Configurare un tunnel del dispositivo VPN Always On per la rete WAN virtuale

2024-06-26

La funzionalità Always On è stata introdotta nel client VPN di Windows 10. Always On è la possibilità di mantenere una connessione VPN. Con Always On, il profilo VPN attivo può connettersi automaticamente e rimanere connesso in base ai trigger, ad esempio l'accesso utente, la modifica dello stato della rete o la schermata del dispositivo attiva.

È possibile usare i gateway con Always On per stabilire tunnel utente persistenti e tunnel dei dispositivi in Azure.

Le connessioni VPN Always On includono uno dei due tipi di tunnel:

Tunnel del dispositivo: si connette a server VPN specificati prima che gli utenti eseguano l'accesso al dispositivo. Gli scenari di connettività di pre-accesso e la gestione dei dispositivi usano un tunnel del dispositivo.
Tunnel utente: si connette solo dopo l'accesso degli utenti al dispositivo. Usando i tunnel utente, è possibile accedere alle risorse dell'organizzazione tramite server VPN.

I tunnel dei dispositivi e i tunnel utente funzionano indipendentemente dai rispettivi profili VPN. Possono essere connessi contemporaneamente e usare metodi di autenticazione diversi e altre impostazioni di configurazione VPN, in base alle esigenze.

Prerequisiti

È necessario creare una configurazione da punto a sito e modificare l'assegnazione dell'hub virtuale. Per istruzioni, vedere le sezioni seguenti:

Configurare il tunnel del dispositivo

Per stabilire correttamente un tunnel del dispositivo, è necessario soddisfare i requisiti seguenti:

Il dispositivo deve essere un computer aggiunto a un dominio che esegue Windows 10 Enterprise o Education, versione 1809 o successiva.
Il tunnel è configurabile solo per la soluzione VPN predefinita di Windows e viene costituito usando IKEv2 con l'autenticazione del certificato del computer.
È possibile configurare un solo tunnel del dispositivo per ciascun dispositivo.

Installare i certificati nel client Windows 10 o versione successiva usando l'articolo Client VPN da punto a sito. Il certificato deve trovarsi nell'archivio del computer locale.
Creare un profilo VPN e configurare il tunnel del dispositivo nel contesto dell'account di SISTEMA LOCALE usando queste istruzioni.

Esempio di configurazione per il tunnel del dispositivo

Dopo aver configurato il gateway di rete virtuale e aver installato il certificato client nell'archivio computer locale nel client Windows 10 o versione successiva, usare gli esempi seguenti per configurare un tunnel del dispositivo client:

Copiare il testo seguente e salvarlo come devicecert.ps1.

Param(
[string]$xmlFilePath,
[string]$ProfileName
)

$a = Test-Path $xmlFilePath
echo $a

$ProfileXML = Get-Content $xmlFilePath

echo $XML

$ProfileNameEscaped = $ProfileName -replace ' ', '%20'

$Version = 201606090004

$ProfileXML = $ProfileXML -replace '<', '&lt;'
$ProfileXML = $ProfileXML -replace '>', '&gt;'
$ProfileXML = $ProfileXML -replace '"', '&quot;'

$nodeCSPURI = './Vendor/MSFT/VPNv2'
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_VPNv2_01"

$session = New-CimSession

try
{
$newInstance = New-Object Microsoft.Management.Infrastructure.CimInstance $className, $namespaceName
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ParentID", "$nodeCSPURI", 'String', 'Key')
$newInstance.CimInstanceProperties.Add($property)
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create("InstanceID", "$ProfileNameEscaped", 'String', 'Key')
$newInstance.CimInstanceProperties.Add($property)
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ProfileXML", "$ProfileXML", 'String', 'Property')
$newInstance.CimInstanceProperties.Add($property)

$session.CreateInstance($namespaceName, $newInstance)
$Message = "Created $ProfileName profile."
Write-Host "$Message"
}
catch [Exception]
{
$Message = "Unable to create $ProfileName profile: $_"
Write-Host "$Message"
exit
}
$Message = "Complete."
Write-Host "$Message"

Copiare il testo seguente e salvarlo come VPNProfile.xml nella stessa cartella di devicecert.ps1. Modificare il testo seguente in modo che corrisponda all'ambiente in uso.

<Servers>azuregateway-1234-56-78dc.cloudapp.net</Servers> <= Can be found in the VpnSettings.xml in the downloaded profile zip file
<Address>192.168.3.5</Address> <= IP of resource in the vnet or the vnet address space
<Address>192.168.3.4</Address> <= IP of resource in the vnet or the vnet address space

<VPNProfile>  
  <NativeProfile>  
<Servers>azuregateway-1234-56-78dc.cloudapp.net</Servers>  
<NativeProtocolType>IKEv2</NativeProtocolType>  
<Authentication>  
  <MachineMethod>Certificate</MachineMethod>  
</Authentication>  
<RoutingPolicyType>SplitTunnel</RoutingPolicyType>  
 <!-- disable the addition of a class based route for the assigned IP address on the VPN interface -->
<DisableClassBasedDefaultRoute>true</DisableClassBasedDefaultRoute>  
  </NativeProfile> 
  <!-- use host routes(/32) to prevent routing conflicts -->  
  <Route>  
<Address>192.168.3.5</Address>  
<PrefixSize>32</PrefixSize>  
  </Route>  
  <Route>  
<Address>192.168.3.4</Address>  
<PrefixSize>32</PrefixSize>  
  </Route>  
<!-- need to specify always on = true --> 
  <AlwaysOn>true</AlwaysOn> 
<!-- new node to specify that this is a device tunnel -->  
 <DeviceTunnel>true</DeviceTunnel>
<!--new node to register client IP address in DNS to enable manage out -->
<RegisterDNS>true</RegisterDNS>
</VPNProfile>

Scaricare PsExec da Sysinternals ed estrarre i file in C:\PSTools.
Da un prompt CMD amministratore avviare PowerShell eseguendo:

Per Windows a 32 bit:
```
PsExec.exe -s -i powershell
```
Per Windows a 64 bit:
```
PsExec64.exe -s -i powershell
```
In PowerShell, passare alla cartella in cui si trovano devicecert.ps1 e VPNProfile.xml ed eseguire il comando seguente:
```
.\devicecert.ps1 .\VPNProfile.xml MachineCertTest
```
Esegui rasphone.
Cercare la voce MachineCertTest e fare clic su Connetti.
Se la connessione ha esito positivo, riavviare il computer. Il tunnel si connetterà automaticamente.