azure support IKEv2 VPN with Windows?

Le protocole IKEv2 est pris en charge sur Windows 10 et Server 2016.IKEv2 is supported on Windows 10 and Server 2016. Toutefois, pour pouvoir utiliser le protocole IKEv2, vous devez installer les mises à jour et définir une valeur de clé de Registre localement.However, in order to use IKEv2, you must install updates and set a registry key value locally. Les versions de système d’exploitation antérieures à Windows 10 ne sont pas prises en charge. Elles peuvent uniquement utiliser le protocole SSTP ou OpenVPN®.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Pour préparer Windows 10 ou Server 2016 pour IKEv2 :To prepare Windows 10 or Server 2016 for IKEv2:

  1. Installez la mise à jour.Install the update.

    Version du SEOS version DateDate Nombre/lienNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 version 1607Windows 10 Version 1607
    17 janvier 2018January 17, 2018 KB4057142KB4057142
    Windows 10 version 1703Windows 10 Version 1703 17 janvier 2018January 17, 2018 KB4057144KB4057144
    Windows 10 version 1709Windows 10 Version 1709 22 mars 2018March 22, 2018 KB4089848KB4089848
  2. Définissez la valeur de clé de Registre.Set the registry key value. Créer ou de définir la clé REG_DWORD « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload » sur 1 dans le Registre.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

Que se passe-t-il lorsque je configure SSTP et IKEv2 pour les connexions VPN P2S ?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Lorsque vous configurez SSTP et IKEv2 dans un environnement mixte (composé d’appareils Windows et Mac), le client VPN Windows essaiera toujours le tunnel IKEv2 d’abord, mais il reviendra à SSTP si la connexion IKEv2 n’a pas abouti.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX se connecte uniquement via le protocole IKEv2.MacOSX will only connect via IKEv2.

À part Windows et Mac, quelles autres plateformes sont prises en charge par Azure pour le réseau VPN P2S ?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Azure prend en charge Windows, Mac et Linux pour les VPN de point à site (P2S).Azure supports Windows, Mac and Linux for P2S VPN.

J’ai déjà une passerelle VPN Azure déployée.I already have an Azure VPN Gateway deployed. Puis-je activer RADIUS et/ou le réseau VPN IKEv2 sur celle-ci ?Can I enable RADIUS and/or IKEv2 VPN on it?

Oui, vous pouvez activer ces nouvelles fonctionnalités sur les passerelles déjà déployées à l’aide de Powershell ou du portail Azure, pourvu que la référence SKU de passerelle utilisée prenne en charge RADIUS et/ou IKEv2.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Par exemple, la référence SKU de base de passerelle VPN ne prend pas en charge RADIUS ou IKEv2.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

Comment supprimer la configuration d’une connexion P2S ?How do I remove the configuration of a P2S connection?

Vous pouvez supprimer une configuration P2S avec Azure CLI et PowerShell en utilisant les commandes suivantes :A P2S configuration can be removed using Azure CLI and PowerShell using the following commands:

Azure PowerShellAzure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLIAzure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Que dois-je faire si j’obtiens une incompatibilité de certificat lors de la connexion à l’aide de l’authentification par certificat ?What should I do if I'm getting a certificate mismatch when connecting using certificate authentication?

Décochez « Vérifier l’identité du serveur en validant le certificat » ou ajouter le nom de domaine complet du serveur avec le certificat lors de la création manuelle d’un profil.Uncheck "Verify the server's identity by validating the certificate" or add the server FQDN along with the certificate when creating a profile manually. Pour ce faire, exécutez rasphone à partir d’une invite de commandes et choisissez le profil dans la liste déroulante.You can do this by running rasphone from a command prompt and picking the profile from the drop-down list.

Ignorer la validation de l’identité du serveur n’est pas recommandé en général, mais avec l’authentification par certificat Azure, le même certificat est utilisé pour la validation du serveur dans le protocole de tunneling VPN (IKEv2/SSTP) et le protocole EAP.Bypassing server identity validation is not recommended in general, but with Azure certificate authentication, the same certificate is being used for server validation in the VPN tunneling protocol (IKEv2/SSTP) and the EAP protocol. Étant donné que le certificat de serveur et le nom de domaine complet sont déjà validés par le protocole de tunneling VPN, il est redondant de les valider de nouveau dans EAP.Since the server certificate and FQDN is already validated by the VPN tunneling protocol, it is redundant to validate the same again in EAP.

point à sitepoint-to-site

Puis-je utiliser ma propre AC racine PKI interne pour générer des certificats pour une connectivité point à site ?Can I use my own internal PKI root CA to generate certificates for Point-to-Site connectivity?

