UiPath Documentation
orchestrator
latest
false
Important :
La localisation du contenu nouvellement publié peut prendre 1 à 2 semaines avant d’être disponible.
UiPath logo, featuring letters U and I in white

Guide de l'utilisateur d'Orchestrator

Dernière mise à jour 17 avr. 2026

Configuration du VPN pour les robots du cloud

Vous pouvez créer une passerelle VPN pour un locataire afin que vos Cloud Robots VM ou Cloud Robots sans serveur puissent accéder à vos ressources locales qui se trouvent derrière un pare-feu.

Cette page indique :

  • Comment fonctionne la passerelle VPN UiPath au niveau du réseau.
  • Comment planifier correctement les plages CIDR, le routage, les règles de pare-feu et le DNS.
  • Comment configurer les connexions VPN de site à site, y compris le routage statique, le protocole BGP et les stratégies IPsec ou IKE personnalisées.

Prérequis

Important :

L'installation de logiciels personnalisés sur votre machine virtuelle, tels que des clients VPN, peut interférer avec les services de base et rendre la machine virtuelle inutilisable. Utilisez plutôt la configuration présentée dans ce chapitre.

Pour configurer la passerelle VPN, vous devez répondre aux exigences suivantes :

  • Be an organization administrator.
  • Avoir un rôle Orchestrator qui inclut l'autorisation Machines - Modifier (Edit) .
  • Informations requises auprès de votre administrateur réseau :
    • Une liste de plages d'adresses IP réservées situées dans la configuration de votre réseau local, en notation CIDR. Dans le cadre de la configuration, vous devez spécifier les préfixes de plage d'adresses IP que nous acheminerons vers votre emplacement sur site.
    • Les CIDR privés que vous souhaitez qu’UiPath atteigne le VPN.
    • Une clé pré-partagée (PSK) pour chaque périphérique VPN.
      Important :

      Les sous-réseaux de votre réseau local ne doivent pas chevaucher les sous-réseaux du réseau virtuel auxquels vous souhaitez vous connecter.

    • Utilisez des périphériques VPN compatibles et assurez-vous de disposer de la capacité et du savoir-faire pour les configurer, comme décrit dans À propos des périphériques VPN pour les connexions - Passerelle VPN Azure. Pour plus de détails sur les paramètres de connexion par défaut, lisez les Politiques par défaut pour Azure.
    • Votre appareil VPN doit utiliser des adresses IPv4 publiques externes.
    • Remarque :

      La clé pré-partagée doit être composée d'un maximum de 128 caractères ASCII imprimables. N'utilisez pas d'espace, de trait d'union - ou de tilde ~.

Le schéma de workflow de la passerelle VPN

Ce schéma montre comment la connexion VPN est établie entre votre réseau local et les réseaux Cloud Robot UiPath.

La connexion à une passerelle VPN permet aux Cloud Robots basés sur des MV et aux Robots sans serveur d'accéder à des ressources restreintes dans votre réseau local.

Figure 1. Schéma de workflow de la passerelle VPN Le schéma de workflow de la passerelle VPN

Le flux est le suivant :

  1. Identifiez les CIDR locaux que vous souhaitez qu'UiPath atteigne. Il s’agit des CIDR qui doivent être accessibles via le VPN.
  2. Dans votre réseau local, fournissez les plages de l'IP des pools de votre machine virtuelle ACR (6, 7) pour autoriser leur trafic sur le réseau.
  3. Créez le réseau de la passerelle VPN UiPath. Ce réseau héberge uniquement les ressources de la passerelle VPN (points de terminaison du canal et appairage BGP).
    • Minimum pris en charge : /27
    • Recommandé : /25 ou plus
    • Les points de terminaison privés nécessitent /25 ou plus
    • Ne peut pas être modifié après la création
  4. UiPath crée une adresse IP publique pour la passerelle VPN. Votre périphérique VPN local utilise cette adresse IP publique comme pair distant. L’adresse de pair BGP et l’ASN seront également disponibles une fois l’enregistrement terminé.
  5. Créez un tunnel de site à site entre l’IP publique de votre périphérique VPN local et l’IP publique de la passerelle VPN UiPath.
  6. Le routage est établi (statique ou BGP) :
    • Routage statique (BGP désactivé sur la connexion) : vous saisissez les CIDR locaux sur la connexion ; seules ces plages sont redirigées vers la version locale.
    • Routage dynamique (BGP activé sur la connexion) : les routages sont échangés de façon dynamique.
  7. Le trafic des robots provient des CIDR des robots, et non du CIDR de la passerelle :
    • Chaque CIDR de pool de machines virtuelles ACR.
    • Le CIDR du robot sans serveur unique (un par locataire).
  8. Votre pare-feu local (et tous les pare-feux intermédiaires) doit autoriser le trafic entrant depuis les CIDR du robot vers les ressources locales et assurer le routage de retour vers ces CIDR du robot (chemins statiques ou BGP).
    Important :

    La passerelle VPN n'exécute pas NAT. Les CIDR ne doivent pas se chevaucher et les adresses IP source doivent être routables dans les deux sens.

