Simuler une connectivité réseau distante à l’aide de Azure VNG

Aperçu

Les organisations peuvent souhaiter étendre les fonctionnalités de Accès Internet Microsoft Entra à des réseaux entiers, pas seulement à des appareils individuels. Ils peuvent installer le client Global Secure Access sur ces appareils. Cet article explique comment étendre ces fonctionnalités à un réseau virtuel Azure hébergé dans le cloud. Vous pouvez appliquer des principes similaires à l’équipement réseau local d’un client.

Prérequis

Pour effectuer les étapes de ce processus, vous avez besoin des conditions préalables suivantes :

• Un abonnement Azure et l’autorisation de créer des ressources dans le portail Azure.
• Compréhension des principes de base des connexions VPN de site à site.
• Un client Microsoft Entra qui a le rôle Global Secure Access Administrator assigné.

Composants du réseau virtuel

Lorsque vous générez cette fonctionnalité dans Azure, votre organisation peut mieux comprendre comment Accès Internet Microsoft Entra fonctionne dans une implémentation plus large. Les ressources que vous créez dans Azure correspondent aux concepts locaux de la manière suivante :

Dans cet article, utilisez les valeurs par défaut suivantes. Vous pouvez modifier ces paramètres pour répondre à vos propres besoins.

• Subscription : Visual Studio Enterprise
• Nom du groupe de ressources : Network_Simulation
• Région : USA Est

Étapes de haut niveau

Effectuez les étapes permettant de simuler la connectivité réseau distante avec des réseaux virtuels Azure dans le portail Azure et le centre d’administration Microsoft Entra. Il peut être utile d’ouvrir plusieurs onglets pour pouvoir basculer facilement entre eux.

Avant de créer vos ressources virtuelles, vous avez besoin d’un groupe de ressources et d’un réseau virtuel pour les sections suivantes. Si vous disposez déjà d’un groupe de ressources de test et d’un réseau virtuel configurés, vous pouvez commencer à l’étape 3.

1. Créer un groupe de ressources (portail Azure)
2. Créer un réseau virtuel (portail Azure)
3. Créer une passerelle de réseau virtuel (portail Azure)
4. Créer un réseau distant avec des liens d’appareil (centre d’administration Microsoft Entra)
5. Créer la passerelle de réseau local (portail Azure)
6. Créer une connexion VPN de site à site (S2S) (portail Azure)
7. Vérifier la connectivité (les deux)

Créer un groupe de ressources

Créez un groupe de ressources qui contiendra toutes les ressources nécessaires.

1. Connectez-vous au portail Azure avec l’autorisation de créer des ressources.
2. Accédez à Groupes de ressources.
3. Sélectionnez Créer.
4. Sélectionnez votre abonnement et votre région, puis entrez un nom pour votre groupe de ressources.
5. Sélectionnez Revoir + créer.
6. Confirmez vos détails, puis sélectionnez Créer.

Créez un réseau virtuel

Créez un réseau virtuel à l’intérieur de votre nouveau groupe de ressources.

1. À partir du portail Azure, accédez à Réseaux virtuels.
2. Sélectionnez Créer.
3. Sélectionnez le Groupe de ressources que vous venez de créer.
4. Entrez le nom du réseau virtuel de votre réseau.
5. Conservez les valeurs par défaut des autres champs.
6. Sélectionnez Revoir + créer.
7. Sélectionnez Créer.

Créer une passerelle de réseau virtuel

Créez une passerelle de réseau virtuel à l’intérieur de votre nouveau groupe de ressources.

1. À partir du portail Azure, accédez à Passerelles réseau virtuelles.

2. Sélectionnez Créer.

3. Entrez un nom pour votre passerelle de réseau virtuel et sélectionnez la région appropriée.

4. Sélectionnez votre réseau virtuel.

   

5. Créez une adresse IP publique et entrez un nom descriptif.

   • FACULTATIF : Si vous souhaitez un tunnel IPsec secondaire, sous la section SECOND PUBLIC IP ADDRESS , créez une autre adresse IP publique et entrez un nom. Si vous créez un second tunnel IPsec, vous devez créer deux liens d’appareil à l’étape Créer un réseau distant.
   • Définissez Activer le mode actif/actif sur Désactivé si vous n’avez pas besoin d’une deuxième adresse IP publique.
   • L’exemple de cet article utilise un unique tunnel IPsec.

