Configurer un client VPN pour point à site : RADIUS - Authentification par mot de passe
Pour vous connecter à un réseau virtuel de point à site, vous devez configurer l’appareil client à partir duquel vous allez vous connecter. Vous pouvez créer des connexions VPN de point à site à partir d’appareils clients Windows, macOS et Linux. Cet article vous aide à créer et installer la configuration du client VPN pour l’authentification par nom d’utilisateur/mot de passe RADIUS.
Lorsque vous utilisez l’authentification RADIUS, vous disposez de plusieurs instructions d’authentification : authentification par certificat, authentification par mot de passe, et bien d’autres méthode et protocoles d'authentification. La configuration du client VPN est différente pour chaque type d’authentification. Pour configurer un client VPN, vous utilisez les fichiers de configuration du client qui contiennent les paramètres requis.
Notes
À compter du 1er juillet 2018, la passerelle VPN Azure ne prendra plus en charge TLS 1.0 et 1.1. Elle prendra uniquement en charge TLS 1.2. Seules les connexions de point à site sont affectées ; les connexions site à site ne le sont pas. Si vous utilisez le protocole TLS pour les VPN de point à site sur des clients Windows 10 ou version ultérieure, aucune action n’est nécessaire. Si vous utilisez le protocole TLS pour les connexions de point à site sur des clients Windows 7 et Windows 8, consultez Questions fréquentes (FAQ) sur la passerelle VPN pour obtenir des instructions de mise à jour.
Workflow
Le flux de travail de configuration pour l’authentification RADIUS point à site est le suivant :
- Configurez la passerelle VPN Azure pour une connectivité P2S.
- Configurez votre serveur RADIUS pour l’authentification.
- Obtenez la configuration du client VPN pour l’option d’authentification de votre choix et utilisez-la pour installer le client VPN (cet article).
- Effectuez votre configuration P2S et connectez-vous.
Important
Si vous apportez des modifications à la configuration du VPN de point à site après avoir généré le profil de configuration du client VPN, comme le type de protocole ou d’authentification du VPN, vous devez générer et installer une nouvelle configuration du client VPN sur les appareils de vos utilisateurs.
Vous pouvez configurer l’authentification par nom d’utilisateur/mot de passe pour utiliser ou ne pas utiliser Active Directory. Dans ces deux scénarios, veillez à ce que tous les utilisateurs qui se connectent disposent d’informations d’identification (nom d’utilisateur et mot de passe) qui peuvent être authentifiées via RADIUS.
Lorsque vous configurez l’authentification par nom d’utilisateur/mot de passe, vous pouvez seulement créer une configuration pour le protocole d’authentification par nom d’utilisateur/mot de passe EAP-MSCHAPv2. Dans les commandes, -AuthenticationMethod
est EapMSChapv2
.
Générer les fichiers de configuration du client VPN
Vous pouvez générer des fichiers de configuration du client VPN à l’aide du portail Azure, ou en utilisant Azure PowerShell.
Portail Azure
- Accès à la passerelle de réseau virtuel.
- Cliquez sur Configuration de point à site.
- Cliquez sur Téléchargement du client VPN.
- Sélectionnez le client et remplissez les informations demandées.
- Cliquez sur Télécharger pour générer le fichier .zip.
- Le fichier .zip est téléchargé, généralement dans votre dossier Téléchargements.
Azure PowerShell
Générez les fichiers de configuration du client VPN à utiliser avec l’authentification par nom d’utilisateur/mot de passe. Vous pouvez générer les fichiers de configuration du client VPN à l’aide de la commande suivante :
New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapMSChapv2"
L’exécution de la commande renvoie un lien. Copiez et collez ce lien dans un navigateur web pour télécharger VpnClientConfiguration.zip. Décompressez le fichier pour afficher les dossiers suivants :
- WindowsAmd64 et WindowsX86 : Dans ces dossiers se trouvent respectivement les packages de programme d’installation pour Windows 64 bits et Windows 32 bits.
- Generic : les informations générales utilisées pour créer la configuration de votre client VPN se trouvent dans ce dossier. Vous n’avez pas besoin de ce dossier pour les configurations d’authentification par nom d’utilisateur/mot de passe.
- Mac : si vous avez configuré IKEv2 lors de la création de la passerelle du réseau virtuel, un dossier nommé Mac s’affiche, dans lequel se trouve un fichier mobileconfig. Vous utilisez ce fichier pour configurer les clients Mac.
Si vous avez déjà créé les fichiers de configuration du client, vous pouvez les récupérer à l’aide de la cmdlet Get-AzVpnClientConfiguration
. Toutefois, si vous apportez des modifications à votre configuration VPN de point à site, comme le type d’authentification ou de protocole VPN, elle ne se met pas à jour automatiquement. Vous devez exécuter la cmdlet New-AzVpnClientConfiguration
pour créer un téléchargement de configuration.
Pour récupérer les fichiers de configuration du client générés précédemment, exécutez la commande suivante :
Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW"
Client VPN Windows
Vous pouvez utiliser le même package de configuration du client VPN sur chaque ordinateur client Windows, tant que la version correspond à l’architecture du client. Pour obtenir la liste des systèmes d’exploitation clients pris en charge, consultez la FAQ sur la passerelle VPN.
Suivez les étapes suivantes pour configurer le client VPN Windows natif pour une authentification par certificat :
Sélectionnez les fichiers de configuration du client VPN qui correspondent à l’architecture de l’ordinateur Windows. Pour une architecture de processeur 64 bits, choisissez le package du programme d’installation VpnClientSetupAmd64. Pour une architecture de processeur 32 bits, choisissez le package du programme d’installation VpnClientSetupX86.
