Search This Blog

mercredi 8 juillet 2015

Azure Point-To-Site VPN - Partie 1


Bonjour à tous,

Nous allons voir aujourd’hui la mise en place d’une connexion VPN site à point sur Microsoft Azure J , cela bien entendu permet d’avoir une connexion sécurisée entre un poste de travail / serveur et un réseau virtuel sur Microsoft Azure.

Voici l'architecture que j'ai mis en place :


Nous allons configurer cette connexion VPN Site à Point en 3 parties :

  1. -          Configuration du réseau virtuel et de la passerelle
  2. -          Création de certificat 
  3. -          Et pour finir, la configuration VPN coté client 


     

Création du réseau virtuel:

Pour Commencer, veuillez-vous connecter au portail d’administration Microsoft Azure.

Une fois connecté, cliquez sur « NEW » en bas à droite, allez ensuite sur « Network Services » => « Virtual Network » ensuite « Custom Create » :



Veuillez mettre le Nom de votre réseau que vous souhaitez créer, ainsi que son emplacement :

Cliquez ensuite sur la flèche en bas à droite pour passer à la suite.

Vous pouvez mettre l’IP et le nom d’un serveur DNS, si vous n’en mettez pas, les requêtes seront résolues par les DNS d’Azure par défaut.

Attention, ici ce n’est pas une création DNS, mais juste les serveurs DNS qui seront utilisés pour ce réseau virtuel que je suis en train de créer « INFRA ».


Et bien sûr, cochez la case « Configure à point-to-site VPN », on peut également faire du site-to-site, mais ca sera dans un autre article.

Une fois terminée, cliquez sur la flèche en bas à droite pour passer à la suite.



Nous arrivons sur la partie réseau, il s’agit ici de spécifier le réseau ainsi la plage d’IP que les clients VPNs vont recevoir de manière automatique une fois connecté au VPN. (Attention à bien choisir cette partie afin d’éviter le chevauchement de plage déjà existante etc …. ) N’hésitez pas à voir avec la personne qui s’occupe du réseau afin d’avoir une plage etc ….


J’ai choisi ici un réseau classique : 192.168.2.0 /24 (255.255.255.0) pour ce test.



Vous pouvez également ajouter des sous-réseaux supplémentaires, mais ce n’est pas nécessaire pour la configuration de notre VPN.
Une fois terminée, cliquez sur la flèche en bas pour finaliser votre configuration.




Remarquez la création du réseau virtuel au nom de « INFRA » que je viens de créer :


Une fois le réseau virtuel créé proprement, il faut créer une « Gateway » de routage dynamique au niveau de ce réseau virtuel.

 Création de la Gateway:


Pour cela, il faut se rendre dans la partie « Network » et aller dans le réseau virtuel que nous venons de crée c’est-à-dire « INFRA »:


Et allez dans « DASHBOARD » :



Et en bas, cliquez sur « CREATE GATEWAY », confirmer ensuite par oui la création de la Gateway 


Et attendez environ 15 -20 minutes pour la création de celle-ci. (Vous pouvez voir en bas et en haut dans les cadres en rouge, la création de la Gateway… qui est en train de se dérouler)



Une fois crée, vous aurez la notification « en bas de l’écran » qui confirme la création de la Gateway  pour le réseau virtuel « INFRA » :


Remarquez ensuite au niveau de la partie client qu’il manque le certificat ROOT, donc ça sera la prochaine étape de cet article, la création et chargement du certificat root vers Azure.


 Création de certificats Root et client:


Pour commencer, je vais utiliser l’outil « MakeCert » qui permet de créer des certificats x.509 afin de sécuriser la connexion entre les clients et notre VPN Azure.

Je vais ici créer un certificat racine auto signé.