6. Sélectionnez une Zone de disponibilité.

7. Définissez Configurer BGP sur Activé.

8. Définissez le Numéro de système autonome (ASN) sur une valeur appropriée. Reportez-vous à la liste de valeurs ASN valides pour les valeurs réservées que vous ne pouvez pas utiliser.

   

9. Laissez tous les autres paramètres comme valeurs par défaut ou vides.

10. Sélectionnez Revoir + créer. Confirmez vos paramètres.

11. Sélectionnez Créer.

Pour afficher ces adresses IP, accédez à la page Configuration de votre passerelle de réseau virtuel après son déploiement.

Créer un réseau distant

Vous créez un réseau distant dans le centre d’administration Microsoft Entra. Entrez les informations dans deux ensembles d’onglets.

Les étapes suivantes fournissent les informations de base nécessaires pour créer un réseau distant avec Accès global sécurisé. Deux articles distincts couvrent ce processus plus en détail. Pour éviter toute confusion, consultez les articles suivants :

• Guide pratique pour créer un réseau distant
• Comment gérer les liens d'appareils réseau à distance

Redondance de zone

Avant de créer votre réseau distant pour l’accès sécurisé global, passez en revue les deux options relatives à la redondance. Vous pouvez créer des réseaux distants avec ou sans redondance. Ajoutez la redondance de deux façons :

• Choisissez Redondance de zone lors de la création de lien d’appareil dans le « centre d'administration Microsoft Entra ».
  • Dans ce scénario, vous créez une autre passerelle dans une autre zone de disponibilité dans la même région de centre de données que celle que vous avez choisie lors de la création de votre réseau distant.
  • Dans ce scénario, vous avez besoin d’une seule adresse IP publique sur votre passerelle de réseau virtuel.
  • Deux tunnels IPSec sont créés à partir de la même adresse IP publique de votre routeur vers différentes passerelles Microsoft dans différentes zones de disponibilité.
• Créez une adresse IP publique secondaire dans le portail Azure et créez deux liens d’appareil avec des adresses IP publiques différentes dans le centre d’administration Microsoft Entra.
  • Vous pouvez choisir Pas de redondance lors de l’ajout de liens d’appareil à votre réseau distant dans le centre d'administration Microsoft Entra.
  • Dans ce scénario, vous avez besoin d’adresses IP publiques primaires et secondaires sur votre passerelle de réseau virtuel.

Créer le réseau distant et ajouter des liens d’appareil

Pour cet article, choisissez le chemin de redondance de zone.

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur Global Secure Access Administrator.
2. Accédez à Accès global sécurisé>Se connecter>Réseaux distants.
3. Sélectionnez Créer un réseau distant et fournissez les détails suivants sous l’onglet Informations de base :
   • Nom
   • Région

4. Sur l’onglet Connectivité, sélectionnez Ajouter un lien.

5. Sous l’onglet Ajouter un lien – Général, entrez les détails suivants :

   • Nom du lien : nom de l’équipement local du client (CPE, Customer Premises Equipment).
   • Type de périphérique : choisissez une option d’appareil à partir de la liste déroulante.
   • Adresse IP de l’appareil : adresse IP publique de votre appareil CPE (équipement local client).
   • Adresse BGP de l’appareil : entrez l’adresse IP BGP de votre CPE.
     • Entrez cette adresse en tant qu’adresse IP BGP locale sur le CPE.
   • ASN de l’appareil :Indiquez le numéro de système autonome (ASN) du CPE.
     • Une connexion compatible BGP entre deux passerelles réseau nécessite qu’elles disposent d’ASN différents.
     • Pour obtenir plus d’informations, consultez la section ASN valides de l’article Configurations de réseau distant.
   • Redondance : sélectionnez Aucune redondance ou Redondance de zone pour votre tunnel IPSec.
   • Adresse BGP locale à redondance de zone : ce champ facultatif s’affiche uniquement lorsque vous sélectionnez la redondance de zone.
     • Saisissez une adresse IP BGP qui ne fait pas partie du réseau local où réside votre CPE et est différente de l’adresse BGP de l’appareil.
   • Capacité de bande passante (Mbits/s) : spécifiez la bande passante du tunnel. Les options disponibles sont 250, 500, 750 et 1 000 Mbits/s.
   • Adresse du BGP local : saisissez une adresse IP de BGP qui ne fait pas partie du réseau local dans lequel réside votre CPE.
     • Par exemple, si votre réseau local est 10.1.0.0/16, vous pouvez utiliser 10.2.0.4 comme adresse BGP locale.
     • Entrez cette adresse en tant qu’adresse IP BGP homologue sur votre CPE.
     • Consultez la liste de adresses BGP valides pour les valeurs réservées non utilisables.

