Configurer une connexion point à site à l'aide d'une authentification par certificat (classique)Configure a Point-to-Site connection by using certificate authentication (classic)

Notes

Cet article traite du modèle de déploiement classique.This article is written for the classic deployment model. Si vous êtes un nouvel utilisateur d’Azure, nous vous recommandons plutôt d’utiliser le modèle de déploiement Resource Manager.If you're new to Azure, we recommend that you use the Resource Manager deployment model instead. Le modèle de déploiement Resource Manager est le modèle de déploiement le plus récent, qui propose davantage d’options et de fonctions compatibles que le modèle de déploiement classique.The Resource Manager deployment model is the most current deployment model and offers more options and feature compatibility than the classic deployment model. Pour plus d’informations sur les modèles de déploiement, consultez Comprendre les modèles de déploiement Azure.For more information about the deployment models, see Understanding deployment models.

Pour consulter la version de cet article dédiée à Resource Manager, sélectionnez-la dans la liste déroulante ci-dessous ou dans la table des matières à gauche.For the Resource Manager version of this article, select it from the drop-down list below, or from the table of contents on the left.

Cet article explique comment créer un réseau virtuel avec une connexion point à site.This article shows you how to create a VNet with a Point-to-Site connection. Pour créer ce réseau virtuel, vous devez utiliser le modèle de déploiement classique et le portail Azure.You create this Vnet with the classic deployment model by using the Azure portal. Cette configuration utilise des certificats pour authentifier le client qui se connecte, qu’ils soient auto-signés ou délivrés par une autorité de certification.This configuration uses certificates to authenticate the connecting client, either self-signed or CA issued. Vous pouvez également créer cette configuration avec un outil ou un modèle de déploiement différent en utilisant les options décrites dans les articles suivants :You can also create this configuration with a different deployment tool or model by using options that are described in the following articles:

Vous utilisez une passerelle VPN point à site (P2S) pour créer une connexion sécurisée à votre réseau virtuel à partir d'un ordinateur client individuel.You use a Point-to-Site (P2S) VPN gateway to create a secure connection to your virtual network from an individual client computer. Les connexions VPN point à site vous permettent de vous connecter à votre réseau virtuel à partir d'un emplacement distant.Point-to-Site VPN connections are useful when you want to connect to your VNet from a remote location. Lorsqu'un nombre restreint de clients doit se connecter à un réseau virtuel, l'utilisation d'un VPN P2S est une solution utile qui constitue une alternative au VPN site à site.When you have only a few clients that need to connect to a VNet, a P2S VPN is a useful solution to use instead of a Site-to-Site VPN. Une connexion VPN P2S est établie en étant démarrée à partir de l’ordinateur du client.A P2S VPN connection is established by starting it from the client computer.

Important

Le modèle de déploiement classique prend en charge les clients VPN Windows uniquement et utilise le protocole de tunneling Secure Socket (SSTP), un protocole VPN basé sur SSL.The classic deployment model supports Windows VPN clients only and uses the Secure Socket Tunneling Protocol (SSTP), an SSL-based VPN protocol. Pour prendre en charge des clients VPN non Windows, vous devez créer votre réseau virtuel à l'aide du modèle de déploiement Resource Manager.To support non-Windows VPN clients, you must create your VNet with the Resource Manager deployment model. Le modèle de déploiement Azure Resource Manager prend en charge les VPN IKEv2, en plus de SSTP.The Resource Manager deployment model supports IKEv2 VPN in addition to SSTP. Pour plus d'informations, consultez À propos des connexions P2S.For more information, see About P2S connections.

Diagramme point à site

PrérequisPrerequisites

Les connexions d'authentification par certificat point à site requièrent les éléments suivants :Point-to-Site certificate authentication connections require the following prerequisites:

  • Une passerelle VPN dynamique.A Dynamic VPN gateway.
  • La clé publique (fichier .cer) d’un certificat racine, chargée sur Azure.The public key (.cer file) for a root certificate, which is uploaded to Azure. Cette clé est considérée comme un certificat approuvé et est utilisée pour l'authentification.This key is considered a trusted certificate and is used for authentication.
  • Un certificat client généré à partir du certificat racine et installé sur chaque ordinateur client qui se connecte.A client certificate generated from the root certificate, and installed on each client computer that will connect. Ce certificat est utilisé pour l’authentification du client.This certificate is used for client authentication.
  • Un package de configuration du client VPN doit être généré et installé sur chaque ordinateur client qui se connecte.A VPN client configuration package must be generated and installed on every client computer that connects. Le package de configuration du client configure le client VPN natif qui se trouve déjà sur le système d'exploitation en lui fournissant les informations nécessaires à la connexion au réseau virtuel.The client configuration package configures the native VPN client that's already on the operating system with the necessary information to connect to the VNet.

Les connexions point à site ne nécessitent pas de périphérique VPN ou d'adresse IP publique locale.Point-to-Site connections don't require a VPN device or an on-premises public-facing IP address. La connexion VPN est créée sur le protocole SSTP (Secure Socket Tunneling Protocol).The VPN connection is created over SSTP (Secure Socket Tunneling Protocol). Côté serveur, nous prenons en charge SSTP, versions 1.0, 1.1 et 1.2.On the server side, we support SSTP versions 1.0, 1.1, and 1.2. Le client détermine la version à utiliser.The client decides which version to use. Pour Windows 8.1 et supérieur, SSTP utilise la version 1.2 par défaut.For Windows 8.1 and above, SSTP uses 1.2 by default.

Pour plus d'informations sur les connexions point à site, consultez le Forum Aux Questions sur les connexions point à site.For more information about Point-to-Site connections, see Point-to-Site FAQ.

Exemples de paramètresExample settings

Utilisez les valeurs suivantes pour créer un environnement de test, ou reportez-vous à celles-ci pour mieux comprendre les exemples fournis dans cet article :Use the following values to create a test environment, or refer to these values to better understand the examples in this article:

  • Créer des paramètres de réseau virtuel (classique)Create virtual network (classic) settings

    • Name : entrez VNet1.Name: Enter VNet1.

    • Espace d’adressage : entrez 192.168.0.0/16.Address space: Enter 192.168.0.0/16. Pour cet exemple, nous n’utilisons qu’un seul espace d’adressage.For this example, we use only one address space. Vous pouvez avoir plusieurs espaces d’adressage pour votre réseau virtuel, comme indiqué sur le diagramme.You can have more than one address space for your VNet, as shown in the diagram.

    • Nom du sous-réseau : Entrez FrontEnd.Subnet name: Enter FrontEnd.

    • Plage d’adresses de sous-réseau : entrez 192.168.1.0/24.Subnet address range: Enter 192.168.1.0/24.

    • Abonnement: Sélectionnez un abonnement dans la liste des abonnements disponibles.Subscription: Select a subscription from the list of available subscriptions.

    • Groupe de ressources : entrez TestRG.Resource group: Enter TestRG. Sélectionnez Créer si le groupe de ressources n'existe pas.Select Create new, if the resource group doesn't exist.

    • Emplacement : sélectionnez USA Est dans la liste.Location: Select East US from the list.

