Gestire l'accesso sicuro alle risorse nelle reti virtuali spoke per i client VPN utente

Questo articolo illustra come usare rete WAN virtuale e Firewall di Azure regole e filtri per gestire l'accesso sicuro per le connessioni alle risorse in Azure tramite connessioni IKEv2 da punto a sito o connessioni VPN aperte. Questa configurazione è utile se si hanno utenti remoti per i quali si vuole limitare l'accesso alle risorse di Azure o proteggere le risorse in Azure.

I passaggi descritti in questo articolo consentono di creare l'architettura nel diagramma seguente per consentire ai client VPN utente di accedere a una risorsa specifica (VM1) in una rete virtuale spoke connessa all'hub virtuale, ma non ad altre risorse (VM2). Usare questo esempio di architettura come linea guida di base.

Diagramma di un hub virtuale protetto.

Prerequisiti

  • Che si abbia una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, creare un account gratuito.

  • È disponibile una rete virtuale a cui connettersi.

    • Verificare che nessuna delle subnet della rete locale possa sovrapporsi alle reti virtuali a cui ci si vuole connettere.
    • Per creare una rete virtuale nel portale di Azure, vedere l'articolo dell'Avvio rapido.
  • La rete virtuale non deve contenere alcun gateway di rete virtuale esistente.

    • Se la rete virtuale contiene già un gateway (VPN o ExpressRoute), è necessario rimuovere tutti i gateway prima di procedere.
    • Questa configurazione richiede che le reti virtuali si connettano solo al gateway dell'hub della rete WAN virtuale.
  • Decidere l'intervallo di indirizzi IP che si vuole usare per lo spazio indirizzi privato dell'hub virtuale. Queste informazioni vengono usate durante la configurazione dell'hub virtuale. Un hub virtuale è una rete virtuale che viene creata e usata dalla rete WAN virtuale. Si tratta dell'elemento centrale della rete WAN virtuale in un'area. L'intervallo di spazio indirizzi deve essere conforme alle regole seguenti:

    • L'intervallo di indirizzi specificati per l'hub non può sovrapporsi ad alcuna delle reti virtuali esistenti a cui ci si connette.
    • L'intervallo di indirizzi non può sovrapporsi agli intervalli di indirizzi locali a cui ci si connette.
    • Se non si ha familiarità con gli intervalli di indirizzi IP presenti nella configurazione di rete locale, coordinarsi con un utente che può fornire tali dettagli.
  • Sono disponibili i valori per la configurazione di autenticazione che si vuole usare. Ad esempio, un server RADIUS, l'autenticazione di Azure Active Directory o Genera ed esporta certificati.

Creare una rete WAN virtuale

  1. Nella barra Cerca risorse del portale digitare rete WAN virtuale nella casella di ricerca e selezionare Invio.

  2. Selezionare RETI WAN virtuali nei risultati. Nella pagina Reti WAN virtuali selezionare + Crea per aprire la pagina Crea rete WAN .

  3. Nella pagina Crea rete WAN compilare i campi nella scheda Informazioni di base . Modificare i valori di esempio da applicare all'ambiente.

    Screenshot che mostra il riquadro Crea rete WAN con la scheda Informazioni di base selezionata.

    • Sottoscrizione: selezionare la sottoscrizione da usare.
    • Gruppo di risorse: crearne uno nuovo o usarne uno esistente.
    • Località del gruppo di risorse: scegliere una posizione della risorsa dall'elenco a discesa. Una rete WAN è una risorsa globale e non risiede in una determinata area. Tuttavia, per gestire e individuare la risorsa WAN creata, è necessario selezionare un'area.
    • Nome: digitare il nome che si vuole chiamare la rete WAN virtuale.
    • Tipo: Basic o Standard. Selezionare Standard. Se si seleziona Basic, tenere presente che le reti WAN virtuali di base possono contenere solo hub Basic. Gli hub di base possono essere usati solo per le connessioni da sito a sito.
  4. Al termine della compilazione dei campi, nella parte inferiore della pagina selezionare Rivedi e crea.

