Gestire l'accesso sicuro alle risorse nelle reti virtuali spoke per i client VPN utente

  • Articolo

Questo articolo illustra come usare rete WAN virtuale e Firewall di Azure regole e filtri per gestire l'accesso sicuro per le connessioni alle risorse in Azure tramite connessioni IKEv2 o OpenVPN da punto a sito. Questa configurazione è utile se si hanno utenti remoti per i quali si vuole limitare l'accesso alle risorse di Azure o proteggere le risorse in Azure.

I passaggi descritti in questo articolo consentono di creare l'architettura nel diagramma seguente per consentire ai client VPN utente di accedere a una risorsa specifica (VM1) in una rete virtuale spoke connessa all'hub virtuale, ma non ad altre risorse (VM2). Usare questo esempio di architettura come linea guida di base.

Diagramma di un hub virtuale protetto.

Prerequisiti

  • Che si abbia una sottoscrizione di Azure. Se non hai una sottoscrizione di Azure, crea un account gratuito.

  • Si dispone di una rete virtuale a cui si vuole connettersi.

    • Verificare che nessuna delle subnet della rete locale possa sovrapporsi alle reti virtuali a cui ci si vuole connettere.
    • Per creare una rete virtuale nel portale di Azure, vedere l'articolo dell'Avvio rapido.

  • La rete virtuale non deve contenere alcun gateway di rete virtuale esistente.

    • Se la rete virtuale contiene già un gateway (VPN o ExpressRoute), è necessario rimuovere tutti i gateway prima di procedere.
    • Questa configurazione richiede che le reti virtuali si connettano solo al gateway dell'hub della rete WAN virtuale.

  • Decidere l'intervallo di indirizzi IP da usare per lo spazio indirizzi privato dell'hub virtuale. Queste informazioni vengono usate durante la configurazione dell'hub virtuale. Un hub virtuale è una rete virtuale che viene creata e usata dalla rete WAN virtuale. Si tratta dell'elemento centrale della rete WAN virtuale in un'area. L'intervallo di spazio indirizzi deve essere conforme alle regole seguenti:

    • L'intervallo di indirizzi specificati per l'hub non può sovrapporsi ad alcuna delle reti virtuali esistenti a cui ci si connette.
    • L'intervallo di indirizzi IP non può sovrapporsi agli intervalli di indirizzi locali a cui ci si connette.
    • Se non si ha familiarità con gli intervalli di indirizzi IP che si trovano nella configurazione di rete locale, coordinarsi con un utente in grado di fornire tali informazioni.
  • Sono disponibili i valori per la configurazione di autenticazione che si vuole usare. Ad esempio, un server RADIUS, l'autenticazione Di Microsoft Entra o Genera ed esporta certificati.

Creare una rete WAN virtuale

  1. Nella barra Cerca risorse del portale digitare rete WAN virtuale nella casella di ricerca e selezionare Invio.

  2. Selezionare rete WAN virtuale nei risultati. Nella pagina rete WAN virtuale selezionare + Crea per aprire la pagina Crea rete WAN.

  3. Nella pagina Crea rete WAN compilare i campi nella scheda Informazioni di base . Modificare i valori di esempio da applicare all'ambiente.

    Screenshot che mostra il riquadro Crea rete WAN con la scheda Informazioni di base selezionata.

    • Sottoscrizione: selezionare la sottoscrizione da usare.
    • Gruppo di risorse: crearne uno nuovo o usarlo esistente.
    • Località del gruppo di risorse: scegliere una località delle risorse dall'elenco a discesa. Una rete WAN è una risorsa globale e non si trova in una determinata area. Tuttavia, per gestire e individuare la risorsa WAN creata, è necessario selezionare un'area.
    • Nome: digitare il nome che si vuole chiamare la rete WAN virtuale.
    • Tipo: Basic o Standard. Selezionare Standard. Se si seleziona Basic, tenere presente che le reti WAN virtuali basic possono contenere solo hub Basic. Gli hub di base possono essere usati solo per le connessioni da sito a sito.

  4. Al termine della compilazione dei campi, nella parte inferiore della pagina selezionare Rivedi e crea.

  5. Al termine della convalida, fare clic su Crea per creare la rete WAN virtuale.

Definire i parametri di configurazione da sito a sito

La configurazione da punto a sito (P2S) definisce i parametri per la connessione dei client remoti. Questa sezione illustra come definire i parametri di configurazione da sito a sito e quindi creare la configurazione che verrà usata per il profilo client VPN. Le istruzioni che si seguono dipendono dal metodo di autenticazione che si vuole usare.