    • Paramètres de connexion VPNVPN connection settings

      • Type de connexion : sélectionnez Point à site.Connection type: Select Point-to-site.
      • Espace d'adressage du client : entrez 172.16.201.0/24.Client Address Space: Enter 172.16.201.0/24. Les clients VPN qui se connectent au réseau virtuel à l'aide de cette connexion point à site reçoivent une adresse IP de ce pool.VPN clients that connect to the VNet by using this Point-to-Site connection receive an IP address from the specified pool.
  • Paramètres de sous-réseau de configuration de passerelleGateway configuration subnet settings

    • Name : automatiquement renseigné avec le nom GatewaySubnet.Name: Autofilled with GatewaySubnet.
    • Plage d’adresses : entrez 192.168.200.0/24.Address range: Enter 192.168.200.0/24.
  • Paramètres de configuration de la passerelle :Gateway configuration settings:

    • Size : sélectionnez la référence SKU de la passerelle que vous souhaitez utiliser.Size: Select the gateway SKU that you want to use.
    • Type de routage : sélectionnez Dynamique.Routing Type: Select Dynamic.

créer un réseau virtuel et une passerelle VPN ;Create a virtual network and a VPN gateway

Avant de commencer, vérifiez que vous disposez d'un abonnement Azure.Before you begin, verify that you have an Azure subscription. Si vous ne disposez pas déjà d’un abonnement Azure, vous pouvez activer vos avantages abonnés MSDN ou créer un compte gratuit.If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.

Première partie : Créez un réseau virtuelPart 1: Create a virtual network

Si vous n'avez pas de réseau virtuel, créez-en un.If you don't already have a virtual network (VNet), create one. Les captures d’écran sont fournies à titre d’exemple.Screenshots are provided as examples. Assurez-vous de remplacer ces valeurs par les vôtres.Be sure to replace the values with your own. Pour créer un réseau virtuel à l’aide du portail Azure, procédez comme suit :To create a VNet by using the Azure portal, use the following steps:

  1. Dans le menu du Portail Azure ou dans la page Accueil, sélectionnez Créer une ressource.On the Azure portal menu or from the Home page, select Create a resource. La page Nouveau s’ouvre.The New page opens.

  2. Dans le champ Rechercher dans la Place de marché, entrez réseau virtuel et sélectionnez Réseau virtuel dans la liste retournée.In the Search the marketplace field, enter virtual network and select Virtual network from the returned list. La page Réseau virtuel s’ouvre.The Virtual network page opens.

  3. Dans la liste Sélectionner un modèle de déploiement, sélectionnez Classique, puis Créer.From the Select a deployment model list, select Classic, and then select Create. La page Créer un réseau virtuel s’ouvre.The Create virtual network page opens.

  4. Sur la page Créer un réseau virtuel, configurez les paramètres du réseau virtuel.On the Create virtual network page, configure the VNet settings. Sur cette page, vous ajoutez votre premier espace d’adressage et une plage d’adresses de sous-réseau unique.On this page, you add your first address space and a single subnet address range. Après avoir créé le réseau virtuel, vous pouvez revenir en arrière et ajouter des espaces d’adressage et des sous-réseaux supplémentaires.After you finish creating the VNet, you can go back and add additional subnets and address spaces.

    Créer une page Réseau virtuel

  5. Sélectionnez l'abonnement que vous souhaitez utiliser dans la liste déroulante.Select the Subscription you want to use from the drop-down list.

  6. Sélectionnez un groupe de ressources existant.Select an existing Resource Group. Ou créez un groupe de ressources en sélectionnant Créer et en entrant un nom.Or, create a new resource group by selecting Create new and entering a name. Si vous créez un groupe de ressources, nommez-le en fonction de vos valeurs de configuration planifiées.If you're creating a new resource group, name the resource group according to your planned configuration values. Pour plus d’informations sur les groupes de ressources, consultez Vue d’ensemble d’Azure Resource Manager.For more information about resource groups, see Azure Resource Manager overview.

  7. Sélectionnez l'emplacement de votre réseau virtuel.Select a Location for your VNet. Ce paramètre détermine l'emplacement géographique des ressources que vous déployez sur ce réseau virtuel.This setting determines the geographical location of the resources that you deploy to this VNet.

  8. Sélectionnez Créer pour créer le réseau virtuel.Select Create to create the VNet. Le message Déploiement en cours s'affiche sur la page Notifications.From the Notifications page, you'll see a Deployment in progress message.

  9. Une fois votre réseau virtuel créé, le message Déploiement réussi s'affiche sur la page Notifications.After your virtual network has been created, the message on the Notifications page changes to Deployment succeeded. Sélectionnez Épingler au tableau de bord pour avoir facilement accès à votre réseau virtuel sur le tableau de bord.Select Pin to dashboard if you want to easily find your VNet on the dashboard.

  10. Ajoutez un serveur DNS (facultatif).Add a DNS server (optional). Après avoir créé votre réseau virtuel, vous pouvez ajouter l’adresse IP d’un serveur DNS pour la résolution de noms.After you create your virtual network, you can add the IP address of a DNS server for name resolution. L’adresse IP du serveur DNS que vous spécifiez doit être celle d’un serveur DNS capable de résoudre les noms des ressources de votre réseau virtuel.The DNS server IP address that you specify should be the address of a DNS server that can resolve the names for the resources in your VNet.

    Pour ajouter un serveur DNS, sélectionnez Serveurs DNS sur la page de votre réseau virtuel.To add a DNS server, select DNS servers from your VNet page. Puis entrez l'adresse IP du serveur DNS que vous souhaitez utiliser et sélectionnez Enregistrer.Then, enter the IP address of the DNS server that you want to use and select Save.

Deuxième partie : création d'un sous-réseau de passerelle et d'une passerelle de routage dynamiquePart 2: Create a gateway subnet and a dynamic routing gateway

Vous allez maintenant créer un sous-réseau de passerelle et une passerelle de routage dynamique.In this step, you create a gateway subnet and a dynamic routing gateway. Sur le portail Azure, pour le modèle de déploiement classique, la création du sous-réseau de passerelle et de la passerelle s'effectue sur les mêmes pages de configuration.In the Azure portal for the classic deployment model, you create the gateway subnet and the gateway through the same configuration pages. Utilisez le sous-réseau de passerelle pour les services de passerelle uniquement.Use the gateway subnet for the gateway services only. Ne déployez jamais rien directement sur le sous-réseau de passerelle (comme des machines virtuelles ou d’autres services).Never deploy anything directly to the gateway subnet (such as VMs or other services).

  1. Sur le portail Azure, accédez au réseau virtuel pour lequel vous souhaitez créer une passerelle.In the Azure portal, go to the virtual network for which you want to create a gateway.

  2. Sur la page de votre réseau virtuel, sélectionnez Vue d'ensemble, puis dans la section Connexions VPN, sélectionnez Passerelle.On the page for your virtual network, select Overview, and in the VPN connections section, select Gateway.

    Sélectionner pour créer une passerelle

  3. Sur la page Nouvelle connexion VPN, sélectionnez Point à site.On the New VPN Connection page, select Point-to-site.

    Type de connexion de point à site

  4. Sous Espace d'adressage client, ajoutez la plage d'adresses IP à partir de laquelle les clients VPN reçoivent une adresse IP lorsqu'ils se connectent.For Client Address Space, add the IP address range from which the VPN clients receive an IP address when connecting. Utilisez une plage d'adresses IP privées qui ne chevauche ni l'emplacement local à partir duquel vous vous connectez ni le réseau virtuel auquel vous vous connectez.Use a private IP address range that doesn't overlap with the on-premises location that you connect from, or with the VNet that you connect to. Vous pouvez remplacer la plage renseignée automatiquement avec la plage d'adresses IP privées que vous souhaitez utiliser.You can overwrite the autofilled range with the private IP address range that you want to use. Cet exemple illustre la plage renseignée automatiquement.This example shows the autofilled range.