  5. Al termine della convalida, fare clic su Crea per creare la rete WAN virtuale.

Definire i parametri di configurazione P2S

La configurazione da punto a sito definisce i parametri per la connessione dei client remoti. Questa sezione illustra come definire i parametri di configurazione da sito a sito e quindi creare la configurazione che verrà usata per il profilo client VPN. Le istruzioni seguite dipendono dal metodo di autenticazione che si vuole usare.

Metodi di autenticazione

Quando si seleziona il metodo di autenticazione, sono disponibili tre opzioni. Ogni metodo ha requisiti specifici. Selezionare uno dei metodi seguenti e quindi completare i passaggi.

  • Autenticazione di Azure Active Directory: Ottenere quanto segue:

    • ID applicazione dell'applicazione VPN enterprise di Azure registrata nel tenant di Azure AD.
    • Autorità di certificazione. Esempio: https://sts.windows.net/your-Directory-ID.
    • Tenant di Azure AD. Esempio: https://login.microsoftonline.com/your-Directory-ID.
  • Autenticazione basata su radius: Ottenere le informazioni relative all'indirizzo IP del server Radius, al segreto del server Radius e al certificato.

  • Certificati di Azure: Per questa configurazione, sono necessari i certificati. È necessario generare o ottenere certificati. Per ogni client è necessario un certificato client. Inoltre, è necessario caricare le informazioni sul certificato radice (chiave pubblica). Per altre informazioni sui certificati necessari, vedere Generare ed esportare certificati.

  1. Passare alla rete WAN virtuale creata.

  2. Selezionare Configurazioni VPN utente dal menu a sinistra.

  3. Nella pagina Configurazioni VPN utente selezionare +Crea configurazione VPN utente.

    Screenshot della pagina delle configurazioni VPN utente.

  4. Nella scheda Informazioni di base della pagina Crea nuova configurazione VPN utente immettere il nome da assegnare alla configurazione VPN in Dettagli istanza.

    Screenshot dell'opzione IPsec su personalizzata.

  5. Per Tipo di tunnel selezionare il tipo di tunnel desiderato dall'elenco a discesa. Le opzioni del tipo di tunnel sono: VPN IKEv2, OpenVPN e OpenVpn e IKEv2. Ogni tipo di tunnel ha impostazioni obbligatorie specifiche. Il tipo di tunnel scelto corrisponde alle scelte di autenticazione disponibili.

    Requisiti e parametri:

    IKEv2 VPN

    • Requisiti: Quando si seleziona il tipo di tunnel IKEv2 , viene visualizzato un messaggio che indica di selezionare un metodo di autenticazione. Per IKEv2, è possibile specificare un solo metodo di autenticazione. È possibile scegliere Certificato di Azure o autenticazione basata su RADIUS.

    • Parametri personalizzati IPSec: Per personalizzare i parametri per la fase IKE 1 e la fase IKE 2, attivare o disattivare l'opzione IPsec su Custom e selezionare i valori dei parametri. Per altre informazioni sui parametri personalizzabili, vedere l'articolo IPsec personalizzato .

    OpenVPN

    • Requisiti: Quando si seleziona il tipo di tunnel OpenVPN , viene visualizzato un messaggio che indica di selezionare un meccanismo di autenticazione. Se OpenVPN è selezionato come tipo di tunnel, è possibile specificare più metodi di autenticazione. È possibile scegliere qualsiasi subset di certificato di Azure, Azure Active Directory o autenticazione basata su RADIUS. Per l'autenticazione basata su RADIUS, è possibile fornire un indirizzo IP del server RADIUS secondario e un segreto server.
  6. Configurare i metodi di autenticazione da usare. Ogni metodo di autenticazione si trova in una scheda separata: certificato di Azure, autenticazione RADIUS e Azure Active Directory. Alcuni metodi di autenticazione sono disponibili solo in determinati tipi di tunnel.

    Nella scheda del metodo di autenticazione da configurare selezionare per visualizzare le impostazioni di configurazione disponibili.

    • Esempio - Autenticazione del certificato

      Per configurare questa impostazione, il tipo di tunnel nella pagina Informazioni di base può essere IKEv2, OpenVPN o OpenVPN e IKEv2.

      Screenshot dell'opzione Sì selezionata.