Metodi di autenticazione

Quando si seleziona il metodo di autenticazione, sono disponibili tre opzioni. Ogni metodo ha requisiti specifici. Selezionare uno dei metodi seguenti e quindi completare i passaggi.

  • Autenticazione di Microsoft Entra: ottenere quanto segue:

    • ID applicazione dell'applicazione aziendale VPN di Azure registrata nel tenant di Microsoft Entra.
    • Autorità emittente. Esempio: https://sts.windows.net/your-Directory-ID.
    • Tenant di Microsoft Entra. Esempio: https://login.microsoftonline.com/your-Directory-ID.

  • Autenticazione basata su radius: ottenere l'indirizzo IP del server Radius, il segreto del server Radius e le informazioni sul certificato.

  • Certificati di Azure: per questa configurazione sono necessari i certificati. È necessario generare o ottenere certificati. Per ogni client è necessario un certificato client. Inoltre, è necessario caricare le informazioni sul certificato radice (chiave pubblica). Per altre informazioni sui certificati necessari, vedere Generare ed esportare certificati.

  1. Passare alla rete WAN virtuale creata.

  2. Selezionare Configurazioni VPN utente dal menu a sinistra.

  3. Nella pagina Configurazioni VPN utente selezionare +Crea configurazione VPN utente.

    Screenshot della pagina delle configurazioni VPN dell'utente.

  4. Nella scheda Informazioni di base della pagina Crea nuova configurazione VPN utente, in Dettagli istanza immettere il nome da assegnare alla configurazione VPN.

    Screenshot dell'opzione IPsec su personalizzata.

  5. Per Tipo di tunnel selezionare il tipo di tunnel desiderato dall'elenco a discesa. Le opzioni del tipo di tunnel sono: VPN IKEv2, OpenVPN e OpenVpn e IKEv2. Ogni tipo di tunnel ha impostazioni obbligatorie specifiche. Il tipo di tunnel scelto corrisponde alle scelte di autenticazione disponibili.

    Requisiti e parametri:

    IKEv2 VPN

    • Requisiti: quando si seleziona il tipo di tunnel IKEv2 , viene visualizzato un messaggio che indica di selezionare un metodo di autenticazione. Per IKEv2, è possibile specificare più metodi di autenticazione. È possibile scegliere Certificato di Azure, autenticazione basata su RADIUS o entrambi.

    • Parametri personalizzati IPSec: per personalizzare i parametri per la fase IKE 1 e IKE Fase 2, attivare o disattivare l'opzione IPsec su Custom e selezionare i valori dei parametri. Per altre informazioni sui parametri personalizzabili, vedere l'articolo IPsec personalizzato.

    OpenVPN

    • Requisiti: quando si seleziona il tipo di tunnel OpenVPN , viene visualizzato un messaggio che indica di selezionare un meccanismo di autenticazione. Se OpenVPN è selezionato come tipo di tunnel, è possibile specificare più metodi di autenticazione. È possibile scegliere qualsiasi sottoinsieme di certificati di Azure, MICROSOFT Entra ID o autenticazione basata su RADIUS. Per l'autenticazione basata su RADIUS, è possibile fornire un indirizzo IP del server RADIUS secondario e un segreto server.

    OpenVPN e IKEv2

    • Requisiti: quando si seleziona il tipo di tunnel OpenVPN e IKEv2 , viene visualizzato un messaggio che indica di selezionare un meccanismo di autenticazione. Se OpenVPN e IKEv2 sono selezionati come tipo di tunnel, è possibile specificare più metodi di autenticazione. È possibile scegliere Microsoft Entra ID insieme al certificato di Azure o all'autenticazione basata su RADIUS. Per l'autenticazione basata su RADIUS, è possibile fornire un indirizzo IP del server RADIUS secondario e un segreto server.

  6. Configurare i metodi di autenticazione da usare. Ogni metodo di autenticazione si trova in una scheda separata: certificato di Azure, autenticazione RADIUS e ID Microsoft Entra. Alcuni metodi di autenticazione sono disponibili solo in determinati tipi di tunnel.

    Nella scheda del metodo di autenticazione da configurare selezionare Sì per visualizzare le impostazioni di configurazione disponibili.

    • Esempio - Autenticazione del certificato

      Per configurare questa impostazione, il tipo di tunnel la pagina Informazioni di base può essere IKEv2, OpenVPN o OpenVPN e IKEv2.

