Connexion VPN site-à-site entre Windows Azure et Windows Server 2008 R2

Envoyer

Sommaire

 

 

Introduction

Microsoft a introduit la fonctionnalité permettant de connecter de manière sécurisée votre infrastructure locale dite « On Premise » et vos machines virtuelles hébergées sur Windows Azure.

Nous allons donc voir au sein de cet article comment créer ce canal sécurisé à l’aide de Windows Server 2008 R2.

 

 

Les prérequis

La connexion sécurisée est établie tout simplement avec un tunnel IPSEC entre votre site physique et Windows Azure. Toutefois, Afin de pouvoir établir ce lien, votre équipement VPN doit nécessairement :

  • Disposer obligatoirement d’une adresse IP publique sur son interface externe
  • Supporter IKEv1
  • Etablir une association de sécurité en mode tunnel
  • Supporter le NAT Transversal (NAT-T)
  • Supporter la fonction d’encryption AES 128-bit, la fonction de hachage SHA-1 et l’échange de clés Diffie-Hellman Groupe 2
  • Assurer la fragmentation des paquets avant l’encapsulation des en-têtes VPN

 

Il se trouve que les prérequis sont respectés avec Windows 2008 R2 et donc nous pouvons l’utiliser pour établir le lien VPN. Mais, et cela peut paraître surprenant, Microsoft ne supporte pas l’établissement d’un lien VPN entre Windows Azure et Windows Server 2008. En réalité, seuls certains équipements CISCO et JUNIPER le sont mais cette limitation est surtout la conséquence des énormes efforts à fournir par Microsoft pour supporter un trop grand nombre d’équipements.

Windows 2008 R2 n’est donc pas supporté mais cela fonctionne…

Pour plus de détails sur les équipements supportés et sur les prérequis, vous pouvez consulter l’article MSDN « About VPN Devices for Virtual NetWork » relatif à ce sujet.

 

 

Topologie de notre maquette

Afin de vous aider dans la création de votre propre tunnel IPSEC, vous pouvez vous appuyer sur le schéma ci-dessous.

 

 

L’infrastructure « On-Premise » représente votre infrastructure locale. Le lien VPN sur ce site est géré par la machine AAR-RRAS, équipée de Windows Server 2008 R2 et disposant de deux interfaces réseaux.  La première interface permet de disposer d’une adresse IP publique (obligatoire). La deuxième interface est connectée au réseau local (192.168.150.0/24) pour router les requêtes du réseau de l’infrastructure locale vers le site distante Windows Azure et vice versa.

Du côté de Windows Azure, une passerelle est créée automatiquement sur demande avec une adresse IP publique sur une première interface réseau. La deuxième interface est liée au réseau privé virtuel (192.168.50.0/25) pour permettre les échanges avec le réseau « On-Premise ».

 

 

 

Création de la passerelle sur Azure

La création de la passerelle sur Azure ce fait sur un réseau privé virtuel. Il faut donc en créer un au préalable.

Depuis le portail de gestion Windows Azure, nous sélectionnons  « RESEAUX » depuis le menu et « Créer un réseau virtuel ».


 

 

 

 

 

 

 

L’assistant de création d’un nouveau réseau privé virtuel débute par vous demander un nom et un groupe d’affinités auquel l’associer.

 

 

 

 

 

 

Ensuite il va falloir associer un espace d’adresses et un ou plusieurs sous-réseaux. Faites attention au fait que la passerelle Windows Azure nécessite d’être hébergé sur un sous-réseau spécifique mais dans le même espace d’adresses. Dans notre exemple, notre espace d’adresses est « 192.168.50.0/24 », notre sous-réseau sera « 192.168.50.0/25 » et le sous-réseau de notre passerelle sera « 192.168.50.128/25 ».

 

 

 

 

 

 

L’étape suivante consiste à préciser les serveurs DNS à utiliser par vos machines virtuelles situées sur ce réseau privé virtuel. Cela peut-être un de vos serveurs DNS hébergés sur votre site physique, un serveur DNS publique… Ensuite, cochez la case « Configurez une connexion au réseau local », spécifiez l’adresse du sous-réseau pour votre passerelle et laissez par défaut « Spécifier un nouveau réseau local ».

 

 

 

 

 

 

La dernière étape consiste à renseigner les informations spécifiques de votre site physique et plus précisément l’adresse du sous-réseau et l’adresse IP publique.

 

 

 

 

 

 

 

Notre réseau privé virtuel désormais créé, nous allons nous diriger vers le tableau de bord de notre nouveau réseau. Nous avons d’ailleurs un message nous prévenant qu’aucune passerelle n’a été créée pour l’instant. Cliquez sur l’icône « Créer une passerelle » sur la barre d’outils situé tout en bas du portail. Après une demande de confirmation et quelques petites minutes d’attente, votre nouvelle passerelle est créée et vous disposez d’une adresse IP publique.