    • Esempio - Autenticazione RADIUS

      Per configurare questa impostazione, il tipo di tunnel nella pagina Informazioni di base può essere Ikev2, OpenVPN o OpenVPN e IKEv2.

      Screenshot della pagina di autenticazione RADIUS.

    • Esempio - Autenticazione di Azure Active Directory

      Per configurare questa impostazione, il tipo di tunnel nella pagina Informazioni di base deve essere OpenVPN. L'autenticazione basata su Azure Active Directory è supportata solo con OpenVPN.

      Pagina di autenticazione di Azure Active Directory.

  7. Al termine della configurazione delle impostazioni, selezionare Rivedi e crea nella parte inferiore della pagina.

  8. Selezionare Crea per creare la configurazione VPN utente.

Creare l'hub e il gateway

In questa sezione viene creato l'hub virtuale con un gateway da punto a sito. Quando si configura, è possibile usare i valori di esempio seguenti:

  • Spazio indirizzi IP privato hub: 10.1.0.0/16
  • Pool di indirizzi client: 10.5.0.0/16
  • Server DNS personalizzati: È possibile elencare fino a 5 server DNS

Pagina Informazioni di base

  1. Passare alla rete WAN virtuale creata. Nel riquadro a sinistra della pagina della rete WAN virtuale selezionare Hub.

  2. Nella pagina Hub selezionare +Nuovo hub per aprire la pagina Crea hub virtuale .

    Screenshot del riquadro Crea hub virtuale con la scheda Informazioni di base selezionata.

  3. Nella scheda Generale della pagina Crea hub virtuale completare i campi seguenti:

    • Area: selezionare l'area in cui si vuole distribuire l'hub virtuale.
    • Nome: nome in base al quale si vuole che l'hub virtuale sia noto.
    • Spazio indirizzi privato dell'hub: intervallo di indirizzi dell'hub nella notazione CIDR. Per creare un hub, lo spazio indirizzi minimo è /24.
    • Capacità dell'hub virtuale: selezionare dall'elenco a discesa. Per altre informazioni, vedere Impostazioni dell'hub virtuale.
    • Preferenza di routing dell'hub: questo campo è disponibile solo come parte dell'anteprima delle preferenze di routing dell'hub virtuale e può essere visualizzato solo nel portale di anteprima. Per altre informazioni, vedere Preferenze di routing dell'hub virtuale .
    • AsN del router: a meno che non sia necessario, lasciare il valore predefinito.

Fare riferimento alla pagina del sito

  1. Fare clic sulla scheda Punto a sito per aprire la pagina di configurazione per il punto a sito. Per visualizzare le impostazioni del sito, fare clic su .

    Screenshot della configurazione dell'hub virtuale con selezione da punto a sito.

  2. Configurare le seguenti impostazioni:

    • Unità di scalabilità del gateway: rappresenta la capacità aggregata del gateway VPN utente. Se si selezionano 40 o più unità di scalabilità del gateway, pianificare di conseguenza il pool di indirizzi client. Per informazioni su come questa impostazione influisce sul pool di indirizzi client, vedere Informazioni sui pool di indirizzi client. Per informazioni sulle unità di scalabilità del gateway, vedere le domande frequenti.

    • Scegliere la configurazione del sito : selezionare la configurazione VPN utente creata in un passaggio precedente.

    • Preferenza di routing: la preferenza di routing di Azure consente di scegliere come le route del traffico tra Azure e Internet. È possibile scegliere di instradare il traffico tramite la rete Microsoft o tramite la rete dell'ISP (Internet pubblico). Queste opzioni sono dette anche routing a patate fredde e routing di patate calde, rispettivamente. L'indirizzo IP pubblico in rete WAN virtuale viene assegnato dal servizio in base all'opzione di routing selezionata. Per altre informazioni sulle preferenze di routing tramite Microsoft rete o ISP, vedere l'articolo Sulle preferenze di routing.

    • Usare il server RADIUS remoto/locale: quando un gateway VPN utente di rete WAN virtuale è configurato per l'uso dell'autenticazione basata su RADIUS, il gateway VPN utente funge da proxy e invia richieste di accesso RADIUS al server RADIUS. L'impostazione "Usa server RADIUS remoto/locale" è disabilitata per impostazione predefinita, il che significa che il gateway VPN utente sarà in grado di inoltrare le richieste di autenticazione ai server RADIUS nelle reti virtuali connesse all'hub del gateway. L'abilitazione dell'impostazione consentirà al gateway VPN utente di eseguire l'autenticazione con i server RADIUS connessi a hub remoti o distribuiti in locale.