Oui.Yes. Auparavant, seuls les certificats racines auto-signés pouvaient être utilisés.Previously, only self-signed root certificates could be used. Vous pouvez toujours charger 20 certificats racine.You can still upload 20 root certificates.

Puis-je utiliser des certificats Azure Key Vault ?Can I use certificates from Azure Key Vault?

Non.No.

Quels outils puis-je utiliser pour créer des certificats ?What tools can I use to create certificates?

Vous pouvez utiliser votre solution de PKI d’entreprise (votre PKI interne), Azure PowerShell, MakeCert et OpenSSL.You can use your Enterprise PKI solution (your internal PKI), Azure PowerShell, MakeCert, and OpenSSL.

Y a-t-il des instructions pour les paramètres de certificat ?Are there instructions for certificate settings and parameters?

  • PKI interne/Solution PKI d’entreprise : reportez-vous aux étapes de génération des certificats.Internal PKI/Enterprise PKI solution: See the steps to Generate certificates.

  • Azure PowerShell : consultez l’article Azure PowerShell pour connaître la procédure.Azure PowerShell: See the Azure PowerShell article for steps.

  • MakeCert : consultez l’article MakeCert pour connaître la procédure.MakeCert: See the MakeCert article for steps.

  • OpenSSL :OpenSSL:

    • Lors de l’exportation de certificats, veillez à convertir le certificat racine en Base64.When exporting certificates, be sure to convert the root certificate to Base64.

    • Pour le certificat client :For the client certificate:

      • Lorsque vous créez la clé privée, spécifiez la longueur 4096.When creating the private key, specify the length as 4096.
      • Lors de la création du certificat, pour le paramètre -extensions, spécifiez usr_cert.When creating the certificate, for the -extensions parameter, specify usr_cert.

Forum Aux Questions (FAQ) sur l’authentification RADIUSFAQ for RADIUS authentication

Combien de points de terminaison clients VPN puis-je avoir dans ma configuration point à site ?How many VPN client endpoints can I have in my Point-to-Site configuration?

Cela dépend de la référence SKU de passerelle.It depends on the gateway SKU. Pour plus d’informations sur le nombre de connexions prises en charge, consultez Références SKU de passerelle.For more information on the number of connections supported, see Gateway SKUs.

Quels systèmes d’exploitation client puis-je utiliser avec une connexion point à site ?What client operating systems can I use with Point-to-Site?

Les systèmes d’exploitation clients pris en charge sont les suivants :The following client operating systems are supported:

  • Windows 7 (32 bits et 64 bits)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (64 bits uniquement)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32 bits et 64 bits)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (64 bits uniquement)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (64 bits uniquement)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (64 bits uniquement)Windows Server 2016 (64-bit only)
  • Windows Server 2019 (64 bits uniquement)Windows Server 2019 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X version 10.11 ou ultérieureMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Notes

À compter du 1er juillet 2018, la passerelle VPN Azure ne prendra plus en charge TLS 1.0 et 1.1.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. Elle prendra uniquement en charge TLS 1.2.VPN Gateway will support only TLS 1.2. Pour maintenir la prise en charge, consultez les mises à jour permettant la prise en charge de TLS 1.2.To maintain support, see the updates to enable support for TLS1.2.

Par ailleurs, les algorithmes hérités suivants sont également dépréciés pour TLS depuis le 1er juillet 2018 :Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm)DES (Data Encryption Algorithm)
  • 3DES (Triple Data Encryption Algorithm)3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)MD5 (Message Digest 5)

Comment activer la prise en charge de TLS 1.2 dans Windows 7 et Windows 8.1 ?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Ouvrez une invite de commandes avec des privilèges élevés en cliquant avec le bouton droit sur Invite de commandes et en sélectionnant Exécuter en tant qu’administrateur.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. Exécutez les commandes suivantes à partir de l’invite de commandes :Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Installez les mises à jour suivantes :Install the following updates:

  4. Redémarrez l'ordinateur.Reboot the computer.

  5. Connectez-vous au VPN.Connect to the VPN.

Notes

Vous devrez définir la clé de registre ci-dessus si vous utilisez une ancienne version de Windows 10 (10240).You will have to set the above registry key if you are running an older version of Windows 10 (10240).

