VPN - Configurer un VPN IPSec Site-à-Site avec Microsoft (MS) Azure

Vous avez d’autres questions ? Envoyer une demande

Cet article explique comment créer un VPN site-à-site entre un pare-feu USG et une passerelle virtuelle Microsoft Azure. L'exemple montre comment configurer le tunnel VPN entre chaque site.

 

Note ! Cet article ne fonctionne qu'avec un VPN à site unique. Si vous avez besoin de connecter plusieurs sites, veuillez consulter l'article suivant : Série USG/Zywall - Comment configurer un VPN IPsec basé sur la route vers Azure (BGP sur IKEv2/IPSec)
Pour Nebula : VPN Site-à-Site IPSec depuis la passerelle de sécurité Nebula (NSG) vers Azure

 

1) Configurer le tunnel VPN IPSec sur le ZyWALL/USG

1.1 Démarrer l'assistant et choisir une politique VPN avancée

Dans le ZyWALL/USG, allez dans CONFIGURATION > Configuration rapide > Assistant de configuration VPN, utilisez l'assistant Paramètres VPN pour créer une règle VPN pouvant être utilisée avec MS Azure. Cliquez sur Suivant.

Configuration rapide > Assistant de configuration VPN > Bienvenue

Choisissez Avancé pour créer une règle VPN avec des paramètres personnalisés pour la phase 1, la phase 2 et la méthode d'authentification. Cliquez sur Suivant.

Configuration rapide > Assistant de configuration VPN > Bienvenue > Type d'assistant

1.2 Configurer les paramètres VPN avancés

1.2.1 Configurer le nom de la règle et le scénario

Saisissez le Nom de la règle utilisé pour identifier cette connexion VPN (et la passerelle VPN). Vous pouvez utiliser de 1 à 31 caractères alphanumériques. Cette valeur est sensible à la casse. Sélectionnez la règle comme étant Site-à-site. Cliquez sur Suivant.

Configuration rapide > Assistant de configuration VPN > Type d'assistant > Paramètres VPN (Scénario)

1.2.2 Configurer les paramètres de la phase 1

Puis, configurez l'IP de la Passerelle sécurisée en tant qu'adresse IP de la passerelle MS Azure (dans l'exemple, 13.75.42.148) ; sélectionnez Mon adresse comme interface connectée à Internet.

Définissez la Négociation, le Chiffrement, l'Authentification, le Groupe de clés et la Durée de vie SA que MS Azure supporte. Veuillez vous assurer de désactiver la Détection de pair mort (DPD) qui n'est pas supportée dans la politique IKEv1 basée sur la politique MS Azure. Saisissez une Clé pré-partagée sécurisée.

Configuration rapide > Assistant de configuration VPN > Bienvenue > Type d'assistant > Paramètres VPN (Paramètres phase 1)

1.2.3 Configurer les paramètres de la phase 2

Continuez avec les paramètres de la phase 2 pour sélectionner l'Encapsulation, le Chiffrement, l'Authentification et la Durée de vie SA supportés par MS Azure.

Définissez la Politique locale comme la plage d'adresses IP du réseau connecté au ZyWALL/USG et la Politique distante comme la plage d'adresses IP du réseau connecté à MS Azure. Cliquez sur OK.

Configuration rapide > Assistant de configuration VPN > Bienvenue > Type d'assistant > Paramètres VPN (Paramètres phase 2)

Note : Pour plus d'informations sur les paramètres IPsec pris en charge dans MS Azure, consultez la documentation Microsoft Azure À propos des appareils VPN pour les connexions de passerelle VPN site-à-site.

1.2.4 Vérifier et enregistrer la configuration

Cet écran fournit un résumé en lecture seule du tunnel VPN. Cliquez sur Enregistrer.

