Procédure d’installation d’un VPN Azure Site à Site

Je change un peu aujourd’hui, voici un petit devoir de vacances Smile

Je travaille beaucoup sur les scénarios de mobilité et même si on peut faire beaucoup avec du cloud only, il est intéressant de pouvoir lier un environnement « On Premise » avec le cloud.

Il y a beaucoup de procédure sur Internet cependant rien lorsque que l’on souhaite monter ce type d’environnement derrière un NAT.

Je ne suis pas expert réseau mais voici la procédure que j’ai effectuée pour mettre en place mon environnement de Test / démo.

Dans mon scénario, je n’ai pas eu besoin de modifier les règles de mon modem/Routeur de mon FAI.

Mon environnement comporte un serveur Hyper-V contenant mes machines virtuelles Windows 8, Windows 10 ainsi qu’un tenant Azure.

Mes 2 principales VM sont un serveur RRAS sous Windows 2012R2 et un contrôleur de domaine, tous des deux connectés avec Azure via une connexion Site à Site.

Voici mon architecture

image

Le but de ce post n’est pas de décrire la mise en place de machines virtuelles dans Azure ni de l’installation d’un DC. Nous considérons donc que votre réseau Azure, réseau Hyper-V ainsi que VM sont déjà installés et configurés.

 

Créer et configurer le réseau Azure

Aller dans votre portail Azure

Choisir « Network »

clip_image004

Puis sélectionner « New » « Add Local Network”

clip_image006

Saisir le nom que vous souhaitez indiquer ainsi que votre IP publique. Attention, vous ne pourrez pas monter le VPN si votre IP publique change. Il faudra alors simplement la mettre à jour l’IP.

Cela doit pouvoir s’automatiser via PowerShell.

clip_image008

Spécifier la plage IP utilisée par le routeur FAI ainsi que celles utilisées par vos VM qui seront hébergées sur Hyper-V. Cela permettra la configuration de la table de routage

clip_image010

Sélectionner le réseau utilisé par vos VM Azure et sélectionner « Configure »

clip_image012

Cocher « Connect to the local network” dans “Site to Site connectivity” et saisir le réseau local précédemment créé

clip_image014

Ajouter une « Gateway »

clip_image016

Enfin, créer un « Dynamic Routing », ce processus peut prendre plusieurs dizaines de minutes !

clip_image018

 

Sur le serveur RRAS

Installer le Rôle RRAS

clip_image020

Choisir « RAS » ainsi que « Routing »

clip_image022

Puis finir l’installation, laisser les paramètres par défaut.

Lancer la console RRAS et exécuter « Configure and Enable Routing and Remote Access »

clip_image024

Choisir NAT pour permettre à vos machines virtuelles de se connecter à internet

clip_image026

Puis sélectionner la carte virtuelle connectée à votre routeur

clip_image028

Nous allons maintenant configurer le RRAS pour le VPN.

Une fois le wizard précédent terminé, il faut aller dans les propriétés du serveur puis sélectionner « Lan and demand-dial routing »

clip_image030

Il faut créer la connexion VPN, sélectionner «New Demand-Dial Interface »

clip_image031

Donner « Azure » comme nom (Ou le nom de votre choix)

clip_image033

Sélectionner VPN

clip_image035

Sélectionner IKEv2

clip_image037

Sur le portail, récupérer l’adresse IP affichée

clip_image039

Puis saisir l’adresse en destination

clip_image041

Cocher route IP

clip_image043

Saisir la plage IP de votre réseau virtuel. (Pour permettre le routage de votre réseau OnPrem vers le VPN d’Azure)

clip_image045

Nous n’utiliserons pas l’authentification Windows, mettre « Azure » comme User Name

clip_image047

Une fois la connexion créée, modifier les paramètres

clip_image048

Sur le portail, afficher votre « Manage Shared Key »

clip_image050clip_image052

Dans l’onglet « Security », saisir votre « Manage Shared Key”

clip_image053

Vous pouvez maintenant monter le VPN et tester la connexion entre vos VM Azure et On Prem.

Son status doit maintenant être « Connected » sur le serveur RRAS

clip_image055

Dans le portail Azure, le réseau virtuel doit apparaitre connectée.

clip_image057

Si vous ne souhaitez pas que le VPN monte « On-demand » (uniquement à partir du On-Prem dans notre scénario),  il faut changer les propriétés de la connexion en « Persistent Connection »

clip_image058

Attention, comme nous n’avons pas modifié les paramètres de notre Router FAI, la connexion du VPN doit être initiée par votre serveur RRAS.

Pour permettre à Azure de monter le VPN, il faut que votre serveur RRAS soit accessible de l’extérieur. Ce n’est pas le cas pour notre scénario mais vous pouvez utiliser la fonction “DMZ” de votre routeur afin de publier le serveur RRAS si vous le souhaitez.

Pour rappel, cette procédure n’est faite que pour créer des environnements de test et démo. En aucun cas cette procédure n’est faite pour des environnement de production

Si vous aimez ces astuces, n’hésitez pas à me suivre sur twitter @VinsonAlexandre

Références :

Point-to-Site VPN in Azure Virtual Networks Point-to-Site VPN in Azure Virtual Networks

Connect an On-premises Network to Azure via Site to Site VPN

Site-to-Site VPN in Azure Virtual Network using Windows Server 2012R2

Step-By-Step: Create a Site-to-Site VPN between your network and Azure