      Screenshot dell'opzione Sì selezionata.

    • Esempio - Autenticazione RADIUS

      Per configurare questa impostazione, il tipo di tunnel nella pagina Informazioni di base può essere Ikev2, OpenVPN o OpenVPN e IKEv2.

      Screenshot della pagina di autenticazione RADIUS.

    • Esempio - Autenticazione di Microsoft Entra

      Per configurare questa impostazione, il tipo di tunnel nella pagina Informazioni di base deve essere OpenVPN. L'autenticazione basata su ID Di Microsoft Entra è supportata solo con OpenVPN.

      Pagina di autenticazione di Microsoft Entra.

  7. Al termine della configurazione delle impostazioni, selezionare Rivedi e crea nella parte inferiore della pagina.

  8. Selezionare Crea per creare la configurazione VPN utente.

Creare l'hub e il gateway

In questa sezione viene creato l'hub virtuale con un gateway da punto a sito. Durante la configurazione, è possibile usare i valori di esempio seguenti:

  • Spazio indirizzi IP privati dell'hub: 10.1.0.0/16
  • Pool di indirizzi client: 10.5.0.0/16
  • Server DNS personalizzati: è possibile elencare fino a 5 server DNS

Pagina Informazioni di base

  1. Passare alla rete WAN virtuale creata. Nel riquadro sinistro della pagina della rete WAN virtuale, nella Connessione ivity selezionare Hub.

  2. Nella pagina Hub selezionare +Nuovo hub per aprire la pagina Crea hub virtuale.

    Screenshot del riquadro Crea hub virtuale con la scheda Informazioni di base selezionata.

  3. Nella scheda Generale della pagina Crea hub virtuale completare i campi seguenti:

    • Area: selezionare l'area in cui si vuole distribuire l'hub virtuale.
    • Nome: nome in base al quale si vuole che l'hub virtuale sia noto.
    • Spazio indirizzi privato dell'hub: intervallo di indirizzi dell'hub nella notazione CIDR. Per creare un hub, lo spazio indirizzi minimo è /24.
    • Capacità dell'hub virtuale: selezionare dall'elenco a discesa. Per altre informazioni, vedere Impostazioni dell'hub virtuale.
    • Preferenza di routing hub: lasciare l'impostazione predefinita. Per altre informazioni, vedere Preferenze di routing dell'hub virtuale.

Pagina da punto a sito

  1. Fare clic sulla scheda Da punto a sito per aprire la pagina di configurazione per il punto a sito. Per visualizzare le impostazioni del sito, fare clic su .

    Screenshot della configurazione dell'hub virtuale con l'opzione da punto a sito selezionata.

  2. Configurare le impostazioni seguenti:

    • Unità di scala del gateway: rappresenta la capacità aggregata del gateway VPN utente. Se si selezionano 40 o più unità di scala gateway, pianificare di conseguenza il pool di indirizzi client. Per informazioni su come questa impostazione influisce sul pool di indirizzi client, vedere Informazioni sui pool di indirizzi client. Per informazioni sulle unità di scala del gateway, vedere le domande frequenti.

    • Configurazione da punto a sito : selezionare la configurazione VPN utente creata in un passaggio precedente.

    • Preferenza di routing: le preferenze di routing di Azure consentono di scegliere il modo in cui il traffico viene instradato tra Azure e Internet. È possibile scegliere di instradare il traffico tramite la rete Microsoft o tramite la rete dell'ISP (Internet pubblico). Queste opzioni sono anche dette rispettivamente routing cold potato e routing hot potato. L'indirizzo IP pubblico in rete WAN virtuale viene assegnato dal servizio in base all'opzione di routing selezionata. Per altre informazioni sulle preferenze di routing tramite la rete Microsoft o l'ISP, vedere l'articolo Preferenza di routing.

    • Usare il server RADIUS remoto/locale: quando un gateway VPN utente di rete WAN virtuale è configurato per l'uso dell'autenticazione basata su RADIUS, il gateway VPN utente funge da proxy e invia richieste di accesso RADIUS al server RADIUS. L'impostazione "Usa server RADIUS remoto/locale" è disabilitata per impostazione predefinita, ovvero il gateway VPN utente sarà in grado di inoltrare solo le richieste di autenticazione ai server RADIUS nelle reti virtuali connesse all'hub del gateway. L'abilitazione dell'impostazione consentirà al gateway VPN utente di eseguire l'autenticazione con i server RADIUS connessi a hub remoti o distribuiti in locale.

