VPN - Configurer un VPN IPsec basé sur la route vers Azure (BGP via IKEv2/IPSec)

Vous avez d’autres questions ? Envoyer une demande

Cet article explique comment configurer une connexion multi-site Azure (passerelles VNet/Réseau virtuel) via un VPN IPsec site à site en utilisant un VPN basé sur la route et BGP via IKEv2 (séries USG FLEX / ATP / VPN).

Introduction

Ce type de connexion est une variation de la connexion site à site. Vous créez plus d'une connexion VPN depuis votre passerelle de réseau virtuel, généralement en connectant plusieurs sites sur site.
Lorsque vous travaillez avec plusieurs connexions, vous devez utiliser un type VPN basé sur la route (connu sous le nom de passerelle dynamique lors de l'utilisation des VNets classiques). Comme chaque réseau virtuel ne peut avoir qu'une seule passerelle VPN, toutes les connexions via la passerelle partagent la bande passante disponible. Ceci est souvent appelé une connexion "multi-site".

Avant de commencer

Avant de commencer la configuration, vérifiez que vous disposez des éléments suivants :

  1. -Vous avez un réseau virtuel Azure créé en utilisant le modèle de déploiement Resource Manager
  2. -La passerelle de réseau virtuel pour votre VNet est de type RouteBased. Si vous avez une passerelle VPN basée sur une politique, vous devez supprimer la passerelle de réseau virtuel et créer une nouvelle passerelle VPN de type RouteBased.
  3. -Aucune des plages d'adresses des sites de réseau local ne se chevauche pour aucun des VNets auxquels ce VNet est connecté.
  4. -Une adresse IPv4 publique externe pour chaque appareil ZyWALL. L'adresse IP ne peut pas être située derrière un NAT. C'est une exigence.

4xfl3chatw7o.png

 

1. Créer un réseau virtuel (VNet)

1.       Depuis un navigateur, accédez au portail Azure et connectez-vous avec votre compte Azure.

2.       Cliquez sur Créer une ressource. Dans le champ Rechercher dans la marketplace, tapez 'réseau virtuel'. Trouvez Réseau virtuel dans la liste retournée et cliquez pour ouvrir la page Réseau virtuel.

3.       Vers le bas de la page Réseau virtuel, dans la liste Sélectionner un modèle de déploiement, sélectionnez Resource Manager puis cliquez sur Créer. Cela ouvre la page 'Créer un réseau virtuel'.

ekpusf18udsr.png

2. Créer le sous-réseau de la passerelle

La passerelle de réseau virtuel utilise un sous-réseau spécifique appelé sous-réseau de passerelle. Il fait partie de l'espace d'adresses IP du réseau virtuel que vous spécifiez lors de la création de votre réseau virtuel. Il contient les adresses IP utilisées par les ressources et services de la passerelle de réseau virtuel.

1.       Dans le portail, accédez au réseau virtuel pour lequel vous souhaitez créer une passerelle de réseau virtuel.

2.       Dans la section Paramètres de la page de votre VNet, cliquez sur Sous-réseaux pour développer la page des sous-réseaux.

3.       Sur la page Sous-réseaux, cliquez sur +Sous-réseau de passerelle en haut pour ouvrir la page Ajouter un sous-réseau.

v7xc8ijlgk3w.png

 

4. Le Nom de votre sous-réseau est automatiquement rempli avec la valeur 'GatewaySubnet'. La valeur GatewaySubnet est requise pour qu'Azure reconnaisse le sous-réseau comme le sous-réseau de passerelle. Ajustez les valeurs Plage d'adresses auto-remplies pour correspondre à vos exigences de configuration.

18ykjeocboi9.png

5. Pour créer le sous-réseau, cliquez sur OK en bas de la page.

3. Créer la passerelle VPN

1. Sur le côté gauche de la page du portail, cliquez sur + et tapez 'Passerelle de réseau virtuel' dans la recherche. Dans les Résultats, localisez et cliquez sur Passerelle de réseau virtuel.

2. En bas de la page 'Passerelle de réseau virtuel', cliquez sur Créer. Cela ouvre la page Créer une passerelle de réseau virtuel.