Configuration rapide > Assistant de configuration VPN > Bienvenue > Type d'assistant > Paramètres VPN (Résumé)

La règle est maintenant configurée sur le ZyWALL/USG. Les paramètres de la règle de phase 1 apparaissent dans l'écran VPN > VPN IPSec > Passerelle VPN et les paramètres de la règle de phase 2 apparaissent dans l'écran VPN > VPN IPSec > Connexion VPN. Cliquez sur Fermer pour quitter l'assistant.

Configuration rapide > Assistant de configuration VPN > Bienvenue > Type d'assistant > Paramètres VPN > Assistant terminé

2) Configurer le tunnel VPN IPSec sur MS Azure

2.1 Se connecter au portail de gestion Azure

Connectez-vous au Portail de gestion Windows Azure. Dans le coin supérieur gauche de l'écran, cliquez sur +Nouveau > Réseautique > Réseau virtuel.

Portail Azure > Nouveau > Réseautique > Réseau virtuel

2.2 Sélectionner un modèle de déploiement dans la configuration du réseau virtuel

Vers le bas du volet Réseau virtuel, dans la liste Sélectionner un modèle de déploiement, sélectionnez Resource Manager, puis cliquez sur Créer.

Nouveau > Réseautique > Réseau virtuel > Sélectionner un modèle de déploiement

2.3 Configurer les paramètres VPN sur Azure

Sur la page Créer un réseau virtuel, saisissez le NOM du réseau VPN. Par exemple, VPN_Vnet_to_USG. Ajoutez votre Espace d'adresses, le Nom du sous-réseau et une seule Plage d'adresses du sous-réseau.

Cliquez sur Groupe de ressources et sélectionnez soit un groupe de ressources existant, soit créez-en un nouveau en saisissant un nom. Par exemple, RG_USG.

EMPLACEMENT est directement lié à l'emplacement physique (région) où résident les machines virtuelles (VM). La région associée au réseau virtuel ne peut pas être modifiée après sa création.

Puis, cliquez sur le bouton Créer. Après avoir cliqué sur Créer, vous verrez une tuile sur votre tableau de bord reflétant la progression de votre VNet. La tuile changera pendant la création du VNet.

Nouveau > Réseautique > Réseau virtuel > Créer un réseau virtuel

2.4 Configurer le sous-réseau du réseau virtuel sur Azure

Dans le portail, accédez au réseau virtuel que vous venez de créer. Sur le volet de votre réseau virtuel, cliquez sur l'icône Paramètres en haut pour déployer le volet Paramètres vers Sous-réseaux > Ajouter > Ajouter un sous-réseau. Nommez votre sous-réseau GatewaySubnet. Il ne faut pas lui donner un autre nom, sinon la passerelle ne fonctionnera pas. Ajoutez la plage d'adresses IP pour votre passerelle. Cliquez sur OK en bas du volet pour créer le sous-réseau.

VPN_Vnet_to_USG > Paramètres > Sous-réseau > Ajouter un sous-réseau

2.5 Configurer la passerelle réseau virtuel sur Azure

Dans le portail, allez dans Nouveau, puis Réseautique. Sélectionnez Passerelle de réseau virtuel dans la liste. Sur le volet Créer une passerelle de réseau virtuel, dans le champ Nom, nommez votre passerelle. Ensuite, choisissez le Réseau virtuel sur lequel vous souhaitez déployer cette passerelle.

Cliquez sur la flèche (>) pour ouvrir le volet Choisir une adresse IP publique. Puis cliquez sur Créer nouveau pour ouvrir le volet Créer une adresse IP publique. Saisissez un Nom pour votre adresse IP publique. Notez qu'il ne s'agit pas de demander une adresse IP. L'adresse IP sera attribuée dynamiquement. Il s'agit plutôt du nom de l'objet adresse IP auquel l'adresse sera assignée. Cliquez sur OK pour enregistrer vos modifications.