    Espace d’adressage du client

  5. Sélectionnez Créer une passerelle immédiatement, puis Configuration de passerelle facultative pour ouvrir la page Configuration de la passerelle.Select Create gateway immediately, and then select Optional gateway configuration to open the Gateway configuration page.

    Sélectionnez Configuration de passerelle facultative

  6. Sur la page Configuration de la passerelle, sélectionnez Sous-réseau pour ajouter le sous-réseau de passerelle.From the Gateway configuration page, select Subnet to add the gateway subnet. Il est possible de créer un sous-réseau de passerelle aussi petit que/29.It's possible to create a gateway subnet as small as /29. Néanmoins, nous vous recommandons de créer un sous-réseau plus vaste qui inclut un plus grand nombre d'adresses en sélectionnant au moins /28 ou /27.However, we recommend that you create a larger subnet that includes more addresses by selecting at least /28 or /27. Cela permettra à un nombre suffisant d'adresses de s'adapter aux éventuelles configurations supplémentaires que vous pourriez souhaiter ajouter par la suite.Doing so will allow for enough addresses to accommodate possible additional configurations that you may want in the future. Lorsque vous travaillez avec des sous-réseaux de passerelle, évitez d’associer un groupe de sécurité réseau (NSG) au sous-réseau de passerelle.When working with gateway subnets, avoid associating a network security group (NSG) to the gateway subnet. Si vous associez un groupe de sécurité réseau à ce sous-réseau, votre passerelle VPN cessera peut-être de fonctionner normalement.Associating a network security group to this subnet may cause your VPN gateway to not function as expected. Sélectionnez OK pour enregistrer ce paramètre.Select OK to save this setting.

    Ajouter le sous-réseau de passerelle

  7. Sélectionnez la taille de la passerelle.Select the gateway Size. La taille correspond à la référence SKU de votre passerelle de réseau virtuel.The size is the gateway SKU for your virtual network gateway. Sur le portail Azure, la référence SKU par défaut est Par défaut.In the Azure portal, the default SKU is Default. Pour plus d'informations sur les références SKU de passerelle, consultez À propos des paramètres de la passerelle VPN.For more information about gateway SKUs, see About VPN gateway settings.

    Taille de la passerelle

  8. Sélectionnez le type de routage pour votre passerelle.Select the Routing Type for your gateway. Les configurations P2S nécessitent un type de routage dynamique.P2S configurations require a Dynamic routing type. Sélectionnez OK lorsque vous avez terminé la configuration de cette page.Select OK when you've finished configuring this page.

    Configurer le type de routage

  9. Sur la page Nouvelle connexion VPN, sélectionnez OK en bas de la page pour commencer à créer votre passerelle de réseau virtuel.On the New VPN Connection page, select OK at the bottom of the page to begin creating your virtual network gateway. L'achèvement d'une passerelle VPN peut prendre jusqu'à 45 minutes en fonction de la référence SKU de passerelle que vous sélectionnez.A VPN gateway can take up to 45 minutes to complete, depending on the gateway SKU that you select.

Créer des certificatsCreate certificates

Azure utilise des certificats afin d'authentifier les clients VPN pour les VPN point à site.Azure uses certificates to authenticate VPN clients for Point-to-Site VPNs. Vous chargez les informations de la clé publique du certificat racine vers Azure.You upload the public key information of the root certificate to Azure. La clé publique est alors considérée comme approuvée.The public key is then considered trusted. Les certificats clients doivent être générés à partir du certificat racine approuvé, puis installés sur chaque ordinateur client dans le magasin de certificats Certificates-Current User\Personal\Certificates.Client certificates must be generated from the trusted root certificate, and then installed on each client computer in the Certificates-Current User\Personal\Certificates certificate store. Le certificat permet d'authentifier le client lorsqu'il se connecte au réseau virtuel.The certificate is used to authenticate the client when it connects to the VNet.

Si vous utilisez des certificats auto-signés, ceux-ci doivent être créés à l'aide de paramètres spécifiques.If you use self-signed certificates, they must be created by using specific parameters. Vous pouvez créer un certificat auto-signé en suivant les instructions relatives à PowerShell et Windows 10 ou MakeCert.You can create a self-signed certificate by using the instructions for PowerShell and Windows 10, or MakeCert. Il est important de suivre les étapes décrites dans ces instructions lorsque vous utilisez des certificats racines auto-signés et que vous générez des certificats clients à partir du certificat racine auto-signé.It's important to follow the steps in these instructions when you use self-signed root certificates and generate client certificates from the self-signed root certificate. Dans le cas contraire, les certificats que vous créez ne seront pas compatibles avec les connexions P2S, ce qui entraînera une erreur de connexion.Otherwise, the certificates you create won't be compatible with P2S connections and you'll receive a connection error.

Acquérir la clé publique (.cer) pour le certificat racineAcquire the public key (.cer) for the root certificate

Utilisez un certificat racine qui a été généré à l’aide d’une solution d’entreprise (recommandé), ou générez un certificat auto-signé.Use either a root certificate that was generated with an enterprise solution (recommended), or generate a self-signed certificate. Après avoir créé le certificat racine, exportez les données de certificat public (et non la clé privée) en tant que fichier .cer X.509 encodé en Base64.After you create the root certificate, export the public certificate data (not the private key) as a Base64 encoded X.509 .cer file. Ensuite, chargez les données de certificat public sur le serveur Azure.Then, upload the public certificate data to the Azure server.

  • Certificat d’entreprise : Si vous utilisez une solution d’entreprise, vous pouvez utiliser votre chaîne d’approbation existante.Enterprise certificate: If you're using an enterprise solution, you can use your existing certificate chain. Obtenez le fichier .cer pour le certificat racine que vous souhaitez utiliser.Acquire the .cer file for the root certificate that you want to use.

  • Certificat racine auto-signé : Si vous n’utilisez pas de solution de certificat d’entreprise, créez un certificat racine auto-signé.Self-signed root certificate: If you aren't using an enterprise certificate solution, create a self-signed root certificate. Dans le cas contraire, les certificats que vous créez ne seront pas compatibles avec vos connexions P2S, et les clients recevront une erreur de connexion lorsqu’ils essaieront de se connecter.Otherwise, the certificates you create won't be compatible with your P2S connections and clients will receive a connection error when they try to connect. Vous pouvez utiliser Azure PowerShell, MakeCert ou OpenSSL.You can use Azure PowerShell, MakeCert, or OpenSSL. Les procédures décrites dans les articles suivants expliquent comment générer un certificat racine auto-signé compatible :The steps in the following articles describe how to generate a compatible self-signed root certificate:

    • Instructions pour PowerShell sous Windows 10 : Ces instructions requièrent Windows 10 et PowerShell pour générer des certificats.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. Les certificats clients qui sont générés à partir du certificat racine peuvent être installés sur n’importe quel client P2S pris en charge.Client certificates that are generated from the root certificate can be installed on any supported P2S client.
    • Instructions pour MakeCert : Si vous n’avez pas accès à un ordinateur Windows 10, utilisez MakeCert pour générer des certificats.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer to use to generate certificates. Même si MakeCert est déconseillé, vous pouvez toujours l’utiliser pour générer des certificats.Although MakeCert is deprecated, you can still use it to generate certificates. Les certificats clients que vous générez à partir du certificat racine peuvent être installés sur n’importe quel client P2S pris en charge.Client certificates that you generate from the root certificate can be installed on any supported P2S client.
    • Instructions LinuxLinux instructions

Générer un certificat clientGenerate a client certificate

Chaque ordinateur client que vous connectez à un réseau virtuel avec une connexion point à site doit avoir un certificat client installé.Each client computer that you connect to a VNet with a Point-to-Site connection must have a client certificate installed. Ce certificat doit être généré à partir du certificat racine, puis installé sur chaque ordinateur client.You generate it from the root certificate and install it on each client computer. Si vous n’installez pas de certificat client valide, l’authentification échoue lorsque le client essaie de se connecter au réseau virtuel.If you don't install a valid client certificate, authentication will fail when the client tries to connect to the VNet.