3. Sur la page Créer une passerelle de réseau virtuel, spécifiez les valeurs pour votre passerelle de réseau virtuel.

w4ucdcjggbmx.png

· Nom : Vnet1GW

· Type de passerelle : VPN

· Type de VPN : sélectionnez le type VPN basé sur la route

· SKU : VpnGw1

BGP est pris en charge sur les SKU Azure VpnGw1, VpnGw2, VpnGw3, Standard et Haute performance.
Le SKU Basic n'est PAS pris en charge. Ici, vous devez sélectionner au moins VpnGw1.

· Réseau virtuel : Cliquez sur Réseau virtuel/Choisir un réseau virtuel pour ouvrir la page Choisir un réseau virtuel. Sélectionnez VNet1.

· Adresse IP publique : Ce paramètre spécifie l'objet adresse IP publique qui sera associé à la passerelle VPN.

- Laissez Créer nouveau sélectionné.

- Dans la zone de texte, tapez un Nom pour votre adresse IP publique. Pour cet exercice, utilisez VNet1GWIP.

· Cochez l'option Configurer ASN BGP et saisissez le numéro ASN. Azure réserve les ASN suivants pour les peering internes et externes :

        · ASN publics : 8074, 8075, 12076

        · ASN privés : 65515, 65517, 65518, 65519, 65520

· Emplacement : sélectionnez l'emplacement identique à celui de votre VNet

4. Cliquez sur Créer pour commencer la création de la passerelle VPN.

Après la création de la passerelle, sur le côté gauche de la page du portail, cliquez sur Toutes les ressources et cliquez sur la passerelle de réseau virtuel pour voir plus d'informations. L'adresse IP publique s'affichera sur le côté droit.

4. Obtenir l'adresse IP du pair BGP Azure

Vous devez obtenir l'adresse IP du pair BGP de cette passerelle VPN. Cette adresse est nécessaire pour configurer votre ZyWALL en tant que voisin BGP.

Ouvrez la page de configuration de votre passerelle VPN Azure pour l'obtenir.

34atj65u3n5c.png

5. Créer la passerelle de réseau local

La passerelle de réseau local fait généralement référence à votre site sur site. Vous donnez un nom au site par lequel Azure peut s'y référer, puis spécifiez l'adresse IP de l'appareil ZyWALL sur site avec lequel vous créerez une connexion.

1.       Dans le portail, cliquez sur +Créer une ressource.

2.       Dans la zone de recherche, tapez Passerelle de réseau local, puis appuyez sur Entrée pour rechercher. Cela retournera une liste de résultats. Cliquez sur Passerelle de réseau local, puis cliquez sur le bouton Créer pour ouvrir la page Créer une passerelle de réseau local.

3.       Sur la page Créer une passerelle de réseau local, spécifiez les valeurs pour votre passerelle de réseau local.

La partie la plus importante est la liste de l'espace d'adresses. Ici, l'adresse IP du pair BGP de votre ZyWALL, généralement l'adresse IP de l'interface de tunnel VTI. Dans cet exemple, c'est 10.1.254.1/32

Cochez Configurer les paramètres BGP et saisissez l'ASN BGP de votre ZyWALL.

Adresse IP du pair BGP : Saisissez l'adresse IP de votre interface VTI sur ZyWALL. Dans cet exemple, c'est 10.1.254.1

9rrd3x2slk8z.png

6. Créer la connexion VPN

1.       Accédez à la page de votre passerelle de réseau virtuel et ouvrez-la.

2.       Sur la page de VNet1GW, cliquez sur Connexions. En haut de la page Connexions, cliquez sur +Ajouter pour ouvrir la page Ajouter une connexion.

7uahk0fe9ssw.png

3.      Sur la page Ajouter une connexion, configurez les valeurs pour votre connexion. Sélectionnez Site à site (IPSec) comme type de connexion.

Saisissez la Clé partagée (PSK) que vous devez configurer avec la même valeur que la clé pré-partagée dans la page des paramètres de la passerelle VPN de votre ZyWALL.