      Nota

      L'impostazione del server RADIUS remoto/locale e gli INDIRIZZI IP proxy correlati vengono usati solo se il gateway è configurato per l'uso dell'autenticazione basata su RADIUS. Se il gateway non è configurato per l'uso dell'autenticazione basata su RADIUS, questa impostazione verrà ignorata.

      È necessario attivare "Usare il server RADIUS remoto/locale" se gli utenti si connettono al profilo VPN globale anziché al profilo basato su hub. Per altre informazioni, vedere Profili globali e a livello di hub.

      Dopo aver creato il gateway VPN utente, passare al gateway e prendere nota del campo INDIRIZZI IP proxy RADIUS. Gli INDIRIZZI IP proxy RADIUS sono gli INDIRIZZI IP di origine dei pacchetti RADIUS inviati al server RADIUS. Pertanto, il server RADIUS deve essere configurato per accettare le richieste di autenticazione dagli INDIRIZZI IP proxy RADIUS. Se il campo INDIRIZZI IP proxy RADIUS è vuoto o none, configurare il server RADIUS per accettare le richieste di autenticazione dallo spazio indirizzi dell'hub.

      Screenshot di User V N Config con RADIUS Proxy I Ps.

    • Pool di indirizzi client: il pool di indirizzi IP da cui gli indirizzi IP verranno assegnati automaticamente ai client VPN. Per altre informazioni, vedere Informazioni sui pool di indirizzi client.

    • Server DNS personalizzati : l'indirizzo IP dei server DNS userà i client. È possibile specificare fino a 5.

  3. Selezionare Rivedi e crea per convalidare le impostazioni.

  4. Al termine della convalida, selezionare Crea. La creazione di un hub può richiedere 30 minuti o più per completare.

Generare i file di configurazione del client VPN

In questa sezione vengono generati e scaricati i file di profilo di configurazione. Questi file vengono usati per configurare il client VPN nativo nel computer client.

  1. Per generare un pacchetto di configurazione client VPN a livello di rete WAN , passare alla rete WAN virtuale (non all'hub virtuale).

  2. Nel riquadro sinistro selezionare Configurazioni VPN utente.

  3. Selezionare la configurazione per cui si vuole scaricare il profilo. Se sono assegnati più hub allo stesso profilo, espandere il profilo per visualizzare gli hub, quindi selezionare uno degli hub che utilizza il profilo.

  4. Selezionare Scarica profilo VPN utente wan virtuale.

  5. Nella pagina di download selezionare EAPTLS, quindi Generare e scaricare il profilo. Un pacchetto del profilo (file zip) contenente le impostazioni di configurazione client viene generato e scaricato nel computer. Il contenuto del pacchetto dipende dalle scelte di autenticazione e tunnel per la configurazione.

Configurare client VPN

Usare il profilo scaricato per configurare i client di accesso remoto. La procedura per ogni sistema operativo è diversa; seguire le istruzioni applicabili al sistema in uso.

IKEv2

Nella configurazione VPN utente, se è stato specificato il tipo di tunnel VPN IKEv2, è possibile configurare il client VPN nativo (Windows e macOS Catalina o versioni successive).

I passaggi seguenti sono per Windows. Per macOS, vedere Passaggi di IKEv2-macOS .

  1. Selezionare i file di configurazione del client VPN corrispondenti all'architettura del computer Windows. Per un'architettura con processore a 64 bit, scegliere il pacchetto di installazione "VpnClientSetupAmd64". Per un'architettura con processore a 32 bit, scegliere il pacchetto di installazione "VpnClientSetupX86".

  2. Fare doppio clic sul pacchetto per installarlo. Se viene visualizzato un popup SmartScreen, selezionare Altre informazioni e quindi Esegui comunque.

  3. Nel computer client passare a Impostazioni di rete e selezionare VPN. La connessione VPN viene visualizzata con il nome della rete virtuale a cui si connette.