Puis-je parcourir les serveurs proxy et les pare-feu à l’aide de la fonctionnalité point à site ?Can I traverse proxies and firewalls using Point-to-Site capability?

Azure prend en charge trois types d’options de VPN point à site :Azure supports three types of Point-to-site VPN options:

  • Protocole SSTP (Secure Socket Tunneling Protocol).Secure Socket Tunneling Protocol (SSTP). SSTP est une solution SSL propriétaire de Microsoft qui peut pénétrer les pare-feu, car la plupart des pare-feu ouvrent le port TCP 443 sortant utilisé par SSL.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN.OpenVPN. OpenVPN est une solution SSL qui peut pénétrer les pare-feu, car la plupart des pare-feu ouvrent le port TCP 443 sortant utilisé par SSL.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • VPN IKEv2.IKEv2 VPN. Le VPN IKEv2 est une solution VPN IPsec basée sur des normes qui utilise les ports UDP 500 et 4500 sortants ainsi que le protocole IP no.IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50.50. Les pare-feux n’ouvrent pas toujours ces ports. Il est donc possible que le VPN IKEv2 ne soit pas en mesure de parcourir les proxies et pare-feux.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Si je redémarre un ordinateur client avec une configuration point à site, le réseau VPN va-t-il se reconnecter automatiquement ?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Par défaut, l'ordinateur client ne rétablit pas automatiquement la connexion VPN.By default, the client computer will not reestablish the VPN connection automatically.

La configuration point à site prend-elle en charge la reconnexion automatique et DDNS sur les clients VPN ?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

La reconnexion automatique et DDNS ne sont actuellement pas pris en charge dans les configurations VPN point à site.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

Puis-je avoir des configurations coexistantes site à site et point à site pour un même réseau virtuel ?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Oui.Yes. Pour le modèle de déploiement Resource Manager, vous devez disposer d’un type de VPN basé sur le routage pour votre passerelle.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Pour le modèle de déploiement Classic, vous avez besoin d’une passerelle dynamique.For the classic deployment model, you need a dynamic gateway. Nous ne prenons pas en charge la configuration point à site pour les passerelles VPN à routage statique ou les passerelles VPN basée sur une stratégie.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

Puis-je configurer un client point à site pour me connecter à plusieurs passerelles de réseaux virtuels en même temps ?Can I configure a Point-to-Site client to connect to multiple virtual network gateways at the same time?

En fonction du logiciel VPN Client utilisé, vous pouvez vous connecter à plusieurs passerelles de réseaux virtuels, à condition que les réseaux virtuels qui y sont connectés n’aient pas d’espaces d’adressage en conflit entre eux ou avec le réseau à partir duquel le client se connecte.Depending on the VPN Client software used, you may be able to connect to multiple Virtual Network Gateways provided the virtual networks being connected to do not have conflicting address spaces between them or the network from with the client is connecting from. Azure VPN Client prend en charge de nombreuses connexions VPN, mais une seule connexion peut être connectée à un moment M.While the Azure VPN Client supports many VPN connections, only one connection can be Connected at any given time.

Puis-je configurer un client point à site pour me connecter à plusieurs réseaux virtuels en même temps ?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Oui, les connexions de point à site à une passerelle de réseau virtuel déployée dans un réseau virtuel qui est appairé à d’autres réseaux virtuels peuvent avoir accès à d’autres réseaux virtuels appairés.Yes, Point-to-Site connections to a Virtual Network Gateway deployed in a VNet that is peered with other VNets may have access to other peered VNets. À condition que les réseaux virtuels appairés utilisent les fonctionnalités UseRemoteGateway / AllowGatewayTransit, le client point à site peut se connecter à ces réseaux virtuels appairés.Provided the peered VNets are using the UseRemoteGateway / AllowGatewayTransit features, the Point-to-Site client will be able to connect to those peered VNets. Pour plus d’informations, reportez-vous à cet article.For more information please reference this article.

Quel débit puis-je attendre des connexions site à site ou point à site ?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

Il est difficile de maintenir le débit exact des tunnels VPN.It's difficult to maintain the exact throughput of the VPN tunnels. IPsec et SSTP sont des protocoles VPN de chiffrement lourd.IPsec and SSTP are crypto-heavy VPN protocols. Le débit est également limité par la latence et la bande passante entre vos locaux et Internet.Throughput is also limited by the latency and bandwidth between your premises and the Internet. Pour une passerelle VPN ne disposant que des connexions VPN point à site IKEv2, le débit total que vous obtiendrez dépend de la référence SKU de passerelle.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Pour plus d’informations sur le débit, consultez Références SKU de passerelle.For more information on throughput, see Gateway SKUs.