Vous pouvez soit générer un certificat unique pour chaque client, soir utiliser le même certificat pour plusieurs clients.You can either generate a unique certificate for each client, or you can use the same certificate for multiple clients. Le fait de générer des certificats clients uniques vous offre la possibilité de révoquer un seul certificat.The advantage to generating unique client certificates is the ability to revoke a single certificate. Dans le cas contraire, si plusieurs clients utilisent le même certificat client pour s’authentifier et que vous révoquez ce dernier, vous devrez générer et installer de nouveaux certificats pour chaque client qui utilise ce certificat.Otherwise, if multiple clients use the same client certificate to authenticate and you revoke it, you'll need to generate and install new certificates for every client that uses that certificate.

Vous pouvez générer des certificats clients à l’aide des méthodes suivantes :You can generate client certificates by using the following methods:

  • Certificat d’entreprise :Enterprise certificate:

    • Si vous utilisez une solution de certificat d’entreprise, générez un certificat client avec le format de valeur de nom commun name@yourdomain.com.If you're using an enterprise certificate solution, generate a client certificate with the common name value format name@yourdomain.com. Utilisez ce format au lieu du format domain name\username.Use this format instead of the domain name\username format.
    • Assurez-vous que le certificat client repose sur un modèle de certificat utilisateur qui indique Authentification client comme premier élément dans la liste d’utilisateurs.Make sure the client certificate is based on a user certificate template that has Client Authentication listed as the first item in the user list. Vérifiez le certificat en double-cliquant dessus et en affichant Utilisation avancée de la clé dans l’onglet Détails.Check the certificate by double-clicking it and viewing Enhanced Key Usage in the Details tab.
  • Certificat racine auto-signé : Suivez la procédure décrite dans l’un des articles concernant les certificats P2S ci-dessous pour créer des certificats clients compatibles avec vos connexions P2S.Self-signed root certificate: Follow the steps in one of the following P2S certificate articles so that the client certificates you create will be compatible with your P2S connections. Les procédures décrites dans les articles permettent de générer un certificat client compatible :The steps in these articles generate a compatible client certificate:

    • Instructions pour PowerShell sous Windows 10 : Ces instructions requièrent Windows 10 et PowerShell pour générer des certificats.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. Les certificats qui sont générés peuvent être installés sur n’importe quel client P2S pris en charge.The generated certificates can be installed on any supported P2S client.
    • Instructions pour MakeCert : Utilisez MakeCert si vous n’avez pas accès à un ordinateur Windows 10 pour générer des certificats.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer for generating certificates. Même si MakeCert est déconseillé, vous pouvez toujours l’utiliser pour générer des certificats.Although MakeCert is deprecated, you can still use it to generate certificates. Vous pouvez installer les certificats générés sur n’importe quel client P2S pris en charge.You can install the generated certificates on any supported P2S client.
    • Instructions LinuxLinux instructions

    Lorsque vous générez un certificat client à partir d’un certificat racine auto-signé, ce certificat est automatiquement installé sur l’ordinateur que vous avez utilisé pour le générer.When you generate a client certificate from a self-signed root certificate, it's automatically installed on the computer that you used to generate it. Si vous souhaitez installer un certificat client sur un autre ordinateur client, exportez-le en tant que fichier .pfx, avec l’intégralité de la chaîne du certificat.If you want to install a client certificate on another client computer, export it as a .pfx file, along with the entire certificate chain. Cette opération crée un fichier .pfx contenant les informations de certificat racine requises pour l’authentification du client.Doing so will create a .pfx file that contains the root certificate information required for the client to authenticate.

Pour exporter le certificatTo export the certificate

Pour savoir comment exporter un certificat, consultez l’article Générer et exporter des certificats pour les connexions de point à site à l’aide de PowerShell.For steps to export a certificate, see Generate and export certificates for Point-to-Site using PowerShell.

Charger le fichier .cer de certificat racineUpload the root certificate .cer file

Une fois la passerelle créée, chargez le fichier .cer (qui contient les informations de clé publique) d'un certificat racine approuvé sur le serveur Azure.After the gateway has been created, upload the .cer file (which contains the public key information) for a trusted root certificate to the Azure server. Ne chargez pas la clé privée du certificat racine.Don't upload the private key for the root certificate. Une fois le certificat chargé, Azure l'utilise pour authentifier les clients qui ont installé un certificat client généré à partir du certificat racine approuvé.After you upload the certificate, Azure uses it to authenticate clients that have installed a client certificate generated from the trusted root certificate. Si nécessaire, vous pourrez ultérieurement charger d'autres fichiers de certificat racine approuvé (20 maximum).You can later upload additional trusted root certificate files (up to 20), if needed.

  1. Dans la section Connexions VPN de la page de votre réseau virtuel, sélectionnez le graphique des clients pour ouvrir la page Connexion VPN point à site.On the VPN connections section of the page for your VNet, select the clients graphic to open the Point-to-site VPN connection page.

    Clients

  2. Sur la page Connexion VPN de point à site, sélectionnez Gérer le certificat pour ouvrir la page Certificats.On the Point-to-site VPN connection page, select Manage certificate to open the Certificates page.

    Page Certificats

  3. Sur la page Certificats, sélectionnez Charger pour ouvrir la page Charger un certificat.On the Certificates page, select Upload to open the Upload certificate page.

    Page Télécharger des certificats

  4. Sélectionnez le graphique du dossier pour rechercher le fichier .cer.Select the folder graphic to browse for the .cer file. Sélectionnez le fichier, puis OK.Select the file, then select OK. Le certificat chargé apparaît sur la page Certificats.The uploaded certificate appears on the Certificates page.

    Téléchargement d’un certificat

Configurer le clientConfigure the client

Pour se connecter à un réseau virtuel à l'aide d'un VPN point à site, chaque client doit installer un package afin de configurer le client VPN Windows natif.To connect to a VNet by using a Point-to-Site VPN, each client must install a package to configure the native Windows VPN client. Le package de configuration configure le client VPN Windows natif avec les paramètres nécessaires pour se connecter au réseau virtuel.The configuration package configures the native Windows VPN client with the settings necessary to connect to the virtual network.

Vous pouvez utiliser le même package de configuration du client VPN sur chaque ordinateur client, tant que la version correspond à l’architecture du client.You can use the same VPN client configuration package on each client computer, as long as the version matches the architecture for the client. Pour obtenir la liste des systèmes d'exploitation clients pris en charge, consultez la section Forum Aux Questions sur les connexions point à site.For the list of client operating systems that are supported, see the Point-to-Site connections FAQ.

Générer et installer le package de configuration du client VPNGenerate and install a VPN client configuration package

  1. Sur le portail Azure, accédez à la page Vue d'ensemble de votre réseau virtuel, puis dans Connexions VPN, sélectionnez le graphique de client pour ouvrir la page Connexion VPN point à site.In the Azure portal, in the Overview page for your VNet, in VPN connections, select the client graphic to open the Point-to-site VPN connection page.