Étape 1. Créer la passerelle VPN

Pour créer une passerelle VPN pour un locataire :

  1. Accédez à Admin.

Si cela n’est pas déjà fait, activez la nouvelle expérience d’administrateur à l’aide du bouton situé dans l’en-tête.

  1. Dans le panneau Locataires situé à gauche, sélectionnez le locataire pour lequel vous souhaitez créer une passerelle VPN.

La page des paramètres du locataire sélectionné s'ouvre.

  1. Sélectionnez la vignette Passerelle VPN .
  2. Sélectionnez Créer une passerelle pour le Locataire. Le panneau Create gateway s'ouvre
  3. Dans le champ Nom (Name), saisissez un nom pour la passerelle, tel que vous souhaitez qu'il s'affiche sur la page Passerelle VPN du locataire.
  4. Dans le champ Espace d'adressage du vnet de la passerelle VPN (VPN gateway vnet ), ajoutez les adresses IP que vous avez obtenues auprès de votre administrateur réseau.
    • Utiliser la notation CIDR
    • Minimum pris en charge : /27
    • Recommandé : /25 ou plus (les points de terminaison privés nécessitent /25 ou plus)
    • Ne peut pas être modifié après sa création
Important :
  • Une fois créées, les plages Vnet pour la passerelle ou pour le pool de machines virtuelles ne peuvent plus être modifiées.
  • Même si vous affectez un bloc CIDR au réseau de passerelle VPN (par exemple, /25), le trafic provenant de pools de machines ou de modèles de machines sans serveur avec VPN activé ne provient pas de ce CIDR. Les adresses IP sources réelles utilisées pour le trafic sortant sont celles des CIDR affectées au pool de machines individuel ou au modèle sans serveur. Assurez-vous d’autoriser le trafic provenant des CIDR de vos pools de machines ou de modèles sans serveur, et non du CIDR du réseau de passerelle VPN.
  1. (Facultatif) Si vous souhaitez utiliser un DNS pour cette connexion, sélectionnez Ajouter une adresse DNS , puis :
    1. Dans le champ Adresse DNS (DNS Address), ajoutez une adresse DNS.
    2. Pour ajouter des adresses DNS supplémentaires, sélectionnez Ajouter davantage pour ajouter un autre champ, puis ajoutez l'adresse à ce champ.
      Remarque :

      Vous pouvez ajouter des adresses DNS ultérieurement, après la création de la passerelle VPN, mais cela nécessite que vous redémarriez toutes les machines virtuelles connectées à la passerelle.

  2. Sélectionnez Créer en bas du panneau pour créer la connexion de passerelle VPN.

Le panneau se ferme et le statut de la passerelle VPN est Enregistrement (Provisioning).

Une fois terminé, le statut Déployé (Deployed) s'affiche sur la carte de la passerelle.

Remarque :

Si le statut est Échec, supprimez la passerelle et recréez-la en suivant les instructions précédentes.

Étape 2. Créer des modèles de robot cloud

Remarque :

La passerelle VPN doit afficher le statut Déployé avant que vous puissiez effectuer cette étape.

Le réseau virtuel d'un modèle de robot cloud est créé lors de la création de chaque modèle.

Cloud robots - VM

Dans Orchestrator, créez un ou plusieurs pools Cloud Robot - VM en suivant les instructions dans Création du pool Cloud Robot.Lors de la configuration, veillez à sélectionner l'option Connecter la passerelle VPN.

Pour chaque pool, vous pouvez surveiller le statut VPN à partir de la page Machines > Gérer le Robot Cloud - VM ( Machines > Manage Cloud Robot - VM) .