      Nota

      L'impostazione del server RADIUS remoto/locale e gli INDIRIZZI IP proxy correlati vengono usati solo se il gateway è configurato per l'uso dell'autenticazione basata su RADIUS. Se il gateway non è configurato per l'uso dell'autenticazione basata su RADIUS, questa impostazione verrà ignorata.

      È necessario attivare "Usa server RADIUS remoto/locale" se gli utenti si connetteranno al profilo VPN globale anziché al profilo basato su hub. Per altre informazioni, vedere Profili globali e a livello di hub.

      Dopo aver creato il gateway VPN utente, passare al gateway e prendere nota del campo IP proxy RADIUS. Gli INDIRIZZI IP proxy RADIUS sono gli INDIRIZZI IP di origine dei pacchetti RADIUS inviati dal gateway VPN utente al server RADIUS. Pertanto, il server RADIUS deve essere configurato per accettare le richieste di autenticazione dagli INDIRIZZI IP proxy RADIUS. Se il campo IP proxy RADIUS è vuoto o none, configurare il server RADIUS per accettare le richieste di autenticazione dallo spazio indirizzi dell'hub.

      Assicurarsi inoltre di impostare le associazioni e le propagazioni della connessione (rete virtuale o locale) che ospita il server RADIUS si propaga all'oggetto defaultRouteTable dell'hub distribuito con il gateway VPN da punto a sito e che la configurazione VPN da punto a sito si propaga alla tabella di route della connessione che ospita il server RADIUS. Questo è obbligatorio per assicurarsi che il gateway possa comunicare con il server RADIUS e viceversa.

      Screenshot della configurazione di User V P N con proxy RADIUS I Ps.

    • Pool di indirizzi client: il pool di indirizzi IP da cui gli indirizzi IP verranno assegnati automaticamente ai client VPN. I pool di indirizzi devono essere distinti. Non è possibile sovrapporsi tra pool di indirizzi. Per altre informazioni, vedere Informazioni sui pool di indirizzi client.

    • Server DNS personalizzati: l'indirizzo IP dei server DNS che verranno usati dai client. È possibile specificare fino a 5.

  3. Selezionare Rivedi e crea per convalidare le impostazioni.

  4. Al termine della convalida, selezionare Crea. La creazione di un hub può richiedere almeno 30 minuti.

Generare i file di configurazione del client VPN

In questa sezione vengono generati e scaricati i file del profilo di configurazione. Questi file vengono usati per configurare il client VPN nativo nel computer client.

  1. Per generare un pacchetto di configurazione del client VPN a livello di rete WAN, passare alla rete WAN virtuale (non all'hub virtuale).

  2. Nel riquadro sinistro selezionare Configurazioni VPN utente.

  3. Selezionare la configurazione per cui si vuole scaricare il profilo. Se sono stati assegnati più hub allo stesso profilo, espandere il profilo per visualizzare gli hub, quindi selezionare uno degli hub che usano il profilo.

  4. Selezionare Download virtual WAN user VPN profile (Scarica profilo VPN utente della rete WAN virtuale).

  5. Nella pagina di download selezionare EAPTLS, quindi Genera e scarica profilo. Un pacchetto di profilo (file ZIP) contenente le impostazioni di configurazione client viene generato e scaricato nel computer. Il contenuto del pacchetto dipende dalle scelte di autenticazione e tunnel per la configurazione.

Configurare client VPN

Usare il profilo scaricato per configurare i client di accesso remoto. La procedura per ogni sistema operativo è diversa; seguire le istruzioni applicabili al sistema in uso.

IKEv2

Nella configurazione VPN utente, se è stato specificato il tipo di tunnel VPN IKEv2, è possibile configurare il client VPN nativo (Windows e macOS Catalina o versione successiva).

I passaggi seguenti sono relativi a Windows. Per macOS, vedere i passaggi di IKEv2-macOS .

  1. Selezionare i file di configurazione del client VPN corrispondenti all'architettura del computer Windows. Per un'architettura con processore a 64 bit, scegliere il pacchetto di installazione "VpnClientSetupAmd64". Per un'architettura con processore a 32 bit, scegliere il pacchetto di installazione "VpnClientSetupX86".

  2. Fare doppio clic sul pacchetto per installarlo. Se viene visualizzato un popup SmartScreen, selezionare Altre informazioni e quindi Esegui comunque.

  3. Nel computer client passare a Impostazioni di rete e selezionare VPN. La connessione VPN viene visualizzata con il nome della rete virtuale a cui si connette.