  2. Sur la page Connexion VPN point à site, sélectionnez le package de téléchargement correspondant au système d'exploitation client sur lequel il sera installé :From the Point-to-site VPN connection page, select the download package that corresponds to the client operating system where it's installed:

    • Pour les clients 64 bits, sélectionnez Client VPN (64 bits) .For 64-bit clients, select VPN Client (64-bit).
    • Pour les clients 32 bits, sélectionnez Client VPN (32 bits) .For 32-bit clients, select VPN Client (32-bit).

    Charger le package de configuration du client VPN

  3. Une fois le package généré, téléchargez-le et installez-le sur votre ordinateur client.After the package generates, download it and then install it on your client computer. Si une fenêtre contextuelle SmartScreen s'affiche, sélectionnez Plus d'infos, puis Exécuter quand même.If you see a SmartScreen popup, select More info, then select Run anyway. Vous pouvez également enregistrer le package pour l’installer sur d’autres ordinateurs clients.You can also save the package to install on other client computers.

Installer un certificat clientInstall a client certificate

Pour créer une connexion P2S à partir d'un ordinateur client autre que celui utilisé pour générer les certificats clients, installez un certificat client.To create a P2S connection from a different client computer than the one used to generate the client certificates, install a client certificate. Pour installer un certificat client, vous devez disposer du mot de passe créé lors de l'exportation du certificat client.When you install a client certificate, you need the password that was created when the client certificate was exported. En règle générale, il vous suffit de double-cliquer sur le certificat pour l'installer.Typically, you can install the certificate by just double-clicking it. Pour plus d’informations, consultez la rubrique Installer un certificat client exporté.For more information, see Install an exported client certificate.

Se connecter à votre réseau virtuelConnect to your VNet

Notes

Vous devez disposer de droits d’administrateur sur l’ordinateur client à partir duquel vous vous connectez.You must have Administrator rights on the client computer from which you are connecting.

  1. Pour vous connecter à votre réseau virtuel, sur l'ordinateur client, accédez aux connexions VPN sur le Portail Azure et recherchez celle que vous avez créée.To connect to your VNet, on the client computer, go to VPN connections in the Azure portal and locate the VPN connection that you created. La connexion VPN porte le même nom que votre réseau virtuel.The VPN connection has the same name as your virtual network. Sélectionnez Connecter.Select Connect. Si un message contextuel relatif au certificat s'affiche, sélectionnez Continuer pour utiliser des privilèges élevés.If a pop-up message about the certificate appears, select Continue to use elevated privileges.

  2. Sur la page d'état Connexion, sélectionnez Connecter pour établir la connexion.On the Connection status page, select Connect to start the connection. Si l'écran Sélectionner un certificat apparaît, vérifiez que le certificat client affiché est le bon.If you see the Select Certificate screen, verify that the displayed client certificate is the correct one. Si ce n'est pas le cas, sélectionnez le bon certificat dans la liste déroulante, puis cliquez sur OK.If not, select the correct certificate from the drop-down list, and then select OK.

  3. Si votre connexion aboutit, la notification Connecté apparaît.If your connection succeeds, you'll see a Connected notification.

Résolution des problèmes liés aux connexions P2STroubleshooting P2S connections

Si vous rencontrez des problèmes pour vous connecter, effectuez les vérifications suivantes :If you have trouble connecting, check the following items:

  • Si vous avez exporté un certificat client avec l'Assistant Exportation de certificat, vérifiez que vous l’avez exporté au format .pfx et sélectionné Inclure tous les certificats dans le chemin d’accès de certification, si possible.If you exported a client certificate with Certificate Export Wizard, make sure that you exported it as a .pfx file and selected Include all certificates in the certification path if possible. Lorsque vous l'exportez avec cette valeur, les informations de certificat racine sont également exportées.When you export it with this value, the root certificate information is also exported. Après avoir installé le certificat sur l'ordinateur client, le certificat racine situé dans le fichier .pfx est également installé.After you install the certificate on the client computer, the root certificate in the .pfx file is also installed. Pour vérifier que le certificat racine est installé, ouvrez Gérer les certificats utilisateur et sélectionnez Autorités de certification racines de confiance\Certificats.To verify that the root certificate is installed, open Manage user certificates and select Trusted Root Certification Authorities\Certificates. Vérifiez que le certificat racine y est répertorié car il doit être présent pour permettre à l'authentification d'aboutir.Verify that the root certificate is listed, which must be present for authentication to work.

  • Si vous avez utilisé un certificat qui émis par une autorité de certification d’entreprise et rencontrez des problèmes d’authentification, examinez l’ordre de l’authentification sur le certificat client.If you used a certificate that was issued by an Enterprise CA solution and you can't authenticate, verify the authentication order on the client certificate. Vérifiez l’ordre de la liste d’authentification en double-cliquant sur le certificat client et en sélectionnant l'onglet Détail, puis Utilisation améliorée de la clé.Check the authentication list order by double-clicking the client certificate, selecting the Details tab, and then selecting Enhanced Key Usage. Assurez-vous que le premier élément de la liste correspond à Authentification client.Make sure Client Authentication is the first item in the list. Si ce n’est pas le cas, émettez un certificat client basé sur le modèle Utilisateur disposant de l’authentification client comme premier élément dans la liste.If it isn't, issue a client certificate based on the user template that has Client Authentication as the first item in the list.

  • Pour plus d’informations sur la résolution des problèmes liés à P2S, consultez Résoudre les problèmes de connexions liés à P2S.For additional P2S troubleshooting information, see Troubleshoot P2S connections.

Vérifier la connexion VPNVerify the VPN connection

  1. Vérifiez que votre connexion VPN est active.Verify that your VPN connection is active. Ouvrez une invite de commandes avec élévation de privilèges sur votre ordinateur client et exécutez ipconfig/all.Open an elevated command prompt on your client computer, and run ipconfig/all.

  2. Affichez les résultats.View the results. Notez que l’adresse IP que vous avez reçue est l’une des adresses de la plage d’adresses de connectivité point à site que vous avez spécifiée quand vous avez créé votre réseau virtuel.Notice that the IP address you received is one of the addresses within the Point-to-Site connectivity address range that you specified when you created your VNet. Les résultats devraient être semblables à cet exemple :The results should be similar to this example:

     PPP adapter VNet1:
         Connection-specific DNS Suffix .:
         Description.....................: VNet1
         Physical Address................:
         DHCP Enabled....................: No
         Autoconfiguration Enabled.......: Yes
         IPv4 Address....................: 192.168.130.2(Preferred)
         Subnet Mask.....................: 255.255.255.255
         Default Gateway.................:
         NetBIOS over Tcpip..............: Enabled
    

Connexion à une machine virtuelleConnect to a virtual machine

Créez une connexion Bureau à distance pour vous connecter à une machine virtuelle déployée sur votre réseau virtuel.Create a Remote Desktop Connection to connect to a VM that's deployed to your VNet. La meilleure méthode pour vérifier que vous pouvez vous connecter à votre machine virtuelle consiste à vous connecter à l’aide de son adresse IP privée, plutôt qu’avec le nom d’ordinateur.The best way to verify you can connect to your VM is to connect with its private IP address, rather than its computer name. Vous testez ainsi si vous pouvez vous connecter, que la résolution de nom soit configurée correctement ou non.That way, you're testing to see if you can connect, not whether name resolution is configured properly.