  4. Installare un certificato client in ogni computer che si vuole connettere tramite questa configurazione VPN utente. Quando si usa il tipo di autenticazione del certificato di Azure nativo, è necessario un certificato client per l'autenticazione. Per altre informazioni sulla generazione di certificati, vedere Generare i certificati. Per informazioni sull'installazione di un certificato client, vedere Installare un certificato client.

OpenVPN

Nella configurazione VPN utente, se è stato specificato il tipo di tunnel OpenVPN, è possibile scaricare e configurare il client VPN di Azure o, in alcuni casi, è possibile usare il software client OpenVPN. Per i passaggi, usare il collegamento che corrisponde alla configurazione.

Connettere la rete virtuale spoke

In questa sezione viene creata una connessione tra l'hub e la rete virtuale spoke.

  1. Nella pagina portale di Azure passare alla pagina rete WAN virtuale -> Connessioni di rete virtuale.

  2. Nella pagina Aggiungi connessione configurare le impostazioni di connessione. Per informazioni sulle impostazioni di routing, vedere Informazioni sul routing.

    Screenshot della pagina Aggiungi connessione.

    • Nome connessione: assegnare un nome alla connessione.
    • Hub: selezionare l'hub da associare a questa connessione.
    • Sottoscrizione: verificare la sottoscrizione.
    • Gruppo di risorse: selezionare il gruppo di risorse che contiene la rete virtuale a cui connettersi.
    • Rete virtuale: selezionare la rete virtuale da connettere a questo hub. La rete virtuale selezionata non può avere un gateway di rete virtuale già esistente.
    • Propaga a nessuno: questa opzione è impostata su No per impostazione predefinita. Se si modifica l'opzione su Sì , le opzioni di configurazione per Propagate to Route Tables (Propagate to Route Tables ) e Propagate to labels (Propaga alle etichette non sono disponibili per la configurazione).
    • Associa tabella di route: dall'elenco a discesa è possibile selezionare una tabella di route da associare.
    • Propaga alle etichette: le etichette sono un gruppo logico di tabelle di route. Per questa impostazione, selezionare dall'elenco a discesa.
    • Route statiche: configurare route statiche, se necessario. Configurare route statiche per appliance virtuali di rete (se applicabile). rete WAN virtuale supporta un singolo IP hop successivo per la route statica in una connessione di rete virtuale. Ad esempio, se si dispone di un'appliance virtuale separata per i flussi di traffico in ingresso e in uscita, sarebbe preferibile avere le appliance virtuali in reti virtuali separate e collegare le reti virtuali all'hub virtuale.
    • Ignorare l'ip hop successivo per i carichi di lavoro all'interno di questa rete virtuale: questa impostazione consente di distribuire appliance virtuali di rete e altri carichi di lavoro nella stessa rete virtuale senza forzare tutto il traffico attraverso l'appliance virtuale di rete. Questa impostazione può essere configurata solo quando si configura una nuova connessione. Se si vuole usare questa impostazione per una connessione già creata, eliminare la connessione, quindi aggiungere una nuova connessione.
  3. Dopo aver completato le impostazioni da configurare, fare clic su Crea per creare la connessione.

Creare macchine virtuali

In questa sezione vengono create due macchine virtuali nella rete virtuale, VM1 e VM2. Nel diagramma di rete si usa 10.18.0.4 e 10.18.0.5. Quando si configurano le macchine virtuali, assicurarsi di selezionare la rete virtuale creata (disponibile nella scheda Rete). Per la procedura per creare una macchina virtuale, vedere Avvio rapido: Creare una macchina virtuale.

Proteggere l'hub virtuale

Un hub virtuale standard non dispone di criteri di sicurezza predefiniti per proteggere le risorse nelle reti virtuali spoke. Un hub virtuale protetto usa Firewall di Azure o un provider di terze parti per gestire il traffico in ingresso e in uscita per proteggere le risorse in Azure.

Convertire l'hub in un hub protetto usando l'articolo seguente: Configurare Firewall di Azure in un hub di rete WAN virtuale.