Pour le Type de passerelle, sélectionnez VPN. Pour le Type de VPN, sélectionnez Basé sur la politique. Pour le Groupe de ressources, il est déterminé par le réseau virtuel que vous sélectionnez. Pour Emplacement, assurez-vous qu'il correspond à l'emplacement où se trouvent votre groupe de ressources et votre VNet.

Nouveau > Réseautique > Créer une passerelle de réseau virtuel > Choisir une adresse IP publique > Créer une adresse IP publique

2.6 Configurer la passerelle réseau local sur Azure

Dans le portail Azure, accédez à Nouveau > Réseautique > Passerelle réseau local. La passerelle réseau local fait référence à l'adresse IP publique de votre ZyWALL/USG et aux paramètres du sous-réseau local.

Sur le volet Créer une passerelle réseau local, spécifiez un nom pour votre objet passerelle ZyWALL/USG.

Indiquez l'adresse IP publique de votre ZyWALL/USG. Elle ne peut pas être derrière un NAT et doit être accessible par Azure. L'espace d'adresses correspond aux plages d'adresses sur votre réseau local ZyWALL/USG. Pour le groupe de ressources, sélectionnez le groupe de ressources que vous avez créé précédemment. Pour l'emplacement, si vous créez une nouvelle passerelle réseau local, vous pouvez utiliser le même emplacement que la passerelle réseau virtuel. Ce n'est toutefois pas obligatoire. La passerelle réseau local peut être dans un emplacement différent.

Cliquez sur Créer pour créer la passerelle réseau local.

Nouveau > Réseautique > Passerelle réseau local  

2.7 Ajouter une connexion

Trouvez votre passerelle réseau virtuel (VPN_Connection_to_USG dans cet exemple) et cliquez sur Paramètres > Connexion > Ajouter une connexion, nommez votre connexion. Pour le Type de connexion, sélectionnez Site-à-site (IPSec). Pour la Passerelle réseau virtuel, la valeur est fixe car vous vous connectez depuis cette passerelle (VPN_GW_to_USG dans cet exemple).

Pour la Passerelle réseau local, sélectionnez la passerelle réseau local que vous souhaitez utiliser (VPN_Connection_to_USG dans cet exemple).

Pour la Clé partagée (PSK), la valeur doit correspondre à celle que vous utilisez pour votre appareil ZyWALL/USG. Pour le Groupe de ressources, sélectionnez le groupe de ressources que vous avez créé précédemment. Cliquez sur OK pour créer votre connexion.

VPN_Connection_to_USG > Paramètres > Connexions > Ajouter une connexion

2.8 Vérifier les paramètres de connexion

Lorsque la connexion est établie, vous la verrez apparaître dans le volet Connexions de votre passerelle.

VPN_Connection_to_USG > Paramètres > Connexions

3) Tester la connectivité du tunnel VPN IPSec

Allez dans ZyWALL/USG CONFIGURATION > VPN > VPN IPSec > Connexion VPN, cliquez sur Connecter dans la barre supérieure. L'icône Statut connectée s'allume lorsque l'interface est connectée.

CONFIGURATION > VPN > VPN IPSec > Connexion VPN

Allez dans ZyWALL/USG MONITORING > Moniteur VPN > IPSec et vérifiez le Temps de fonctionnement du tunnel et le trafic Entrant (octets)/Sortant (octets).

MONITORING > Moniteur VPN > IPSec

Allez dans Azure_Vnet_USG > Paramètres pour vérifier les données REÇUES et ENVOYÉES du tunnel.

VPN > Paramètres VPN > Tunnels VPN actuellement actifs

Pour tester si un tunnel fonctionne, faites un ping depuis un ordinateur sur un site vers un ordinateur sur l'autre site. Assurez-vous que les deux ordinateurs ont accès à Internet.

PC derrière ZyWALL/USG > Windows 7 > cmd > ping 10.1.0.33

PC derrière MS Azure > Windows 7 > cmd > ping 192.77.1.33

Articles dans cette section

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 0
Partager

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.