  1. Recherchez l’adresse IP privée de votre machine virtuelle.Locate the private IP address for your VM. Pour trouver l’adresse IP privée d’une machine virtuelle, consultez les propriétés de la machine virtuelle dans le portail Azure ou utilisez PowerShell.To find the private IP address of a VM, view the properties for the VM in the Azure portal or use PowerShell.
  2. Vérifiez que vous êtes connecté à votre réseau virtuel à l’aide de la connexion VPN de point à site.Verify that you're connected to your VNet with the Point-to-Site VPN connection.
  3. Pour ouvrir une connexion Bureau à distance, saisissez RDP ou Connexion Bureau à distance dans la zone de recherche de la barre des tâches, puis sélectionnez Connexion Bureau à distance.To open Remote Desktop Connection, enter RDP or Remote Desktop Connection in the search box on the taskbar, then select Remote Desktop Connection. Vous pouvez également l'ouvrir à l’aide de la commande mstsc dans PowerShell.You can also open it by using the mstsc command in PowerShell.
  4. Dans Connexion Bureau à distance, entrez l’adresse IP privée de la machine virtuelle.In Remote Desktop Connection, enter the private IP address of the VM. Si nécessaire, sélectionnez Afficher les Options pour définir des paramètres supplémentaires, puis connectez-vous.If necessary, select Show Options to adjust additional settings, then connect.

Pour résoudre une connexion RDP à une machine virtuelleTo troubleshoot an RDP connection to a VM

Si vous rencontrez des problèmes de connexion à une machine virtuelle sur votre connexion VPN, vous pouvez vérifier plusieurs points.If you're having trouble connecting to a virtual machine over your VPN connection, there are a few things you can check.

  • Vérifiez que votre connexion VPN aboutit.Verify that your VPN connection is successful.
  • Vérifiez que vous vous connectez à l’adresse IP privée de la machine virtuelle.Verify that you're connecting to the private IP address for the VM.
  • Entrez ipconfig pour vérifier l’adresse IPv4 attribuée à l’adaptateur Ethernet sur l’ordinateur à partir duquel vous vous connectez.Enter ipconfig to check the IPv4 address assigned to the Ethernet adapter on the computer from which you're connecting. Si l’adresse IP est comprise dans la plage d’adresses du réseau virtuel auquel vous vous connectez, ou dans la plage d’adresses de votre VPNClientAddressPool, cette situation est désignée sous le terme d’espaces d’adressage qui se chevauchent.An overlapping address space occurs when the IP address is within the address range of the VNet that you're connecting to, or within the address range of your VPNClientAddressPool. Lorsque vos espaces d’adressage se chevauchent de cette façon, le trafic réseau n’atteint pas Azure et reste sur le réseau local.When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.
  • Si vous pouvez vous connecter à la machine virtuelle à l’aide de l’adresse IP privée, mais pas à l’aide du nom d’ordinateur, vérifiez que vous avez correctement configuré DNS.If you can connect to the VM by using the private IP address, but not the computer name, verify that you have configured DNS properly. Pour plus d’informations sur le fonctionnement de la résolution de noms pour les machines virtuelles, consultez Résolution de noms pour les machines virtuelles.For more information about how name resolution works for VMs, see Name Resolution for VMs.
  • Vérifiez que le package de configuration du client VPN a été généré après avoir spécifié les adresses IP du serveur DNS pour le réseau virtuel.Verify that the VPN client configuration package is generated after you specify the DNS server IP addresses for the VNet. Si vous mettez à jour les adresses IP du serveur DNS, générez et installez un package de configuration du client VPN.If you update the DNS server IP addresses, generate and install a new VPN client configuration package.

Pour plus d’informations sur la résolution d’une connexion, consultez Résoudre des problèmes de connexion Bureau à distance à une machine virtuelle.For more troubleshooting information, see Troubleshoot Remote Desktop connections to a VM.

Ajout ou suppression de certificats racine approuvésAdd or remove trusted root certificates

Vous pouvez ajouter et supprimer des certificats racines approuvés à partir d'Azure.You can add and remove trusted root certificates from Azure. Lorsque vous supprimez un certificat racine, les clients qui possèdent un certificat généré à partir de cette racine ne sont plus en mesure de s'authentifier et de se connecter.When you remove a root certificate, clients that have a certificate generated from that root can no longer authenticate and connect. Pour permettre à ces clients de s'authentifier et de se connecter, vous devez installer un nouveau certificat client généré à partir d'un certificat racine approuvé par Azure.For those clients to authenticate and connect again, you must install a new client certificate generated from a root certificate that's trusted by Azure.

Ajout d’un certificat racine approuvéTo add a trusted root certificate

Vous pouvez ajouter jusqu’à 20 fichiers .cer de certificat racine approuvés dans Azure.You can add up to 20 trusted root certificate .cer files to Azure. Pour obtenir des instructions, consultez Charger le fichier de certificat racine .cer.For instructions, see Upload the root certificate .cer file.

Suppression d’un certificat racine approuvéTo remove a trusted root certificate

  1. Dans la section Connexions VPN de la page de votre réseau virtuel, sélectionnez le graphique des clients pour ouvrir la page Connexion VPN point à site.On the VPN connections section of the page for your VNet, select the clients graphic to open the Point-to-site VPN connection page.

    Clients

  2. Sur la page Connexion VPN de point à site, sélectionnez Gérer le certificat pour ouvrir la page Certificats.On the Point-to-site VPN connection page, select Manage certificate to open the Certificates page.

    Page Certificats

  3. Sur la page Certificats, sélectionnez le bouton de sélection correspondant au certificat que vous souhaitez supprimer, puis sélectionnez Supprimer.On the Certificates page, select the ellipsis next to the certificate that you want to remove, then select Delete.

    Suppression d'un certificat racine

Révocation d'un certificat clientRevoke a client certificate

Si nécessaire, vous pouvez révoquer un certificat client.If necessary, you can revoke a client certificate. La liste de révocation de certificat vous permet de refuser sélectivement la connexion point à site en fonction des certificats clients individuels.The certificate revocation list allows you to selectively deny Point-to-Site connectivity based on individual client certificates. Cette méthode est différente de la suppression d'un certificat racine approuvé.This method differs from removing a trusted root certificate. Si vous supprimez un fichier .cer de certificat racine approuvé d’Azure, vous révoquez l’accès pour tous les certificats clients générés/signés par le certificat racine révoqué.If you remove a trusted root certificate .cer from Azure, it revokes the access for all client certificates generated/signed by the revoked root certificate. Révoquer un certificat client plutôt que le certificat racine permet de continuer à utiliser les autres certificats générés à partir du certificat racine pour l’authentification de la connexion Point à site.Revoking a client certificate, rather than the root certificate, allows the other certificates that were generated from the root certificate to continue to be used for authentication for the Point-to-Site connection.

La pratique courante consiste à utiliser le certificat racine pour gérer l'accès au niveaux de l'équipe ou de l'organisation, tout en utilisant des certificats clients révoqués pour le contrôle d'accès précis des utilisateurs individuels.The common practice is to use the root certificate to manage access at team or organization levels, while using revoked client certificates for fine-grained access control on individual users.

Révocation d'un certificat clientTo revoke a client certificate

Vous pouvez révoquer un certificat client en ajoutant son empreinte à la liste de révocation.You can revoke a client certificate by adding the thumbprint to the revocation list.