Double-cliquez pour installer le package. Si vous voyez une fenêtre contextuelle SmartScreen, sélectionnez More info (Plus d’informations)>Run anyway (Exécuter quand même).
Sur l’ordinateur client, accédez à Paramètres réseau, puis sélectionnez VPN. La connexion VPN indique le nom du réseau virtuel auquel elle se connecte.
Client VPN Mac (macOS)
Sélectionnez le fichier VpnClientSetup mobileconfig et envoyez-le à chaque utilisateur. Vous pouvez l’envoyer par e-mail, ou par n’importe quelle autre méthode.
Recherchez le fichier mobileconfig sur l’ordinateur Mac.
Étape facultative : si vous souhaitez spécifier un DNS personnalisé, ajoutez les lignes suivantes au fichier mobileconfig :
<key>DNS</key> <dict> <key>ServerAddresses</key> <array> <string>10.0.0.132</string> </array> <key>SupplementalMatchDomains</key> <array> <string>TestDomain.com</string> </array> </dict>
Double-cliquez sur le profil pour l’installer, et sélectionnez Continuer. Le nom du profil correspond à celui de votre réseau virtuel.
Sélectionnez Continuer pour faire confiance à l’expéditeur du profil et poursuivre l’installation.
Pendant l’installation du profil, vous pouvez spécifier le nom d’utilisateur et le mot de passe pour l’authentification VPN. Vous n’êtes pas obligé de renseigner ces informations. Si vous le faites, les informations sont enregistrées et utilisées automatiquement à la connexion. Sélectionnez Installer pour continuer.
Entrez un nom d’utilisateur et un mot de passe pour les privilèges requis pour installer le profil sur votre ordinateur. Cliquez sur OK.
Une fois le profil installé, il est visible dans la boîte de dialogue Profils. Vous pouvez également ouvrir cette boîte de dialogue à partir de Préférences système.
Pour accéder à la connexion VPN, ouvrez la boîte de dialogue Réseau à partir de Préférences système.
La connexion VPN apparaît en tant que IkeV2-VPN. Vous pouvez changer le nom en mettant à jour le fichier mobileconfig.
Sélectionnez Paramètres d’authentification. Sélectionnez Nom d’utilisateur dans la liste et entrez vos informations d’identification. Si vous avez entré les informations d’identification précédemment, alors Nom d’utilisateur est automatiquement sélectionné dans la liste et le nom d’utilisateur et le mot de passe sont déjà renseignés. Sélectionnez OK pour enregistrer les paramètres.
Dans la boîte de dialogue Réseau, sélectionnez Appliquer pour enregistrer les modifications. Pour lancer la connexion, sélectionnez Connecter.
Client VPN Linux - strongSwan
Les instructions suivantes ont été créées à l’aide de strongSwan 5.5.1 sur Ubuntu 17.0.4.
Ouvrez le Terminal pour installer strongSwan et son gestionnaire de réseau en exécutant la commande dans l’exemple. Si vous recevez une erreur liée à
libcharon-extra-plugins
, remplacez la valeur parstrongswan-plugin-eap-mschapv2
.Sélectionnez l’icône du Gestionnaire de réseau (flèche vers le haut/flèche vers le bas), puis sélectionnez Modifier les connexions.
Sélectionnez le bouton Ajouter pour créer une connexion.
Sélectionnez IPsec/IKEv2 (strongswan) dans le menu déroulant, puis sélectionnez Créer. Vous pouvez renommer votre connexion à cette étape.
Ouvrez le fichier VpnSettings.xml à partir du dossier générique des fichiers de configuration du client téléchargé. Recherchez la balise appelée
VpnServer
et copiez le nom, en commençant parazuregateway
et en terminant par.cloudapp.net
.Collez ce nom dans le champ Adresse de votre nouvelle connexion VPN sous la section Passerelle. Ensuite, sélectionnez l’icône du dossier à la fin du champ Certificat, accédez au dossier Générique, puis sélectionnez le fichier VpnServerRoot.
Dans la section Client de la connexion, sélectionnez EAP pour Authentification, puis entrez votre nom d’utilisateur et mot de passe. Vous devrez peut-être sélectionner l’icône du verrou à droite pour enregistrer ces informations. Sélectionnez ensuite Enregistrer.
Sélectionnez l’icône du Gestionnaire de réseau (flèche vers le haut/flèche vers le bas), puis survolez Connexions VPN. La connexion VPN que vous avez créée apparaît. Pour lancer la connexion, sélectionnez-la.
Étapes supplémentaires pour la machine virtuelle Azure
Si vous exécutez la procédure sur une machine virtuelle Azure exécutant Linux, vous devez effectuer des étapes supplémentaires.
Modifiez le fichier /etc/netplan/50-cloud-init.yaml pour inclure le paramètre suivant pour l’interface
renderer: NetworkManager
Après avoir modifié le fichier, exécutez les deux commandes suivantes pour charger la nouvelle configuration
sudo netplan generate
sudo netplan apply
Arrêtez/démarrez ou redéployez la machine virtuelle.
Étapes suivantes
Revenez à l’article pour terminer la configuration P2S.
Pour plus d’informations sur la résolution des problèmes liés aux connexions point à site, voir Résolution des problèmes de connexion de point à site Azure.