Cration dun VPN IPsec

Site-to-Site avec Azure (v1.11)

Tutorial conu et rdig par Michel de CREVOISIER Fvrier 2015

SOURCES
Configuration du rseau sur Azure :
http://azure.microsoft.com/en-us/documentation/articles/virtual-networks-create-site-to-sitecross-premises-connectivity/
Configuration RRAS personnalise :
http://www.concurrency.com/infrastructure/site-to-azure-vpn-using-windows-server-2012-rras/
Configuration avec Pfsense :
https://knowledge.zomers.eu/pfsense/Pages/How-to-connect-an-Azure-cloud-to-pfSense-overIPSec.aspx

INDEX
SOURCES ................................................................................................................................................. 1
INDEX ...................................................................................................................................................... 2
Prambule ............................................................................................................................................... 2
1.

2.

Configuration du VPN sur Azure ........................................................................................................ 3

1.1

Rseau local .............................................................................................................................. 3

1.2

Rseau virtuel............................................................................................................................ 3

1.3

Cration de la passerelle ............................................................................................................ 5

Configuration du VPN On Premise ..................................................................................................... 6

2.1

Configuration des interfaces rseau ............................................................................................ 6

2.2

Configuration du serveur............................................................................................................ 6

3.

Configuration du pare-feu................................................................................................................. 7

4.

Connexion VPN mutuelle .................................................................................................................. 8

5.

4.1

Etablissement de la connexion.................................................................................................... 8

4.2

Visualiation de ltat de connexion ............................................................................................. 9

Optimisations ................................................................................................................................. 10

Prambule
Pour ce tuto, jutiliserai 2 serveurs membres du mme domaine ainsi que le service Azure pour
ltablissement dun VPN site-to-site :
SRV-AD: serveur Active Directory et DNS On Premise (installation non dtaille)
SRV-VPN : serveur Windows ddi pour la connexion VPN avec Azure (installation non
dtaille)
Lobjectif de cet article sera de connecter les deux rseaux afin de mettre en place un rplica de
contrleur de domaine dans le cloud.

1. Configuration du VPN sur Azure

1.1Rseau local
Pour commencer, crez un rseau local sur Azure. Pour cela, renseignez :
Le nom de votre rseau LAN On Premise .
LIP publique du site o se trouvera votre quipement VPN. Attention, celui-ci ne doit pas
tre derrire un NAT.

A ltape suivante, renseignez le plan dadressage de votre LAN On Premise :

1.2Rseau virtuel
1.2.1 Cration du rseau virtuel
Pour crer un rseau virtuel sur Azure, il est ncessaire de renseigner :
Le nom du rseau virtuel
Les IP de vos serveurs DNS
Le type de VPN souhait (en loccurrence site site )
Le rseau local utiliser (dfini au point 1.1)

1.2.2 Adressage du rseau virtuel

Dfinissez ensuite le plan dadressage du rseau et des sous-rseaux Azure. Notez quil sera
ncessaire de dfinir un sous rseau de passerelle pour le VPN :

1.3Cration de la passerelle
Votre rseau virtuel est dsormais cr. Il vous faut maintenant crer une passerelle :

Pour cela, cliquez sur Crer une passerelle et patientez entre 15 et 35 minutes pour sa cration.

Attention :
Windows Server 2012 / 2012 R2 ne supporte pas le routage statique.
Le routage dynamique est obligatoire pour des VPN de type multi site VPN , VNET to
VNET et Point site .
Une fois lassistant termin et la passerelle cre, il ne vous reste plus qu configurer votre
quipement VPN On Premise :

2. Configuration du VPN On Premise

Une fois la passerelle cre, il est ncessaire de configurer votre quipement VPN On Premise
afin quil puisse se connecter la passerelle VPN fournie par Azure. La liste des quipements
supports (Cisco, Juniper, F5, Palo Alto, ) est disponible ici. Dans notre cas, nous utiliserons un
serveur sous Windows Server 2012 R2.

2.1Configuration des interfaces rseau

Sur votre serveur Windows, configurez les deux interfaces rseau suivantes :
LAN : adressage sur votre rseau local
WAN : adresse publique ou redirige pointant directement sur le serveur. Pensez :
o Dsactiver lenregistrement DNS
o Dsactiver Client for Micosoft Networks et File and Printer sharing

2.2Configuration du serveur
Pour configurer intgralement le serveur VPN Windows avec le rle RRAS :
Tlchargez le script dauto configuration en accord avec votre solution VPN retenue :

Copiez le script sur votre serveur VPN Windows et renommez-le en .PS1

Excutez-le depuis une console administrateur et laisser le script configurer le serveur :

Note : lerreur apparue nest pas grave. Elle indique simplement que le service RRAS a mis plus
longtemps que prvu dmarrer.

3. Configuration du pare-feu
Pour acheminer le trafic vers votre serveur VPN, vous devrez rediriger les ports cidessous (source) selon ces deux contextes :
Votre

RRAS est situ derrire un pare-feu :

IP Protocol Type=UDP, UDP Port Number=500 <- Used by IKEv2 (IPSec control path)
IP Protocol Type=UDP, UDP Port Number=4500 <- Used by IKEv2 (IPSec control path)
IP Protocol Type=50 <- Used by IKEv2 (IPSec control path)

Votre

RRAS est directement connect internet :

IP Protocol Type=UDP, UDP Port Number=500 <- Used by IKEv2 (IPSec control path)
IP Protocol Type=UDP, UDP Port Number=4500 <- Used by IKEv2 (IPSec control path)
IP Protocol Type=UDP, UDP Port Number=1701 <- Used by L2TP control/data path
IP Protocol Type=50 <- Used by data path (ESP)

4. Connexion VPN mutuelle

4.1Etablissement de la connexion
Une fois la configuration du serveur VPN On Premise termine, vous pouvez lancer ltablissement
de la connexion VPN. Pour cela :
Sur Azure, cliquez sur Connecter et patientez jusqu que la connexion soit lance :

Remarque : le bouton Connecter apparatra gris sil sagit dune passerelle dynamique :

Aprs quoi, sur la console RRAS, clic droit sur linterface Demand-dial > Connect

Si tout a t correctement configur, le statut de linterface Demand-dial doit passer en Connected :

De la mme faon, le trafic de donnes entrantes et sortantes doit augmenter sur la console Azure :

4.2Visualiation de ltat de connexion

Pour vrifier que tout est oprationnel, vous pouvez consulter les statistiques au niveau de la console
RRAS dans lapart General :

Au niveau du pare-feu, vous pouvez galement visualiser les adresses et paramtres IPsec utiliss :

Note : la colonne Protocol indique lauthentification et le chiffrement retenu pour ltablissement

du tunnel IPsec. En loccurrence, 4 reprsente (source) :
Initiator : ESP 3_DES SHA
Responder : AH SHA1 with ESP AES_128 with null HMAC
Vous pouvez galement consulter les tables de routage sur votre serveur VPN :

5. Optimisations
Vous pouvez appliquer les optimisations suivantes afin de scuriser votre serveur :
Arrter le serveur IIS et le passer le mode de dmarrage du service en manuel (il nest pas
possible de le dsinstaller en raison de ses fortes dpendances avec RRAS)
Dsactiver toutes les rgles de pare entrant, sauf celles lies au Bureau Distance, au
partage rseau SMB et au ping :

Nhsitez pas menvoyer vos commentaires ou retours ladresse suivante :

m.decrevoisier A-R-0-B-A-5 outlook . com

Soyez-en dores et dj remerci

10