 

 

 

 

 

 

 

 

La toute dernière étape consiste a récupéré la clé pré-partagée pour établir le tunnel IPSEC avec votre serveur RRAS. Pour cela, sélectionnez « Gérer la clé » sur la barre d’outils situé tout en bas du portail.

 

 

 

 

 

 

 

 


Configuration du serveur Windows : Routage

Avant de débuter la configuration de votre serveur Windows, il est nécessaire d’installer un hotfix pour le support du NAT-Tranversal (NAT-T) sur Windows Server 2008 R2. Il est disponible depuis le lien : http://support.microsoft.com/kb/2523881

Le hotfix installé, nous pouvons configurer notre serveur. Il faut dans un premier temps installer le service de routage et d’accès distant sur le serveur. Pour cela, ouvrez la console « Gestionnaire de serveur » et cliquez sur « Ajouter des rôles ».

 

 

 

 

 


L’assistant « Ajout de rôles » se lance. Sélectionnez le rôle « Services de stratégie et d’accès réseau ».

 

 

 

 

 

 

 

Installez uniquement le services de rôle « Services Routage et accès distant ». L’assistant se termine.

 

 

 

 

 

 

 

Une fois le rôle installé, il faut activer le routage. Pour cela, nous allons commencer par ouvrir la console « Routage et accès distant » en exécutant la commande « rssamgmt.msc » depuis « Démarrer » | « Exécuter »

 

 

 

 

 

Depuis la console, réalisez un clic droit sur votre serveur et choisissez l’option « Configurer et active le routage et l’accès à distance ».

 

 

 

 

 

 


L’assistant démarre. Sélectionnez « Configuration personnalisée » et activez uniquement « Routage Réseau ». Démarrez le service et fermez l’assistant.

 

 

 

 

 

 

 

 

 

Configuration du serveur Windows : Tunnel IPSEC

Nous allons créer notre tunnel IPSEC en passant par la console « Pare-feu Windows avec fonctions avancés de sécurité ». Depuis « Démarrer » | « Exécuter », lancez « wf.msc ».

 

 

 

 


Faites un clic droit sur « Règles de sécurité de connexion » et sélectionnez « Nouvelle règle… ».

 

 

 

 

 

 


A la première étape, choisissez « Tunnel » et à l’étape suivante « Configuration personnalisée ».

 

 

 

 

 

 

 

Concernant les conditions requises d’authentification, choisissez « Exiger l’authentification pour les connexions entrantes et sortantes ».

 

 

 

 

 

 


 

La partie la plus complexe est la configuration des points de terminaison du tunnel. Il faut préciser les deux sous-réseaux et les deux adresses IP publiques. Reportez-vous à l’imprime-écran ci-dessous. Faites surtout attention a bien préciser l’espace d’adresses pour la partie Windows Azure et pas uniquement le sous-réseau.

 

 

 

 

 


Pour la méthode d’authentification, nous allons  sélectionner « Avancée » puis cliquer sur le bouton « Personnaliser… ».

Dans le menu de personnalisation, cliquez sur « Ajouter » et entrez la clé pré-partagée récupérée lors de la création de passerelle Windows Azure.

 

 

 

 

 

 

 

 


Appliquez la règle sur tous les profils de connexion et enfin spécifiez un nom pour identifier votre nouvelle règle.

 

 

 

 

 

 

 

 

 

Valider le tunnel

Maintenant que le tunnel VPN est configuré des deux côtés, le lien doit être établi. Nous allons pour cela vérifier que sur notre serveur le tunnel est bien monté depuis la console « Pare-feu Windows avec fonctions avancées de sécurité ». Si votre tunnel est correctement configuré, vous devrez pouvoir le visualiser dans la partie « Mode principal » et « Mode rapide » depuis « Analyse » | « Associations de sécurité ».

 

 

 

 

 

 


Vous pouvez également vous rendre sur le tableau de bord de votre réseau privé virtuel depuis le portail Windows Azure afin de vérifier que le lien est bien monté.

 

 

 

 

 

 


Enfin, il est possible que tant que vous ne tentez pas de communiquer entre les machines de votre réseau local et les machines virtuelles Windows Azure, le tunnel ne se monte pas. De ce fait, un simple envoi d’une requête ping peut suffire à établir le lien VPN. Notez toutefois qu’il est inutile de lancer une requête ping depuis votre serveur VPN. Il ne sera pas capable de communiquer avec le réseau distant.

Si vous avez besoin de créer une machine virtuelle sur Windows Azure vous pouvez l'article « Créer une machine virtuelle depuis le portail Windows Azure ».

How to Find Active Directory Schema Update History by Using PowerShell

Mise à jour le Lundi, 21 Janvier 2013 11:42