  1. Récupérez l’empreinte du certificat client.Retrieve the client certificate thumbprint. Pour plus d’informations, consultez Procédure : Récupérer l'empreinte d'un certificat.For more information, see How to: Retrieve the Thumbprint of a Certificate.
  2. Copiez les informations dans un éditeur de texte et supprimez les espaces afin d'obtenir une chaîne continue.Copy the information to a text editor and remove its spaces so that it's a continuous string.
  3. Accédez au réseau virtuel classique.Go to the classic virtual network. Sélectionnez Connexion VPN de point à site, puis Gérer le certificat pour ouvrir la page Certificats.Select Point-to-site VPN connection, then select Manage certificate to open the Certificates page.
  4. Sélectionnez Liste de révocation pour ouvrir la page Liste de révocation.Select Revocation list to open the Revocation list page.
  5. Sélectionnez Ajouter un certificat pour ouvrir la page Ajouter un certificat à la liste de révocation.Select Add certificate to open the Add certificate to revocation list page.
  6. Sous Empreinte, collez l'empreinte numérique du certificat sous la forme d'une seule ligne continue de texte, sans espaces.In Thumbprint, paste the certificate thumbprint as one continuous line of text, with no spaces. Sélectionnez OK pour terminer.Select OK to finish.

Une fois la mise à jour terminée, le certificat ne peut plus être utilisé pour se connecter.After updating has completed, the certificate can no longer be used to connect. Les clients qui tentent de se connecter à l'aide de ce certificat reçoivent un message indiquant que le certificat n'est plus valide.Clients that try to connect by using this certificate receive a message saying that the certificate is no longer valid.

Forum Aux Questions sur les connexions point à sitePoint-to-Site FAQ

Ce FAQ s’applique aux connexions P2S qui utilisent le modèle de déploiement classique.This FAQ applies to P2S connections that use the classic deployment model.

Quels systèmes d’exploitation clients puis-je utiliser avec une connexion de point à site ?What client operating systems can I use with Point-to-Site?

Les systèmes d’exploitation clients pris en charge sont les suivants :The following client operating systems are supported:

  • Windows 7 (32 bits et 64 bits)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (64 bits uniquement)Windows Server 2008 R2 (64-bit only)
  • Windows 8 (32 bits et 64 bits)Windows 8 (32-bit and 64-bit)
  • Windows 8.1 (32 bits et 64 bits)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (64 bits uniquement)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (64 bits uniquement)Windows Server 2012 R2 (64-bit only)
  • Windows 10Windows 10

Puis-je utiliser un client VPN logiciel qui prend en charge le protocole SSTP pour une connexion point à site ?Can I use any software VPN client that supports SSTP for Point-to-Site?

Non.No. La prise en charge est limitée aux versions de système d’exploitation Windows répertoriées.Support is limited only to the listed Windows operating system versions.

Combien de points de terminaison clients VPN ma configuration point à site peut-elle comporter ?How many VPN client endpoints can exist in my Point-to-Site configuration?

La quantité de points de terminaison de client VPN dépend de la référence SKU et du protocole de votre passerelle.The amount of VPN client endpoints depends on your gateway sku and protocol.

Génération
de passerelle
VPN
VPN
Gateway
Generation
Référence (SKU)SKU S2S/VNet-to-VNet
Tunnels
S2S/VNet-to-VNet
Tunnels
P2S
connexions SSTP
P2S
SSTP Connections
P2S
connexions IKEv2/OpenVPN
P2S
IKEv2/OpenVPN Connections
Agrégat
Référence de débit
Aggregate
Throughput Benchmark
BGPBGP Redondant interzoneZone-redundant
Génération1Generation1 De baseBasic Bande passanteMax. 1010 Bande passanteMax. 128128 Non pris en chargeNot Supported 100 Mbits/s100 Mbps Non pris en chargeNot Supported NonNo
Génération1Generation1 VpnGw1VpnGw1 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 250250 650 Mbits/s650 Mbps Prise en chargeSupported NonNo
Génération1Generation1 VpnGw2VpnGw2 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 500500 1 Gbit/s1 Gbps Prise en chargeSupported NonNo
Génération1Generation1 VpnGw3VpnGw3 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 1 0001000 1,25 Gbits/s1.25 Gbps Prise en chargeSupported NonNo
Génération1Generation1 VpnGw1AZVpnGw1AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 250250 650 Mbits/s650 Mbps Prise en chargeSupported OuiYes
Génération1Generation1 VpnGw2AZVpnGw2AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 500500 1 Gbit/s1 Gbps Prise en chargeSupported OuiYes
Génération1Generation1 VpnGw3AZVpnGw3AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 1 0001000 1,25 Gbits/s1.25 Gbps Prise en chargeSupported OuiYes
Génération2Generation2 VpnGw2VpnGw2 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 500500 1,25 Gbits/s1.25 Gbps Prise en chargeSupported NonNo
Génération2Generation2 VpnGw3VpnGw3 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 1 0001000 2,5 Gbits/s2.5 Gbps Prise en chargeSupported NonNo
Génération2Generation2 VpnGw4VpnGw4 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 5 0005000 5 Gbit/s5 Gbps Prise en chargeSupported NonNo
Génération2Generation2 VpnGw5VpnGw5 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 1000010000 10 Gbits/s10 Gbps Prise en chargeSupported NonNo
Génération2Generation2 VpnGw2AZVpnGw2AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 500500 1,25 Gbits/s1.25 Gbps Prise en chargeSupported OuiYes
Génération2Generation2 VpnGw3AZVpnGw3AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 1 0001000 2,5 Gbits/s2.5 Gbps Prise en chargeSupported OuiYes
Génération2Generation2 VpnGw4AZVpnGw4AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 5 0005000 5 Gbit/s5 Gbps Prise en chargeSupported OuiYes
Génération2Generation2 VpnGw5AZVpnGw5AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 1000010000 10 Gbits/s10 Gbps Prise en chargeSupported OuiYes

(*) Utilisez le WAN virtuel si vous avez besoin de plus de 30 tunnels VPN S2S.(*) Use Virtual WAN if you need more than 30 S2S VPN tunnels.

  • Le redimensionnement des références SKU VpnGw est autorisé dans la même génération, à l’exception du redimensionnement de la référence SKU De base.The resizing of VpnGw SKUs is allowed within the same generation, except resizing of the Basic SKU. La référence SKU De base est une référence SKU héritée et présente des limitations en termes de fonctionnalités.The Basic SKU is a legacy SKU and has feature limitations. Pour passer de la référence SKU De base à une autre référence SKU VpnGw, vous devez supprimer la passerelle VPN de la référence SKU De base et créer une passerelle avec la combinaison de taille de référence SKU et de génération souhaitée.In order to move from Basic to another VpnGw SKU, you must delete the Basic SKU VPN gateway and create a new gateway with the desired Generation and SKU size combination.

  • Ces limites de connexion sont séparées.These connection limits are separate. Par exemple, vous pouvez avoir 128 connexions SSTP et 250 connexions IKEv2 sur une référence SKU VpnGw1.For example, you can have 128 SSTP connections and also 250 IKEv2 connections on a VpnGw1 SKU.

  • Pour des informations sur les prix, consultez la page Tarification .Pricing information can be found on the Pricing page.

  • Vous trouverez des informations relatives au contrat de niveau de service (SLA) sur la page SLA.SLA (Service Level Agreement) information can be found on the SLA page.