Puis-je utiliser un client VPN logiciel pour une connexion point à site prenant en charge SSTP et/ou IKEv2 ?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

Non.No. Vous ne pouvez utiliser le client VPN natif sur Windows que pour SSTP et pour le client VPN natif sur Mac pour IKEv2.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. Toutefois, vous pouvez utiliser le client OpenVPN sur toutes les plateformes pour vous connecter via le protocole OpenVPN.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Reportez-vous à la liste des systèmes d’exploitation client pris en charge.Refer to the list of supported client operating systems.

Azure prend-elle en charge le VPN IKEv2 avec Windows ?Does Azure support IKEv2 VPN with Windows?

Le protocole IKEv2 est pris en charge sur Windows 10 et Server 2016.IKEv2 is supported on Windows 10 and Server 2016. Toutefois, pour pouvoir utiliser le protocole IKEv2, vous devez installer les mises à jour et définir une valeur de clé de Registre localement.However, in order to use IKEv2, you must install updates and set a registry key value locally. Les versions de système d’exploitation antérieures à Windows 10 ne sont pas prises en charge. Elles peuvent uniquement utiliser le protocole SSTP ou OpenVPN®.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Pour préparer Windows 10 ou Server 2016 pour IKEv2 :To prepare Windows 10 or Server 2016 for IKEv2:

  1. Installez la mise à jour.Install the update.

    Version du SEOS version DateDate Nombre/lienNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 version 1607Windows 10 Version 1607
    17 janvier 2018January 17, 2018 KB4057142KB4057142
    Windows 10 version 1703Windows 10 Version 1703 17 janvier 2018January 17, 2018 KB4057144KB4057144
    Windows 10 version 1709Windows 10 Version 1709 22 mars 2018March 22, 2018 KB4089848KB4089848
  2. Définissez la valeur de clé de Registre.Set the registry key value. Créer ou de définir la clé REG_DWORD « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload » sur 1 dans le Registre.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

Que se passe-t-il lorsque je configure SSTP et IKEv2 pour les connexions VPN P2S ?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Lorsque vous configurez SSTP et IKEv2 dans un environnement mixte (composé d’appareils Windows et Mac), le client VPN Windows essaiera toujours le tunnel IKEv2 d’abord, mais il reviendra à SSTP si la connexion IKEv2 n’a pas abouti.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX se connecte uniquement via le protocole IKEv2.MacOSX will only connect via IKEv2.

À part Windows et Mac, quelles autres plateformes sont prises en charge par Azure pour le réseau VPN P2S ?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Azure prend en charge Windows, Mac et Linux pour les VPN de point à site (P2S).Azure supports Windows, Mac and Linux for P2S VPN.

J’ai déjà une passerelle VPN Azure déployée.I already have an Azure VPN Gateway deployed. Puis-je activer RADIUS et/ou le réseau VPN IKEv2 sur celle-ci ?Can I enable RADIUS and/or IKEv2 VPN on it?

Oui, vous pouvez activer ces nouvelles fonctionnalités sur les passerelles déjà déployées à l’aide de Powershell ou du portail Azure, pourvu que la référence SKU de passerelle utilisée prenne en charge RADIUS et/ou IKEv2.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Par exemple, la référence SKU de base de passerelle VPN ne prend pas en charge RADIUS ou IKEv2.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

Comment supprimer la configuration d’une connexion P2S ?How do I remove the configuration of a P2S connection?

Vous pouvez supprimer une configuration P2S avec Azure CLI et PowerShell en utilisant les commandes suivantes :A P2S configuration can be removed using Azure CLI and PowerShell using the following commands:

Azure PowerShellAzure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLIAzure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

L’authentification RADIUS est-elle prise en charge sur toutes les références SKU de passerelle VPN Azure ?Is RADIUS authentication supported on all Azure VPN Gateway SKUs?

L’authentification RADIUS est prise en charge pour les références SKU VpnGw1, VpnGw2 et VpnGw3.RADIUS authentication is supported for VpnGw1, VpnGw2, and VpnGw3 SKUs. Si vous utilisez des références SKU héritées, l’authentification RADIUS est prise en charge sur les références SKU standard et de hautes performances.If you are using legacy SKUs, RADIUS authentication is supported on Standard and High Performance SKUs. Elle n’est pas prise en charge sur la référence SKU de passerelle de base.It is not supported on the Basic Gateway SKU. 