Remarque :

Les pools Cloud robot - VM existants ne peuvent pas se connecter à la passerelle VPN. Vous devez en créer de nouvelles. En outre, pour les pools qui ont été configurés pour se connecter à la passerelle VPN du locataire, vous avez la possibilité de modifier le pool et de désactiver le bouton Activer l'intégration VPN pour déconnecter le pool. Une fois déconnecté, vous ne pouvez pas reconnecter le pool à la passerelle VPN.

Cloud Robots - Serverless

In Orchestrator, edit or create Cloud robot - Serverless templates, following the instructions in Automation Cloud™ robots - Serverless . During setup, make sure to configure options on the Network Configuration page.

Étape 3. Création de la connexion de site à site

Une fois la passerelle VPN déployée, vous pouvez désormais y connecter vos réseaux locaux.

La carte de la passerelle affiche l'adresse IP publique qui est une information essentielle pour la configuration du tunnel.

Pour configurer la passerelle VPN afin qu'elle se connecte à un périphérique VPN :

  1. Dans votre organisation, accédez à Admin > Locataire > Passerelle VPN.
  2. Sur la vignette de la passerelle, sélectionnez Ajouter une connexion.

Le panneau Créer une connexion s’ouvre.

  1. Fournissez des valeurs pour les champs suivants :

    OptionDescription
    Nom de connexionDonnez un nom à votre connexion.
    Shared key (PSK)Écrire une phrase ou une chaîne secrète. Vous devez vous souvenir de cette clé exacte et la fournir lorsque vous configurez la connexion sur votre appareil local.
    Public IP for the VPN deviceIndiquez l’adresse IP publique de votre périphérique VPN local. Attention : ne fournissez pas l'adresse IP publique de la passerelle VPN affichée sur la carte. Cette adresse IP de passerelle publique doit être configurée sur votre appareil local en tant que pair distant.

  2. Choose the routing type for this connection between Static routing (BGP disabled) or Dynamic routing (BGP enabled). A single UiPath VPN gateway can host a mix of BGP and non-BGP connections.

    1. Routage statique (BGP désactivé)

Si BGP est désactivé sur la connexion, vous devez configurer les CIDR sur site vers lesquels UiPath doit router.

Espace d'adressage pour l'appareil local: spécifiez tous les CIDR privés sur votre réseau local qui doivent être accessibles via cette connexion. Seules ces plages sont acheminées vers votre version locale via ce tunnel.

Remarque :

Si vous avez configuré les adresses IP de serveur DNS sur la passerelle, assurez-vous que ces IP DNS appartiennent à l’un des CIDR sur site définis ici (afin que la passerelle puisse les atteindre via le tunnel).

  1. Routage dynamique (BGP activé)

Si BGP est activé sur la connexion :

  • Les itinéraires sont échangés dynamiquement.
  • UiPath annonce :
    • Tous les CIDR du pool ACR VM
    • CIDR du robot sans serveur
  • Votre périphérique sur site annonce ses CIDR sur site.

Fournissez des valeurs pour les champs suivants :

  • ASN local: l’ASN utilisé par votre périphérique VPN local.
  • Adresse de pair BGP: l’adresse IP utilisée par votre appareil local pour le pairage BGP.

Si l'une ou l'autre valeur est manquante ou incorrecte, BGP ne s'établira pas.

  1. Vous pouvez si vous le souhaitez définir des configurations personnalisées pour la stratégie IPSec/IKE. Utilisez cette section pour garantir la compatibilité avec les paramètres de sécurité spécifiques requis par votre périphérique VPN local, ou pour mettre en œuvre des politiques de sécurité avancées adaptées aux besoins de votre organisation. Pour ce faire, activez la bascule Politique IPSec/IKE .
Remarque :

Seul IKEv2 est pris en charge.

  1. Pour la phase 1 IKE, fournissez des valeurs pour les champs suivants :

Encryption * : Provide the matching encryption method for the initial secure key exchange (IKE Phase 1). This must be identical to the UiPath Gateway setting (for example, AES-256, GCMAES).

Valeurs possibles : GCMAES256, GCMAES128, AES256, AES192, AES128

Integrity * : Provide the matching data integrity check for the initial IKE Phase 1 communication (for example, SHA-256, SHA-512). This must match the UiPath Gateway.

Valeurs possibles : SHA384, SHA256, SHA1, MD5

DH Group * : Provide the matching Diffie-Hellman (DH) group for the secure key exchange in IKE Phase 1 (for example, Group 14, Group 19). This must match the UiPath Gateway.