Pour cela, vous devez télécharger Windows SDK via le lien suivant :  https://msdn.microsoft.com/en-us/windows/desktop/bg162891.aspx

Une fois téléchargé et lancé, choisissez «  Windows Software Development Kit » comme ceci:



Une les fichiers téléchargés, ouvrez un CMD en tant qu’administrateur et allez dans l’emplacement que vous avez choisi pour le téléchargement comme ceci : (moi j’ai choisi F:\AIK\Bin\x64)


Et créez votre certificat auto-signé : je l’ai appelé « AzureNetwork »:

 makecert -sky exchange -r -n "CN= AzureNetwork " -pe -a sha1 -len 2048 -ss My " AzureNetwork.cer"

Une fois crée, aller dans votre dossier, moi c’est (F:\AIK\Bin\x64) et vous allez trouver le certificat que vous venez de créer :



Il faut maintenant le mettre dans Azure, pour cela allez dans la partie « Certificate »  et cliquez sur « Upload a Root Certificate » :



Et cliquez sur « Upload a Root Certificate » :


Ensuite veuillez parcourir votre Pc afin de trouver votre certificat (.cer)  comme ceci :


 Et choisissiez votre certificat « AzureNetwork.cer » :



Une le certificat chargé, cliquez en bas à droit pour valider et l’envoyer vers Azure.




Le certificat est en plein chargement comme le dit la notification ci-dessous :



 Attendez que ça soit vert comme ceci :


Vérification de l’opération: Vérifions que notre certificat racine est bien chargé dans notre réseau virtuel « INFRA ».

On voit bien mon certificat « AzureNetwork » :



Nous allons maintenant créer un certificat client, pour cela, il suffit de lancer la commande suivante :

makecert.exe -n "CN=ClientCertificate" -pe -sky exchange -m 96 -ss My -in "AzureNetwork" -is my -a sha1

Ici mon certificat client va faire référence au certificat racine que j’ai créé plu haut AzureNetwork.cer)


Voici la commande :



Cela va me créer le certificat « ClientCertificate » dans mon magasin de certificats personnel..

Recommandation Microsoft:  

Il est recommandé de créer un certificat client unique pour chaque ordinateur qui souhaite bien évidement se connecter au réseau virtuel via le VPN.

Vérification :


Lancer une MMC :


Cliquez ensuite sur « file » è « Add or Remove Snap-ins »  et choisir « Certificates »  et cliquez sur « ADD »:


Choisir ensuite « My user account » et cliquez sur « Finish » :


 Cliquez sur  ensuite sur « OK » :


Allez ensuite dans « Personal » - « Certificates » et vous allez trouver votre certificat client, je l’ai nommé «  ClientCertificate »  lors de la création, donc il est bien présent dans mon magasin:


Pour que les clients puissent se connecter au VPN, ils doivent avoir ce fameux certificat, donc sur chaque client il faut installer ce certificat.


Je vais désormais exporter mon certificat, pour cela cliquez droit sur le certificat que vous souhaitez exporter, dans mon cas ça sera le certificat client « ClientCertificate » cliquez ensuite sur « All Tasks » et « Export » :



Cliquez sur Next.



 Cliquez sur « yes, export the private key » : (Nous allons ici exporter le certificat client avec sa clé privé, donc on aura un fichier .pfx) et cliquez sur Next



Laissez les paramètres choisis par défaut, et cliquez sur Next


Protéger votre clé privé via un mot de passe et cliquez sur Next



 Choisir l’emplacement ou sera stocké votre certificat :



Remarquer l’extension du fichier, comme je l’ai précisé, c’est un .PFX car j’exporte ici le certificat avec sa clé privé.



Récap de vos actions, et cliquez sur « Finish » :


 L’export s’est bien passé :

Une fois exporté, il faut le copier sur les ordinateurs qui vont se connecter au VPN, et l’installer ; pour cela, cliquez droit sur le .PFX comme ceci  et cliquez sur « Install PFX » :



Lors de l’installation du certificat laisser de manière automatique la sélection du magasin de certificat en fonction du type de certificat :

Une fois installée vous devez avoir ceci :


Vérification de l’installation du certificat client : 



Doublez cliquez sur le certificat : On voit bien qu’il provient de mon certificat racine que j’ai crée plus haut « AzureNetwork »:



Faites cette opération sur tous les clients qui souhaitent se connecter au VPN.
Nous avons enfin fini avec les certificats, nous allons maintenant  nous occuper de la partie connexion au VPN.


@bientôt
Seyfallah Tagrerout
Microsoft MVP Hyper-V 

< >