39 0 843KB
Création d’un VPN IPsec Site-to-Site avec Azure (v1.11) Tutorial conçu et rédigé par Michel de CREVOISIER – Février 2015
SOURCES Configuration du réseau sur Azure : http://azure.microsoft.com/en-us/documentation/articles/virtual-networks-create-site-to-sitecross-premises-connectivity/ Configuration RRAS personnalisée : http://www.concurrency.com/infrastructure/site-to-azure-vpn-using-windows-server-2012-rras/ Configuration avec Pfsense : https://knowledge.zomers.eu/pfsense/Pages/How-to-connect-an-Azure-cloud-to-pfSense-overIPSec.aspx
1
INDEX SOURCES ................................................................................................................................................. 1 INDEX ...................................................................................................................................................... 2 Préambule ............................................................................................................................................... 2 1.
2.
Configuration du VPN sur Azure ........................................................................................................ 3 1.1
Réseau local .............................................................................................................................. 3
1.2
Réseau virtuel............................................................................................................................ 3
1.3
Création de la passerelle ............................................................................................................ 5
Configuration du VPN On Premise ..................................................................................................... 6 2.1
Configuration des interfaces réseau ............................................................................................ 6
2.2
Configuration du serveur............................................................................................................ 6
3.
Configuration du pare-feu................................................................................................................. 7
4.
Connexion VPN mutuelle .................................................................................................................. 8
5.
4.1
Etablissement de la connexion.................................................................................................... 8
4.2
Visualiation de l’état de connexion ............................................................................................. 9
Optimisations ................................................................................................................................. 10
Préambule Pour ce tuto, j’utiliserai 2 serveurs membres du même domaine ainsi que le service Azure pour l’établissement d’un VPN site-to-site : SRV-AD: serveur Active Directory et DNS On Premise (installation non détaillée) SRV-VPN : serveur Windows dédié pour la connexion VPN avec Azure (installation non détaillée) L’objectif de cet article sera de connecter les deux réseaux afin de mettre en place un réplica de contrôleur de domaine dans le cloud.
2
1. Configuration du VPN sur Azure 1.1Réseau local Pour commencer, créez un réseau local sur Azure. Pour cela, renseignez : Le nom de votre réseau LAN « On Premise ». L’IP publique du site où se trouvera votre équipement VPN. Attention, celui-ci ne doit pas être derrière un NAT.
A l’étape suivante, renseignez le plan d’adressage de votre LAN « On Premise » :
1.2Réseau virtuel 1.2.1 Création du réseau virtuel Pour créer un réseau virtuel sur Azure, il est nécessaire de renseigner : Le nom du réseau virtuel Les IP de vos serveurs DNS Le type de VPN souhaité (en l’occurrence « site à site ») Le réseau local à utiliser (défini au point 1.1)
3
1.2.2 Adressage du réseau virtuel Définissez ensuite le plan d’adressage du réseau et des sous-réseaux Azure. Notez qu’il sera nécessaire de définir un « sous réseau de passerelle » pour le VPN :
4
1.3Création de la passerelle Votre réseau virtuel est désormais créé. Il vous faut maintenant créer une passerelle :
Pour cela, cliquez sur « Créer une passerelle » et patientez entre 15 et 35 minutes pour sa création.
Attention : Windows Server 2012 / 2012 R2 ne supporte pas le routage statique. Le routage dynamique est obligatoire pour des VPN de type « multi site VPN », « VNET to VNET » et « Point à site ». Une fois l’assistant terminé et la passerelle créée, il ne vous reste plus qu’à configurer votre équipement VPN « On Premise » :
5
2. Configuration du VPN On Premise Une fois la passerelle créée, il est nécessaire de configurer votre équipement VPN « On Premise » afin qu’il puisse se connecter à la passerelle VPN fournie par Azure. La liste des équipements supportés (Cisco, Juniper, F5, Palo Alto, …) est disponible ici. Dans notre cas, nous utiliserons un serveur sous Windows Server 2012 R2.
2.1Configuration des interfaces réseau Sur votre serveur Windows, configurez les deux interfaces réseau suivantes : LAN : adressage sur votre réseau local WAN : adresse publique ou redirigée pointant directement sur le serveur. Pensez à : o Désactiver l’enregistrement DNS o Désactiver « Client for Micosoft Networks » et « File and Printer sharing »
2.2Configuration du serveur Pour configurer intégralement le serveur VPN Windows avec le rôle RRAS : Téléchargez le script d’auto configuration en accord avec votre solution VPN retenue :
Copiez le script sur votre serveur VPN Windows et renommez-le en « .PS1 » Exécutez-le depuis une console administrateur et laisser le script configurer le serveur :
6
Note : l’erreur apparue n’est pas grave. Elle indique simplement que le service RRAS a mis plus longtemps que prévu à démarrer.
3. Configuration du pare-feu Pour acheminer le trafic vers votre serveur VPN, vous devrez rediriger les ports cidessous (source) selon ces deux contextes : Votre
RRAS est situé derrière un pare-feu : IP Protocol Type=UDP, UDP Port Number=500