Valeurs possibles : DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None

  1. Pour la phase 2 IKE (IPSec), fournissez des valeurs pour les champs suivants :

IPsec Encryption * : Provide the matching encryption method for data traffic within the VPN tunnel (IPSec Phase 2) (for example, AES-256, 3DES). This must match the UiPath Gateway.

Valeurs possibles : GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Aucune

IPsec Integrity * : Provide the matching data integrity check for traffic within the VPN tunnel (IPSec Phase 2) (for example, SHA-256, SHA-512). This must match the UiPath Gateway.

Valeurs possibles : GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5

PFS Group * : Provide the matching Perfect Forward Secrecy (PFS) group for IPSec Phase 2, if enabled on the UiPath Gateway (for example, Group 14, Group 19). If one side uses PFS, the other should match or disable it.

Valeurs possibles : PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Aucune

IPSec SA lifetime in Kilobytes * : Provide the duration for active secure connections (IKE and IPSec). These are local settings; matching is not strictly required, but similar values are recommended for consistency.

Valeurs possibles : 1 024 minimum, 10 2400 000 par défaut

IPsec SA lifetime in seconds * : Provide the duration for active secure connections (IKE and IPSec). These are local settings; matching is not strictly required, but similar values are recommended for consistency.

Valeurs possibles : 300 minimum, 27 000 par défaut

  1. Sélectionnez Ajouter une connexion. Une fois la configuration terminée, le statut de la connexion peut prendre un certain temps pour passer à Connecté.

Le panneau se ferme et la nouvelle connexion s'affiche sur la page Connexions (Connexions). La connexion est prête à être utilisée lorsque la colonne Statut de la connexion (Connection status) affiche Connecté (Connected).

Un statut Connecté signifie que la clé pré-partagée (PSK), l'adresse IP publique (IP) pair et les paramètres de politique IPSec/IKE sont correctement configurés et qu'il existe un tunnel chiffré.

Remarque :

Si le statut de la connexion est Échec de la connexion, vous devez supprimer la connexion ) et la recréer.

Pour ajouter d'autres connexions, sur la page Connexions , sélectionnez Créer une connexion.

Remarque :

Vous pouvez ajouter jusqu'à 25 connexions.

Étape 4. Configuration des périphériques VPN

Votre administrateur réseau peut désormais :

  1. Configurez votre appareil VPN à partir de votre réseau sur site.

La PSK doit correspondre à celle spécifiée pour la connexion créée à l'étape 3.

  1. Ajoutez les espaces d'adressage utilisés pour configurer la passerelle VPN et les réseaux virtuels pour les modèles de robot cloud à la liste verte de votre réseau.

For a list of supported VPN devices and for RouteBased configuration instructions, refer to About VPN devices for connections - Azure VPN Gateway in the Microsoft documentation.

Questions fréquemment posées

Résidence des données

La passerelle VPN d'un locataire est automatiquement créée dans la même région que la région du locataire et vous ne pouvez pas modifier la région.

Basculer vers une autre région

Si une passerelle VPN existe déjà et que vous avez choisi de déplacer votre locataire vers une région différente, vous pouvez soit :

  • continuer à utiliser la passerelle dans l’ancienne région ou
  • supprimez la passerelle VPN existante et créez-en une nouvelle, qui est créée dans la région actuelle du locataire.

Conservation des données

Si vous désactivez un locataire qui dispose d'une passerelle VPN, vous disposez d'un délai de grâce de 60 jours avant de perdre l'accès à votre appareil VPN. Après 60 jours, votre passerelle VPN est définitivement supprimée de vos locataires.

Si vous réactivez le locataire dans les 60 jours, votre passerelle VPN n'est pas supprimée et disponible pour utilisation.

Expiration de la licence

Si vos Robot Units ont expiré, vous disposez d'une période de grâce de 60 jours avant de perdre l'accès à votre périphérique VPN. Après 60 jours, votre passerelle VPN est définitivement supprimée de vos locataires.

Dépannage des connexions VPN

If a connection is Connected, but you cannot access the resources, check:

  • Address Space Configuration — Ensure defined address spaces on both ends are correct and non-overlapping for proper routing.
  • DNS Resolution — Confirm the gateway and connected devices resolve necessary domain names. Verify DNS server configurations and reachability.
  • Firewall Rules - Review firewall rules on both the gateway and on-premises network; ensure traffic flows on required ports and protocols within defined address spaces.

Cette page vous a-t-elle été utile ?

Connecter

Besoin d'aide ? Assistance

Vous souhaitez apprendre ? UiPath Academy

Vous avez des questions ? UiPath Forum

Rester à jour