[pfSense] VPN S2S avec Azure

Voulant avoir un VPN chez moi et pourquoi pas un VPN avec Azure, on m’a conseillé d’utiliser pfSense. Cette distribution est extrêmement flexible et vous offre la possibilité de connecter votre VM directement en PPPoE mais encore d’avoir un firewall performant, d’effectuer des connexions VPN, en IPSec, L2TP, OpenVPN, etc.

L’idée dans cet article sera donc de créer un VPN S2S avec Azure RM via pfSense.

J’ai dans un premier temps connecté ma VM pfSense (1vCPU, 512MB RAM), en PPPoE à mon FAI. Ayant une IP publique dynamique, j’ai créé un compte sur noip.com ainsi qu’un enregistrement DNS. J’ai ensuite connecté mon pfSense pour  mettre à jour cette IP publique automatiquement, dans Services > Dynamic DNS:

Dès que ma VM va redémarrer ou que mon lease sera terminé, mon IP sera mise à jour directement sur mon NOIP.

Azure

Je vais maintenant pouvoir créer mon VPN sur Azure. Allez sur https://portal.azure.com et connectez vous sur votre suscription. Assurez vous d’avoir créé réseau virtuel, dans Resource Manager:

Il faut ensuite créer une Virtual Network Gateway, en choisissant le réseau virtuel créé précédemment, en choisissant un sous-réseau pour la Gateway ainsi qu’une IP publique. Choisissez le type VPN, avec un VPN de type Route based:

Après plusieurs minutes, notre Gateway est prête. Il faut donc créer une Local Network Gateway, qui contiendra notre IP publique de notre pfSense ainsi que les réseaux locaux auxquels le VPN pourra accéder:

Si vous avez une IP dynamique, vous pouvez regarder par là: https://cloudyjourney.fr/2016/05/30/powershell-mettre-a-jour-son-ip-publique-dun-vpn-s2s-avec-une-ip-dynamique/

Il faut maintenant associer notre local network à notre Gateway virtuel. Allez sur votre Gateway créée précédemment et cliquez sur Add:

Choisissez Site-to-site (IPSec) ainsi que la Gateway local créée précédemment. Renseignez également une clé partagée. Cette clé sera utilisée dans la configuration de pfSense:

Ma connexion:

pfSense

Maintenant nous allons configurer notre pfSense pour avoir la connectivité vers Azure. Allez dans VPN > IPSec et ajoutez une nouvelle phase 1. Donnez l’IP publique de la Gateway Azure, ainsi que votre clé partagée:

Désactivez également DPD:

Sauvegardez, et à cette phase 1, ajoutez une phase 2 en renseignant bien le réseau que vous avez créé sur Azure:

Appliquez les changements:

Mon VPN est maintenant connecté:

Il suffit de déployer une VM sur Azure, sur le réseau qui est connecté au VPN, sans IP publique et ensuite de se connecter depuis le réseau local:

En espérant que ceci vous sera utile 🙂

Laisser un commentaire