L’authentification RADIUS est-elle prise en charge pour le modèle de déploiement classique ?Is RADIUS authentication supported for the classic deployment model?

Non.No. L’authentification RADIUS n’est pas prise en charge pour le modèle de déploiement classique.RADIUS authentication is not supported for the classic deployment model.

Les serveurs RADIUS tiers sont-ils pris en charge ?Are 3rd-party RADIUS servers supported?

Oui, les serveurs RADIUS tiers sont pris en charge.Yes, 3rd-party RADIUS servers are supported.

Quels sont les besoins en connectivité pour s’assurer que la passerelle Azure est en mesure d’atteindre un serveur RADIUS local ?What are the connectivity requirements to ensure that the Azure gateway is able to reach an on-premises RADIUS server?

Une connexion site à site au site local est nécessaire, avec les itinéraires appropriés configurés.A VPN Site-to-Site connection to the on-premises site, with the proper routes configured, is required.  

Le trafic vers un serveur RADIUS local (à partir de la passerelle VPN Azure) peut-il être routé via une connexion ExpressRoute ?Can traffic to an on-premises RADIUS server (from the Azure VPN gateway) be routed over an ExpressRoute connection?

Non.No. Il ne peut être routé que via une connexion site à site.It can only be routed over a Site-to-Site connection.

Y a-t-il une modification du nombre de connexions SSTP prises en charge avec l’authentification RADIUS ?Is there a change in the number of SSTP connections supported with RADIUS authentication? Quel est le nombre maximal de connexions SSTP et IKEv2 prises en charge ?What is the maximum number of SSTP and IKEv2 connections supported?

Il n’y a pas de modification quant au nombre maximal de connexions SSTP prises en charge sur une passerelle avec l’authentification RADIUS.There is no change in the maximum number of SSTP connections supported on a gateway with RADIUS authentication. Il reste à 128 pour SSTP, mais dépend de la référence SKU de passerelle pour IKEv2.It remains 128 for SSTP, but depends on the gateway SKU for IKEv2. Pour plus d’informations sur le nombre de connexions prises en charge, consultez Références SKU de passerelle. For more information on the number of connections supported, see Gateway SKUs.

Quelle est la différence entre l’authentification par certificat à l’aide d’un serveur RADIUS et à l’aide de l’authentification par certificat Azure native (en chargeant un certificat approuvé dans Azure).What is the difference between doing certificate authentication using a RADIUS server vs. using Azure native certificate authentication (by uploading a trusted certificate to Azure).

Dans l’authentification par certificat RADIUS, la demande d’authentification est transférée à un serveur RADIUS qui gère la validation du certificat réel.In RADIUS certificate authentication, the authentication request is forwarded to a RADIUS server that handles the actual certificate validation. Cette option est utile si vous souhaitez intégrer une infrastructure d’authentification par certificat que vous possédez déjà via RADIUS.This option is useful if you want to integrate with a certificate authentication infrastructure that you already have through RADIUS.

Lorsque vous utilisez Azure pour l’authentification par certificat, la passerelle VPN Azure effectue la validation du certificat.When using Azure for certificate authentication, the Azure VPN gateway performs the validation of the certificate. Vous devez charger la clé publique de votre certificat sur la passerelle.You need to upload your certificate public key to the gateway. Vous pouvez également spécifier la liste des certificats révoqués qui ne doivent pas être autorisés à se connecter.You can also specify list of revoked certificates that shouldn’t be allowed to connect.

L’authentification RADIUS fonctionne-t-elle avec les réseaux VPN IKEv2 et SSTP ?Does RADIUS authentication work with both IKEv2, and SSTP VPN?

Oui, l’authentification RADIUS est prise en charge pour les réseaux VPN IKEv2 et SSTP.Yes, RADIUS authentication is supported for both IKEv2, and SSTP VPN. 

L’authentification RADIUS fonctionne-t-elle avec le client OpenVPN ?Does RADIUS authentication work with the OpenVPN client?

L’authentification RADIUS est prise en charge pour le protocole OpenVPN uniquement par le biais de PowerShell.RADIUS authentication is supported for the OpenVPN protocol only through PowerShell.

Étapes suivantesNext Steps

« OpenVPN » est une marque d’OpenVPN Inc."OpenVPN" is a trademark of OpenVPN Inc.