Note : La clé pré-partagée doit comporter entre 8 et 32 caractères.

wcbrlvft8sb6.png

7. Activer BGP sur la connexion VPN Azure

1.       Accédez à la page de la connexion VPN Azure créée et ouvrez-la.

2.       Cliquez sur Configuration pour ouvrir la page de configuration.

3.       Activez BGP puis cliquez sur Enregistrer.

dkuhb32e00dr.png

Après avoir terminé la configuration VPN sur le portail Azure, vous pouvez ensuite configurer les paramètres VPN correspondants sur votre ZyWALL.

8. Créer la règle de passerelle VPN (Phase 1)

Sur l'interface Web de ZyWALL, allez dans CONFIGURATION > VPN > IPSec VPN > Passerelle VPN, cliquez sur Ajouter pour créer une règle de passerelle VPN.

Sur la page Ajouter une passerelle VPN, spécifiez les valeurs pour votre passerelle de réseau virtuel.

meodw6099556.png

·         Activer : cochez la case Activer pour activer cette règle

·         Nom : “Azure” comme nom de règle dans cet exemple

·         Version IKE : IKEv2

·         Adresse de la passerelle du pair : sélectionnez adresse statique et remplissez l'adresse IP publique de la passerelle de réseau virtuel Azure dans le champ Principal

·         Clé pré-partagée : saisissez la clé partagée (PSK) de la connexion VPN Azure

·         Durée de vie SA : 28800 secondes

·         Algorithme de chiffrement : conservez la valeur par défaut, AES128

·         Algorithme d'authentification : conservez la valeur par défaut, SHA1

·         Groupe de clés : conservez la valeur par défaut, DH2

9. Créer la règle de connexion VPN (Phase 2)

Sur l'interface Web de ZyWALL, allez dans CONFIGURATION > VPN > IPSec VPN > Connexion VPN, cliquez sur Ajouter pour créer une règle de connexion VPN.

Sur la page Ajouter une connexion VPN, spécifiez les valeurs pour votre passerelle de réseau virtuel.

na4xvbix64cn.png

·         Activer : cochez la case Activer pour activer cette règle

·         Nom : “Azure” comme nom de règle dans cet exemple

·         MSS TCP : 1379 octets

·         Scénario d'application : sélectionnez Interface de tunnel VPN pour VPN basé sur la route

·         Passerelle VPN : sélectionnez “Azure.”

·         Durée de vie SA : 3600 secondes

·         Algorithme de chiffrement : sélectionnez AES256

·         Algorithme d'authentification : conservez la valeur par défaut, SHA1

·         PFS : sélectionnez aucun

Note : L'algorithme de chiffrement de la Phase 2 doit être sélectionné comme AES256 uniquement pour une compatibilité complète avec la passerelle VPN Azure.

10. Créer une interface VTI

Sur l'interface Web de ZyWALL, allez dans CONFIGURATION > Réseau > Interface > VTI, cliquez sur Ajouter pour créer une interface VTI

d68jwzldb683.png

·         Nom de l'interface : vti0

·         Zone : IPSec_VPN

·         règle-vpn : Azure

·         Adresse IP : 10.1.245.1

·         Masque de sous-réseau : 255.255.255.252

11. Créer des routes statiques pour le pair BGP

Sur l'interface Web de ZyWALL, allez dans CONFIGURATION > Réseau > Routage > Route statique.

Ajoutez une route vers le sous-réseau de passerelle d'Azure, dans cet exemple c'est 10.0.0.0/29

C'est la route pour la connexion TCP du BGP vers l'adresse IP du pair BGP Azure.

pr2fdpor8vdo.png

12. Configurer BGP

Sur l'interface Web de ZyWALL, allez dans CONFIGURATION > Réseau > Routage > BGP

1. Saisissez l'ASN BGP de ce site

2. Saisissez l'ID du routeur de ce ZyWALL. Habituellement, ce sera l'adresse IP de l'interface LAN de votre ZyWALL.

fj8ablursxea.png

3. Ajoutez le pair BGP Azure en tant que voisin. Saisissez l'adresse IP du pair BGP Azure. Saisissez l'ASN BGP de Azure VNet. Activez eBGP Multihop.

Sélectionnez l'interface VTI comme source des paquets BGP envoyés entre pairs.

hdqb7kd1ioi9.png

4. Ajoutez les entrées de routeur que vous souhaitez annoncer au pair BGP Azure

2e5a5iv1vcs0.png

Articles dans cette section

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 0
Partager

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.