Interface Virtuelle BOVPN pour Routage Dynamique vers Microsoft Azure

Vous pouvez configurer une connexion VPN entre votre Firebox et Microsoft Azure. Par exemple, vous pouvez configurer un VPN afin que les hôtes de votre réseau local puissent se connecter en toute sécurité aux ressources de votre réseau virtuel Azure. Pour les connexions VPN à Azure, nous vous recommandons de configurer une interface virtuelle BOVPN sur le Firebox plutôt qu'un BOVPN.

Vous pouvez configurer un routage statique ou dynamique. Cette rubrique traite du routage dynamique. Pour plus d'informations sur le routage statique, consultez Interface Virtuelle BOVPN de Routage Statique vers Microsoft Azure.

Dans cet exemple, nous montrons une configuration VPN avec :

  • Routage dynamique BGP. Azure prend en charge le protocole de routage dynamique BGP. OSPF n'est pas pris en charge.
  • Une interface physique externe de Firebox
  • Une interface virtuelle BOVPN de Firebox avec un enpoint de passerelle. Une interface virtuelle BOVPN configurée avec plusieurs endpoints de passerelle n'est pas prise en charge pour les connexions à Azure.
  • Une passerelle Azure

Pour configurer un routage dynamique avec BGP entre un Firebox et Microsoft Azure, vous devez comprendre Microsoft PowerShell, un outil de ligne de commande et un environnement de script.

Configurer Azure

Pour configurer votre réseau virtuel Azure :

  1. Connectez-vous au Portail de Gestion Azure à l'adresse https://portal.azure.com.
  2. Consultez la documentation Microsoft : Prise en main d'Azure et Documentation sur la Passerelle VPN Azure.

Dans notre exemple, nous utilisons les paramètres de réseau virtuel Microsoft Azure suivants :

  • Passerelle Distante — 203.0.113.2 (adresse IP de l'interface externe du Firebox) Azure ne prend pas en charge les connexions VPN aux Fireboxes situés derrière des périphériques NAT. Le Firebox doit avoir une adresse IP externe publique.
  • Passerelle Locale198.51.100.2 (l'adresse IP de l'interface externe sur la passerelle Azure)
  • ASN BGP10001 (l'ASN BGP ASN du Firebox)
    Vous devez utiliser Microsoft PowerShell pour configurer les paramètres BGP sur votre réseau virtuel Microsoft Azure. Pour plus d'informations sur PowerShell, consultez la documentation fournie par Microsoft.
  • Adresse IP virtuelle100.100.100.1 (l'adresse IP virtuelle du Firebox)
  • Type de VPN — Basé sur des stratégies
  • Clé partagée — La clé générée automatiquement par Azure. Azure ne prend en charge que la méthode d'authentification par clé pré-partagée pour les VPN site à site.

Pour la liste la plus récente des protocoles et algorithmes pris en charge par Microsoft pour les VPN, consultez À propos des périphériques VPN et des paramètres IPSec/IKE pour les connexions de passerelle VPN site-à-site sur le site Web de Microsoft.

Paramètres MTU

Pour les connexions VPN Azure, Microsoft requiert un MSS TCP maximum de 1 350 ou un MTU de 1 400. La passerelle VPN Azure abandonne les paquets dont la taille totale est supérieure à 1 400.

Si la passerelle VPN Azure abandonne des paquets de votre Firebox, nous recommandons les paramètres Firebox suivants :

  • Fireware v12.5 et versions ultérieures — Dans la configuration de l'interface virtuelle BOVPN, spécifiez une MTU de 1 400. Pour plus d'informations sur le paramètre MTU, consultez Configurer une Valeur Maximum Transmission Unit (MTU).
  • Fireware v12.4.1 et versions antérieures — Dans la configuration de l'interface physique, spécifiez une MTU de 1 400.

Vous pouvez également définir la valeur globale MSS TCP à 1 350. Cependant, nous ne recommandons pas cette option car ce paramètre affecte les autres interfaces Firebox et s'applique uniquement au trafic TCP. Par exemple, ce paramètre ne s'applique pas au trafic RDP dans la plupart des cas, car le RDP utilise généralement l'UDP. Si vous utilisez le RDP pour accéder à des serveurs hébergés sur Azure, Azure abandonnera les paquets supérieurs à 1 400 octets même si vous spécifiez la valeur MSS TCP recommandée. Pour plus d'informations sur le paramètre MSS TCP, consultez Définir les Paramètres Généraux de Firebox.

Configurer le Firebox

Pour cet exemple, le Firebox possède une interface externe et un réseau approuvé.

Azure ne prend pas en charge les connexions VPN aux Fireboxes situés derrière des périphériques NAT. Le Firebox doit avoir une adresse IP externe publique.

Interface Type Nom Adresse IP
0 Externe Externe 203.0.113.2/24
1 Approuvé Approuvé 10.0.1.1/24

Pour configurer le Firebox, vous devez configurer :