Creare regole per gestire e filtrare il traffico

Creare regole che determinano il comportamento di Firewall di Azure. Proteggendo l'hub, si garantisce che tutti i pacchetti che accedono all'hub virtuale siano soggetti all'elaborazione del firewall prima di accedere alle risorse di Azure.

Dopo aver completato questi passaggi, sarà stata creata un'architettura che consente agli utenti VPN di accedere alla macchina virtuale con indirizzo IP privato 10.18.0.4, ma NON accedere alla macchina virtuale con indirizzo IP privato 10.18.0.5

  1. Nel portale di Azure passare a Gestione firewall.

  2. In Sicurezza selezionare Firewall di Azure criteri.

  3. Selezionare Crea criterio firewall di Azure.

  4. In Dettagli criteri digitare un nome e selezionare l'area in cui è distribuito l'hub virtuale.

  5. Selezionare Avanti: Impostazioni DNS (anteprima) .

  6. Selezionare Avanti: Regole.

  7. Nella scheda Regole selezionare Aggiungi una raccolta regole.

  8. Specificare un nome per la raccolta. Impostare il tipo su Rete. Aggiungere un valore di priorità 100.

  9. Specificare il nome della regola, il tipo di origine, l'origine, il protocollo, le porte di destinazione e il tipo di destinazione, come illustrato nell'esempio seguente. Selezionare quindi Aggiungi. Questa regola consente a qualsiasi indirizzo IP del pool di client VPN di accedere alla macchina virtuale con indirizzo IP privato 10.18.04, ma non qualsiasi altra risorsa connessa all'hub virtuale. Creare le regole desiderate per l'architettura e le regole di autorizzazione desiderate.

    Regole del firewall

  10. Selezionare Avanti: Intelligence sulle minacce.

  11. Selezionare Avanti: Hub.

  12. Nella scheda Hub selezionare Associa hub virtuali.

  13. Selezionare l'hub virtuale creato in precedenza e quindi selezionare Aggiungi.

  14. Selezionare Rivedi e crea.

  15. Selezionare Crea.

Il completamento di questo processo può richiedere 5 minuti o più.

Instradare il traffico attraverso Firewall di Azure

In questa sezione è necessario assicurarsi che il traffico venga instradato attraverso Firewall di Azure.

  1. Nel portale, da Gestione firewall, selezionare Hub virtuali protetti.
  2. Selezionare l'hub virtuale creato.
  3. In Impostazioni selezionare Configurazione della sicurezza.
  4. In Traffico privato selezionare Send via Azure Firewall (Invia tramite Firewall di Azure).
  5. Verificare che la connessione alla rete virtuale e il traffico privato della connessione ramo siano protetti da Firewall di Azure.
  6. Selezionare Salva.

Nota

Per esaminare il traffico destinato agli endpoint privati usando Firewall di Azure in un hub virtuale protetto, vedere Proteggere il traffico destinato agli endpoint privati in Azure rete WAN virtuale. È necessario aggiungere il prefisso /32 per ogni endpoint privato nei prefissi del traffico privato in Configurazione di sicurezza del gestore di Firewall di Azure affinché vengano controllati tramite Firewall di Azure nell'hub virtuale protetto. Se questi prefissi /32 non sono configurati, il traffico destinato agli endpoint privati ignora Firewall di Azure.

Convalida

Verificare la configurazione dell'hub protetto.

  1. Connettersi all'hub virtuale protetto tramite VPN dal dispositivo client.
  2. Effettuare il ping dell'indirizzo IP 10.18.0.4 dal client. Verrà visualizzata una risposta.
  3. Effettuare il ping dell'indirizzo IP 10.18.0.5 dal client. Non dovrebbe essere possibile visualizzare una risposta.

Considerazioni

  • Assicurarsi che la tabella route valide nell'hub virtuale protetto abbia l'hop successivo per il traffico privato dal firewall. Per accedere alla tabella Route valide, passare alla risorsa hub virtuale . In Connettività selezionare Routing e quindi Route valide. Selezionare quindi la tabella Route predefinita .
  • Verificare di aver creato regole nella sezione Crea regole . Se questi passaggi non vengono rilevati, le regole create non verranno effettivamente associate all'hub e la tabella di route e il flusso di pacchetti non useranno Firewall di Azure.

Passaggi successivi