   

6. Sous l’onglet Ajouter un lien - Détails , conservez les valeurs par défaut, sauf si vous avez effectué une sélection différente précédemment, puis sélectionnez Suivant.

7. Sous l’onglet Ajouter un lien - Sécurité , entrez la clé pré-partagée (PSK), puis sélectionnez Enregistrer. Vous revenez à l’ensemble d’onglets principal Créer un réseau distant.

8. Sous l’onglet Profils de trafic, sélectionnez le profil de transfert de trafic approprié.

9. Sélectionnez Vérifier + Créer.

10. Si tout semble correct, sélectionnez Créer un réseau distant.

Afficher la configuration de la connectivité

Après avoir créé un réseau distant et ajouté un lien d’appareil, vous pouvez afficher les détails de configuration dans le centre d’administration Microsoft Entra. Plusieurs détails de cette configuration vous seront nécessaires pour effectuer l’étape suivante.

1. Accédez à Accès global sécurisé>Se connecter>Réseaux distants.

2. Dans la dernière colonne à droite de la table, sélectionnez Afficher la configuration pour le réseau distant que vous avez créé. La configuration apparaît sous la forme d’un objet blob JSON.

3. Recherchez et enregistrez l'adresse IP publique de Microsoft endpoint, asn et bgpAddress à partir du volet qui s'ouvre.

   • Utilisez ces détails pour configurer votre connectivité à l’étape suivante.
   • Pour plus d’informations sur l’affichage de ces détails, consultez Configurer l’équipement local des clients.

   

Le diagramme suivant connecte les détails clés de ces détails de configuration à leur rôle de corrélation dans le réseau distant simulé. Une description textuelle du diagramme suit l’image.

Le centre du diagramme représente un groupe de ressources qui contient une machine virtuelle connectée à un réseau virtuel. Une passerelle de réseau virtuel se connecte ensuite à la passerelle de réseau local via une connexion VPN redondante de site à site.

Une capture d’écran des détails de connectivité comporte deux sections mises en surbrillance. La première section mise en surbrillance sous localConfigurations contient les détails de la passerelle d’accès sécurisé global, qui est votre passerelle de réseau local.

Passerelle de réseau local 1

• Adresse IP publiques/point de terminaison : 120.x.x.76
• ASN : 65476
• Adresse IP BGP/bgpAddress : 192.168.1.1

Passerelle de réseau local 2

• Adresse IP/point de terminaison publics: 4.x.x.193
• ASN : 65476
• Adresse IP BGP/bgpAddress : 192.168.1.2

La deuxième section mise en surbrillance sous peerConfiguration contient les détails de la passerelle de réseau virtuel, qui est votre équipement de routeur local.

Passerelle de réseau virtuel

• Adresse IP/point de terminaison publics : 20.x.x.1
• ASN : 65533
• Adresse IP BGP/bgpAddress : 10.1.1.1

Une autre légende pointe vers le réseau virtuel que vous avez créé dans votre groupe de ressources. L’espace d’adressage pour le réseau virtuel est 10.2.0.0/16. L’adresse BGP locale et l’adresse BGP d’homologue ne peuvent pas se trouver dans le même espace d’adressage.

Créer une passerelle de réseau local

Créez une passerelle de réseau local dans le portail Azure. Vous avez besoin de plusieurs détails de la configuration du réseau distant, notamment le point de terminaison de passerelle Microsoft, l’ASN et l’adresse BGP, pour effectuer cette étape.