  1. Sélectionnez VPN > Interfaces Virtuelles BOVPN.
    La page des Interfaces Virtuelles BOVPN s'affiche.
  2. Cliquez sur Ajouter.
  3. Dans la zone de texte Nom de l'Interface, entrez un nom pour identifier cette passerelle.
  4. Dans la liste déroulante Type d'Endpoint Distant, sélectionnez VPN en Nuage ou Passerelle Tierce.
  5. Dans la zone de texte Utiliser une clé pré-partagée, collez la clé partagée générée automatiquement que vous avez copiée sur le Portail de Gestion Azure.
    Pour les VPN site-à-site, Azure prend uniquement en charge la méthode d'authentification par clé pré-partagée.
  6. Dans la section Endpoints de Passerelle, cliquez sur Ajouter.
    La boîte de dialogue Paramètres des Endpoints de Passerelle apparaît.
  7. Sélectionnez l'onglet Passerelle Locale.
  8. Dans la liste déroulante Physique, sélectionnez une interface externe.
  9. Dans la liste déroulante Adresse IP de l'Interface, sélectionnez Adresse IPv4 d'Interface Principale.
  10. Dans la zone de texte Par Adresse IP, entrez l'adresse IP externe de votre Firebox. Dans notre exemple, nous utilisons 203.0.113.2.
  11. Sélectionnez l'onglet Passerelle Distante.
  12. Dans la zone de texte Adresse IP statique, saisissez l'adresse IP de la passerelle Azure. Dans notre exemple, nous utilisons 198.51.100.2.
  13. Dans la zone de texte Par Adresse IP, saisissez l'ID de passerelle de la passerelle Azure. Dans notre exemple, nous utilisons 198.51.100.2.

Capture d'écran de la nouvelle interface virtuelle BOVPN vers Azure

  1. Cliquez sur OK.
  1. Sélectionnez l'onglet Routes VPN.
  2. Dans la zone de texte Adresse IP Locale, saisissez l'adresse IP locale de la ressource Azure à laquelle vous vous connecterez. Dans notre exemple, nous utilisons 100.100.100.1.
  3. Dans la zone de texte Adresse IP ou masque de réseau de pair, saisissez l'adresse IP de l'interface virtuelle Azure, pas le masque de réseau. L'adresse IP de l'interface virtuelle Azure est définie par Azure. Dans notre exemple, nous utilisons 172.20.2.254.

Capture d'écran de la configuration de l'adresse IP virtuelle

  1. Sélectionnez l'onglet Paramètres de Phase 1.
  2. Dans la liste déroulante Version, sélectionnez IKEv2. Les routes VPN statiques entre votre Firebox et Azure nécessitent IKEv2.
  3. Dans la section Paramètres de transformation, sélectionnez la transformation par défaut.
  4. Cliquez sur Modifier.
  5. Dans la liste déroulante Authentification, conservez la valeur par défaut SHA2-256.
  6. Dans la liste déroulante Chiffrement, conservez la valeur par défaut AES (256 bits).
  7. Dans la zone de texte Durée de Vie de la SA, saisissez 8.
  8. Dans la liste déroulante Groupe de clés, sélectionnez Groupe Diffie-Hellman 2. Il s'agit du seul groupe pris en charge par Azure pour la phase 1.

Dans Fireware v12.0 et les versions ultérieures, le paramètre par défaut du Groupe de Clés est le groupe Diffie-Hellman14. Vous devez modifier ce paramètre au groupe Diffie-Hellman 2.

Capture d'écran des Paramètres de Phase 1

  1. Sélectionnez l'onglet Paramètres de phase 2.
  2. Sélectionnez Activer Perfect Forward Secrecy.
  3. Dans la liste déroulante Diffie-Hellman, sélectionnez le groupe 1, 2, 5, 14, 15, 19 ou 20. Le paramètre Firebox par défaut est le groupe 14.
  4. Dans la section Paramètres de Transformation, assurez-vous que les transformations ESP-AES256-SHA256 ou ESP-AES256-GCM apparaissent. Azure ne prend pas en charge l'AES128-GCM ni l'AES192-GCM. Pour ajouter une transformation, cliquez sur Ajouter.

Capture d'écran des Paramètres de Phase 1

  1. Cliquez sur OK.
  2. Cliquez sur Enregistrer.

Le Firebox ajoute automatiquement les stratégies BOVPN-Allow.out et BOVPN-Allow.in à votre configuration.

L'ASN BGP d'Azure et l'adresse IP virtuelle (appelée bgpPeeringAddress dans Azure) sont définies par Azure et ne peuvent pas être modifiées. Vous pouvez utiliser Microsoft PowerShell pour voir l'ASN BGP d'Azure et bgpPeeringAddress. La configuration du routage dynamique BGP du Firebox a ces commandes :

!
! L'ASN BGP local est 10001
!
router bgp 65534
!
! vers le VPC Azure
!
!
! L'ASN BGP d'Azure (distant) est 65515 et son adresse IP VIF (bgpPeeringAddress) est 172.20.2.254.
! Ces deux paramètres doivent être obtenus auprès d'Azure.
!
neighbor 172.16.255.2 remote-as 65535
neighbor 172.20.2.254 activate
neighbor 172.20.2.254 ebgp-multihop
!
! Pour annoncer les réseaux locaux
!
network 10.0.1.0/24

Capture d'écran des paramètres BGP

Les paramètres BGP configurés dans Policy Manager

Si vous configurez plusieurs réseaux approuvés sur votre Firebox, et que vous souhaitez qu'Azure apprenne la route d'un réseau approuvé supplémentaire, utilisez une commande réseau supplémentaire. Par exemple :

network 10.0.1.0/24

réseau 10.15.2.0/24

Tester la Connexion VPN

Pour tester la configuration, envoyez une requête ping à une ressource Azure locale depuis le réseau local situé derrière votre Firebox. Assurez-vous que votre Firebox et votre réseau virtuel Azure sont configurés pour autoriser le trafic ICMP.

Pour plus d'informations sur les paramètres de configuration Azure, consultez la documentation fournie par Microsoft.

Voir Également

Interface Virtuelle BOVPN de Routage Statique vers Microsoft Azure

Adresses IP d'Interface Virtuelle pour un VPN vers un Endpoint Tiers