  4. Installare un certificato client in ogni computer che si vuole connettere tramite questa configurazione VPN utente. Quando si usa il tipo di autenticazione del certificato di Azure nativo, è necessario un certificato client per l'autenticazione. Per altre informazioni sulla generazione di certificati, vedere Generare i certificati. Per informazioni sull'installazione di un certificato client, vedere Installare un certificato client.

OpenVPN

Nella configurazione VPN utente, se è stato specificato il tipo di tunnel OpenVPN, è possibile scaricare e configurare il client VPN di Azure o, in alcuni casi, è possibile usare il software client OpenVPN. Per la procedura, usare il collegamento corrispondente alla configurazione.

Connessione rete virtuale spoke

In questa sezione viene creata una connessione tra l'hub e la rete virtuale spoke.

  1. Nella portale di Azure passare al rete WAN virtuale Nel riquadro sinistro selezionare Connessioni di rete virtuale.

  2. Nella pagina Connessioni di rete virtuale selezionare + Aggiungi connessione.

  3. Nella pagina Aggiungi connessione configurare le impostazioni di connessione. Per informazioni sulle impostazioni di routing, vedere Informazioni sul routing.

    Screenshot della pagina Aggiungi connessione.

    • Nome connessione: assegnare un nome alla connessione.
    • Hub: selezionare l'hub da associare a questa connessione.
    • Sottoscrizione: verificare la sottoscrizione.
    • Gruppo di risorse: selezionare il gruppo di risorse che contiene la rete virtuale a cui connettersi.
    • Rete virtuale: selezionare la rete virtuale che si vuole connettere a questo hub. La rete virtuale selezionata non può avere un gateway di rete virtuale già esistente.
    • Propaga a nessuno: questa opzione è impostata su No per impostazione predefinita. Se si modifica l'opzione su , le opzioni di configurazione per Propagate to Route Tables (Propaga nelle tabelle di route) e Propagate alle etichette non sono disponibili per la configurazione.
    • Associa tabella di route: dall'elenco a discesa è possibile selezionare una tabella di route da associare.
    • Propaga alle etichette: le etichette sono un gruppo logico di tabelle di route. Per questa impostazione, selezionare dall'elenco a discesa.
    • Route statiche: configurare route statiche, se necessario. Configurare route statiche per appliance virtuali di rete (se applicabile). rete WAN virtuale supporta un singolo ip hop successivo per la route statica in una connessione di rete virtuale. Ad esempio, se si dispone di un'appliance virtuale separata per i flussi di traffico in ingresso e in uscita, è consigliabile avere le appliance virtuali in reti virtuali separate e collegare le reti virtuali all'hub virtuale.
    • Ignorare l'ip hop successivo per i carichi di lavoro all'interno di questa rete virtuale: questa impostazione consente di distribuire appliance virtuali di rete e altri carichi di lavoro nella stessa rete virtuale senza forzare tutto il traffico attraverso l'appliance virtuale di rete. Questa impostazione può essere configurata solo quando si configura una nuova connessione. Se si vuole usare questa impostazione per una connessione già creata, eliminare la connessione, quindi aggiungere una nuova connessione.
    • Propaga route statiche: questa impostazione è attualmente in fase di implementazione. Questa impostazione consente di propagare le route statiche definite nella sezione Route statiche alle tabelle di route specificate in Propaga alle tabelle di route. Inoltre, le route verranno propagate alle tabelle di route con etichette specificate come Propaga alle etichette. Queste route possono essere propagate tra hub, ad eccezione della route predefinita 0/0. Questa funzionalità è in fase di implementazione. Se è necessaria questa funzionalità abilitata, contattare vwanpm@microsoft.com

  4. Dopo aver completato le impostazioni da configurare, fare clic su Crea per creare la connessione.

Creare macchine virtuali

In questa sezione vengono create due macchine virtuali nella rete virtuale, VM1 e VM2. Nel diagramma di rete si usa 10.18.0.4 e 10.18.0.5. Quando si configurano le macchine virtuali, assicurarsi di selezionare la rete virtuale creata (disponibile nella scheda Rete). Per la procedura per creare una macchina virtuale, vedere Avvio rapido: Creare una macchina virtuale.

Proteggere l'hub virtuale

Un hub virtuale standard non dispone di criteri di sicurezza predefiniti per proteggere le risorse nelle reti virtuali spoke. Un hub virtuale protetto usa Firewall di Azure o un provider di terze parti per gestire il traffico in ingresso e in uscita per proteggere le risorse in Azure.