  • Dans un tunnel unique, un débit maximal de 1 Gbit/s peut être atteint.On a single tunnel a maximum of 1 Gbps throughput can be achieved. La référence de débit agrégée indiquée dans le tableau ci-dessus se base sur les mesures de plusieurs tunnels agrégés par le biais d’une passerelle unique.Aggregate Throughput Benchmark in the above table is based on measurements of multiple tunnels aggregated through a single gateway. Le test d’évaluation du débit d’agrégat pour une passerelle VPN est S2S + P2S combinés.The Aggregate Throughput Benchmark for a VPN Gateway is S2S + P2S combined. Si vous avez un grand nombre de connexions P2S, cela peut avoir un impact négatif sur la connexion S2S à cause des limites de débit.If you have a lot of P2S connections, it can negatively impact a S2S connection due to throughput limitations. La référence de débit agrégée n’est pas garantie en raison des conditions de trafic Internet et des comportements de votre application.The Aggregate Throughput Benchmark is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

Pour aider nos clients à comprendre les performances relatives des références SKU à l’aide de différents algorithmes, nous avons utilisé les outils disponibles publiquement iPerf et CTSTraffic pour mesurer les performances.To help our customers understand the relative performance of SKUs using different algorithms, we used publicly available iPerf and CTSTraffic tools to measure performances. Le tableau ci-dessous liste les résultats des tests de performances des références SKU VpnGw de génération 1.The table below lists the results of performance tests for Generation 1, VpnGw SKUs. Comme vous pouvez le voir, les meilleures performances sont obtenues quand nous utilisons l’algorithme GCMAES256 pour le chiffrement IPsec et pour l’intégrité.As you can see, the best performance is obtained when we used GCMAES256 algorithm for both IPsec Encryption and Integrity. Nous obtenons des performances moyennes lors de l’utilisation d’AES256 pour le chiffrement IPsec et de SHA256 pour l’intégrité.We got average performance when using AES256 for IPsec Encryption and SHA256 for Integrity. Quand nous utilisons DES3 pour le chiffrement IPsec et SHA256 pour l’intégrité, nous obtenons les performances les plus faibles.When we used DES3 for IPsec Encryption and SHA256 for Integrity we got lowest performance.

GénérationGeneration Référence (SKU)SKU Algorithmes
utilisés
Algorithms
used
Débit
observé
Throughput
observed
Paquets par seconde
observés
Packets per second
observed
Génération1Generation1 VpnGw1VpnGw1 GCMAES256GCMAES256
AES256 et SHA256AES256 & SHA256
DES3 et SHA256DES3 & SHA256
650 Mbits/s650 Mbps
500 Mbits/s500 Mbps
120 Mbits/s120 Mbps
58 00058,000
50 00050,000
50 00050,000
Génération1Generation1 VpnGw2VpnGw2 GCMAES256GCMAES256
AES256 et SHA256AES256 & SHA256
DES3 et SHA256DES3 & SHA256
1 Gbit/s1 Gbps
500 Mbits/s500 Mbps
120 Mbits/s120 Mbps
90 00090,000
80 00080,000
55 00055,000
Génération1Generation1 VpnGw3VpnGw3 GCMAES256GCMAES256
AES256 et SHA256AES256 & SHA256
DES3 et SHA256DES3 & SHA256
1,25 Gbits/s1.25 Gbps
550 Mbits/s550 Mbps
120 Mbits/s120 Mbps
105 000105,000
90 00090,000
60 00060,000
Génération1Generation1 VpnGw1AZVpnGw1AZ GCMAES256GCMAES256
AES256 et SHA256AES256 & SHA256
DES3 et SHA256DES3 & SHA256
650 Mbits/s650 Mbps
500 Mbits/s500 Mbps
120 Mbits/s120 Mbps
58 00058,000
50 00050,000
50 00050,000
Génération1Generation1 VpnGw2AZVpnGw2AZ GCMAES256GCMAES256
AES256 et SHA256AES256 & SHA256
DES3 et SHA256DES3 & SHA256
1 Gbit/s1 Gbps
500 Mbits/s500 Mbps
120 Mbits/s120 Mbps
90 00090,000
80 00080,000
55 00055,000
Génération1Generation1 VpnGw3AZVpnGw3AZ GCMAES256GCMAES256
AES256 et SHA256AES256 & SHA256
DES3 et SHA256DES3 & SHA256
1,25 Gbits/s1.25 Gbps
550 Mbits/s550 Mbps
120 Mbits/s120 Mbps
105 000105,000
90 00090,000
60 00060,000

Puis-je utiliser ma propre AC racine PKI interne pour une connectivité point à site ?Can I use my own internal PKI root CA for Point-to-Site connectivity?

Oui.Yes. Auparavant, seuls les certificats racines auto-signés pouvaient être utilisés.Previously, only self-signed root certificates could be used. Vous pouvez toujours télécharger jusqu’à 20 certificats racine.You can still upload up to 20 root certificates.

Puis-je parcourir les serveurs proxy et les pare-feux à l’aide d’une connexion point à site ?Can I traverse proxies and firewalls by using Point-to-Site?

Oui.Yes. Nous utilisons le protocole SSTP (Secure Socket Tunneling Protocol) pour avoir un tunnel traversant les pare-feux.We use Secure Socket Tunneling Protocol (SSTP) to tunnel through firewalls. Ce tunnel apparaît comme une connexion HTTPS.This tunnel appears as an HTTPS connection.

Si je redémarre un ordinateur client avec une configuration point à site, le réseau VPN va-t-il se reconnecter automatiquement ?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Par défaut, l’ordinateur client ne rétablit pas automatiquement la connexion VPN.By default, the client computer won't reestablish the VPN connection automatically.

La configuration point à site prend-elle en charge la reconnexion automatique et DDNS sur les clients VPN ?Does Point-to-Site support auto reconnect and DDNS on the VPN clients?

Non.No. La reconnexion automatique et DDNS ne sont actuellement pas pris en charge dans les configurations VPN point à site.Auto reconnect and DDNS are currently not supported in Point-to-Site VPNs.

Puis-je avoir des configurations site à site et point à site pour un même réseau virtuel ?Can I have Site-to-Site and Point-to-Site configurations for the same virtual network?

Oui.Yes. Les deux solutions fonctionnent si vous avez un type de réseau VPN basé sur un itinéraire pour votre passerelle.Both solutions will work if you have a RouteBased VPN type for your gateway. Pour le modèle de déploiement Classic, vous avez besoin d’une passerelle dynamique.For the classic deployment model, you need a dynamic gateway. Nous ne prenons pas en charge la configuration point à site pour les passerelles VPN à routage statique ou les passerelles qui utilisent la cmdlet -VpnType PolicyBased.We don't support Point-to-Site for static routing VPN gateways or gateways that use the -VpnType PolicyBased cmdlet.

Puis-je configurer un client point à site pour me connecter à plusieurs réseaux virtuels en même temps ?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Oui.Yes. Toutefois, les réseaux virtuels ne peuvent pas avoir de préfixes IP qui se chevauchent, et les espaces d’adressage point à site ne doivent pas se chevaucher entre les réseaux virtuels.However, the virtual networks can't have overlapping IP prefixes and the Point-to-Site address spaces must not overlap between the virtual networks.

Quel débit puis-je attendre des connexions site à site ou point à site ?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

Il est difficile de maintenir le débit exact des tunnels VPN.It's difficult to maintain the exact throughput of the VPN tunnels. IPsec et SSTP sont des protocoles VPN de chiffrement lourd.IPsec and SSTP are crypto-heavy VPN protocols. Le débit est également limité par la latence et la bande passante entre vos locaux et Internet.Throughput is also limited by the latency and bandwidth between your premises and the internet.

Étapes suivantesNext steps