Si vous sélectionnez Aucune redondance lorsque vous créez des liens d’appareil dans le centre d’administration Microsoft Entra, créez une passerelle de réseau local.

Si vous sélectionnez Redondance de zone, créez deux passerelles de réseau local. Vous avez deux ensembles de endpoint, asn, et bgpAddress dans localConfigurations pour les liens de l’appareil. Les détails View Configuration pour ce réseau distant dans le centre d’administration Microsoft Entra fournissent ces informations.

1. À partir du portail Azure, accédez à Passerelles de réseau local.

2. Sélectionnez Créer.

3. Sélectionnez votre groupe de ressources (par exemple, Network_Simulation).

4. Sélectionnez la région appropriée.

5. Attribuez un Nom à votre passerelle de réseau local.

6. Pour Endpoint, sélectionnez adresseIP, puis fournissez l’adresse IP endpoint à partir du centre d’administration Microsoft Entra.

7. Sélectionnez Suivant : Avancé.

8. Définissez l’option Configurer BGP sur Oui.

9. Entrez l’ASN (Autonomous system number) depuis la section localConfigurations des détails de Afficher la configuration.

   • Consultez la section Passerelle de réseau local du graphique dans la section Afficher la configuration de la connectivité.

10. Entrez l’adresse IP de l’homologue BGP depuis la section localConfigurations des détails de Afficher la configuration.

    

11. Sélectionnez Vérifier + créer et confirmez vos paramètres.

12. Sélectionnez Créer.

Si vous avez configuré la redondance de zone lors de la création de liens d’appareil (qui fournissent deux ensembles de points de terminaison de passerelle Microsoft), répétez ces étapes pour créer une deuxième passerelle de réseau local à l’aide du deuxième ensemble de valeurs d’adresse de point de terminaison, ASN et BGP.

Accédez aux configurations pour passer en revue les détails de votre passerelle de réseau local.

Créer une connexion VPN site à site (S2S)

Créez une connexion VPN de site à site dans le portail Azure. Si vous avez configuré la redondance de zone, créez deux connexions : une pour la passerelle primaire et une pour la base de données secondaire. Conservez tous les paramètres définis sur la valeur par défaut, sauf indication contraire.

1. À partir du portail Azure, accédez à Connections.
2. Sélectionnez Créer.
3. Sélectionnez votre groupe de ressources (par exemple, Network_Simulation).
4. Sous Type de connexion, sélectionnez Site à site (IPsec).
5. Entrez un nom pour la connexion, puis sélectionnez la région appropriée.
6. Sélectionnez Suivant : Paramètres.
7. Sélectionnez votre passerelle de réseau virtuel et votre passerelle de réseau local.
8. Entrez la même clé Shared key (PSK) que vous avez configurée pour le lien de l’appareil dans la configuration du réseau distant centre d’administration Microsoft Entra.
9. Cochez la case Activer BGP.
10. Sélectionnez Revoir + créer. Confirmez vos paramètres.
11. Sélectionnez Créer.

Répétez ces étapes pour créer une autre connexion avec la deuxième passerelle de réseau local.

Vérifier la connectivité

Pour vérifier la connectivité, vous devez simuler le flux du trafic. Une méthode consiste à créer une machine virtuelle pour lancer le trafic.

Simuler le trafic avec une machine virtuelle

Pour simuler le trafic et vérifier la connectivité, créez une machine virtuelle dans le réseau virtuel et lancez le trafic vers services Microsoft. Conservez la valeur par défaut de tous les paramètres, sauf indication contraire.

1. À partir du portail Azure, accédez à Machines virtuelles.
2. Sélectionnez Créer>une machine virtuelle Azure.
3. Sélectionnez votre groupe de ressources (par exemple, Network_Simulation).
4. Entrez un Nom de machine virtuelle.
5. Sélectionnez l’image que vous souhaitez utiliser. Pour cet exemple, sélectionnez Windows 11 Pro, version 22H2 - x64 Gen2.
6. Sélectionnez Exécuter avec le rabais Azure Spot pour ce test.
7. Entrez un Nom d’utilisateur et un Mot de passe pour votre machine virtuelle.
8. Vérifiez que vous disposez d’une licence Windows 10 ou 11 éligible avec des droits d’hébergement multilocataire en bas de la page.
9. Passez à l’onglet Réseau.
10. Sélectionnez votre réseau virtuel.
11. Accédez à l’onglet Gestion .
12. Cochez la case Login avec Microsoft Entra ID.
13. Sélectionnez Revoir + créer. Confirmez vos paramètres.
14. Sélectionnez Créer.