Convertire l'hub in un hub protetto usando l'articolo seguente: Configurare Firewall di Azure in un hub rete WAN virtuale.

Creare regole per gestire e filtrare il traffico

Creare regole che determinano il comportamento di Firewall di Azure. Proteggendo l'hub, si garantisce che tutti i pacchetti che entrano nell'hub virtuale siano soggetti all'elaborazione del firewall prima di accedere alle risorse di Azure.

Dopo aver completato questi passaggi, è stata creata un'architettura che consente agli utenti VPN di accedere alla macchina virtuale con indirizzo IP privato 10.18.0.4, ma NON accedere alla macchina virtuale con indirizzo IP privato 10.18.0.5

  1. Nella portale di Azure passare a Gestione firewall.

  2. In Sicurezza selezionare Firewall di Azure criteri.

  3. Selezionare Crea criterio firewall di Azure.

  4. In Dettagli criteri digitare un nome e selezionare l'area in cui è distribuito l'hub virtuale.

  5. Selezionare Avanti: Impostazioni DNS.

  6. Selezionare Avanti: Regole.

  7. Nella scheda Regole selezionare Aggiungi una raccolta regole.

  8. Specificare un nome per la raccolta. Impostare il tipo su Rete. Aggiungere un valore di priorità 100.

  9. Immettere il nome della regola, il tipo di origine, l'origine, il protocollo, le porte di destinazione e il tipo di destinazione, come illustrato nell'esempio seguente. Selezionare quindi Aggiungi. Questa regola consente a qualsiasi indirizzo IP del pool di client VPN di accedere alla macchina virtuale con indirizzo IP privato 10.18.04, ma non qualsiasi altra risorsa connessa all'hub virtuale. Creare tutte le regole che si desidera adattare alle regole di architettura e autorizzazioni desiderate.

    Regole del firewall

  10. Selezionare Avanti: Intelligence per le minacce.

  11. Selezionare Avanti: Hub.

  12. Nella scheda Hub selezionare Associa hub virtuali.

  13. Selezionare l'hub virtuale creato in precedenza e quindi selezionare Aggiungi.

  14. Selezionare Rivedi e crea.

  15. Seleziona Crea.

Il completamento di questo processo può richiedere almeno 5 minuti.

Instradare il traffico attraverso Firewall di Azure

In questa sezione è necessario assicurarsi che il traffico venga instradato attraverso Firewall di Azure.

  1. Nel portale selezionare Hub virtuali protetti da Gestione firewall.
  2. Selezionare l'hub virtuale creato.
  3. In Impostazioni selezionare Configurazione della sicurezza.
  4. In Traffico privato selezionare Send via Azure Firewall (Invia tramite Firewall di Azure).
  5. Verificare che la connessione alla rete virtuale e il traffico privato della connessione ramo siano protetti da Firewall di Azure.
  6. Seleziona Salva.

Nota

Per esaminare il traffico destinato agli endpoint privati usando Firewall di Azure in un hub virtuale protetto, vedere Proteggere il traffico destinato agli endpoint privati in Azure rete WAN virtuale. È necessario aggiungere /32 prefissi per ogni endpoint privato nei prefissi del traffico privato in Configurazione di sicurezza del gestore Firewall di Azure per controllarli tramite Firewall di Azure nell'hub virtuale protetto. Se questi prefissi /32 non sono configurati, il traffico destinato agli endpoint privati ignora Firewall di Azure.

Convalida

Verificare la configurazione dell'hub protetto.

  1. Connessione al Hub virtuale protetto tramite VPN dal dispositivo client.
  2. Effettuare il ping dell'indirizzo IP 10.18.0.4 dal client. Verrà visualizzata una risposta.
  3. Effettuare il ping dell'indirizzo IP 10.18.0.5 dal client. Non dovrebbe essere possibile visualizzare una risposta.

Considerazioni

  • Assicurarsi che la tabella Route valide nell'hub virtuale protetto abbia l'hop successivo per il traffico privato dal firewall. Per accedere alla tabella Route valide, passare alla risorsa hub virtuale. In Connessione ivity selezionare Routing e quindi Route valide. Selezionare quindi la tabella Route predefinita .
  • Verificare di aver creato regole nella sezione Crea regole . Se questi passaggi non vengono soddisfatti, le regole create non verranno effettivamente associate all'hub e la tabella di route e il flusso di pacchetti non useranno Firewall di Azure.

Passaggi successivi