Vous pourriez choisir de verrouiller l’accès à distance au groupe de sécurité réseau à un réseau ou à une adresse IP spécifique.

Éviter le routage asymétrique lors de la connexion à des machines virtuelles dans des réseaux distants

Lorsque vous connectez une machine virtuelle Azure à un réseau distant d'accès sécurisé global, vous ne pouvez pas utiliser Bureau à distance protocole RDP (Bureau à distance Protocol as-is) pour vous connecter à la machine virtuelle à l'aide de son adresse IP publique. Si vous déconnectez le réseau distant, RDP fonctionne à nouveau. Le routage asymétrique provoque ce comportement et est attendu.

Voici pourquoi cela se produit : la machine virtuelle a une adresse IP publique. Par conséquent, le trafic RDP entrant (paquet SYN) de votre PC atteint directement la machine virtuelle. Toutefois, étant donné que Global Secure Access publie l’ensemble de la plage d’adresses Internet, le trafic de retour de la machine virtuelle (le SYN-ACK) est acheminé via le tunnel IPsec vers l’accès sécurisé global. L’accès sécurisé global reçoit une SYN-ACK pour une session sans SYN correspondant, de sorte qu’il supprime le paquet et la connexion échoue. Cette condition rend l’adresse IP publique de la machine virtuelle inutilisable pour les connexions entrantes.

Solutions de contournement

Pour éviter les problèmes de routage asymétrique avec les réseaux distants, utilisez l’une des solutions de contournement suivantes :

• Utiliser Azure Bastion

  Azure Bastion élimine le routage asymétrique pour les scénarios de gestion à distance tels que RDP. À l’aide de Bastion, votre PC se connecte au service Bastion via HTTPS et Bastion lance la session RDP sur la machine virtuelle à l’aide de son adresse IP privée. La machine virtuelle répond directement à Bastion au sein du réseau virtuel. Étant donné que les deux directions de la connexion restent à l’intérieur du réseau virtuel, le trafic ne passe jamais par la passerelle d’accès sécurisé global et le routage reste symétrique.

• Utiliser un VPN point à site (P2S) avec votre VNG

  Si vous configurez une passerelle de réseau virtuel (VNG) pour la connectivité point à site (P2S), votre appareil client reçoit une adresse IP privée du pool d’adresses VNG à l’aide du client VPN Azure client VPN. Tout le trafic vers la machine virtuelle transite par le tunnel VNG et retourne la même façon, en conservant le routage symétrique.

Vérifier l’état de la connectivité

Une fois que vous avez créé les réseaux et connexions distants, la connexion peut prendre quelques minutes. À partir du portail Azure, vous pouvez vérifier que le tunnel VPN est connecté et que le peering BGP réussit.

1. Dans le portail Azure, accédez à la passerelle réseau virtual vous avez créé et sélectionnez Connections.
2. Chacune des connexions affiche un état de connexion une fois la configuration appliquée et réussie.
3. Accédez à Homologues BGP sous la section Surveillance pour confirmer que l’homologation BGP a réussi. Recherchez les adresses homologues fournies par Microsoft. Une fois la configuration appliquée et réussie, l’état indique Connecté.

Vous pouvez utiliser la machine virtuelle que vous avez créée pour vérifier que le trafic transite vers services Microsoft. L’accès aux ressources dans SharePoint ou Exchange Online doit entraîner le trafic sur votre passerelle de réseau virtuel. Vous pouvez voir ce trafic en accédant aux métriques sur la passerelle de réseau virtuel ou en configurant la capture de paquets pour les passerelles VPN.

Étapes suivantes

• Tutorial : créer une connexion VPN de site à site dans le portail Azure