Condividi tramite

Gestire l'accesso sicuro alle risorse nelle reti virtuali spoke per i client VPN utente

  • Articolo

Questo articolo illustra come usare le regole e i filtri della rete WAN virtuale e del Firewall di Azure per gestire l'accesso sicuro per le connessioni alle risorse in Azure tramite connessioni OpenVPN o IKEv2 da punto a sito. Questa configurazione è utile se esistono utenti remoti per i quali si desidera limitare l'accesso alle risorse di Azure o per proteggere le risorse in Azure.

I passaggi descritti in questo articolo consentono di creare l'architettura nel diagramma seguente per consentire ai client VPN utente l’accesso a una risorsa specifica (VM1) in una rete virtuale spoke connessa all'hub virtuale, ma non ad altre risorse (VM2). Usare questo esempio di architettura come linea guida di base.

Diagramma di un hub virtuale protetto.

Prerequisiti

  • Che si abbia una sottoscrizione di Azure. Se non hai una sottoscrizione di Azure, crea un account gratuito.

  • Esiste una rete virtuale a cui connettersi.

    • Verificare che nessuna delle subnet della rete locale possa sovrapporsi alle reti virtuali a cui ci si vuole connettere.
    • Per creare una rete virtuale nel portale di Azure, vedere l'articolo dell'Avvio rapido.

  • La rete virtuale non deve contenere alcun gateway di rete virtuale esistente.

    • Se la rete virtuale contiene già un gateway (VPN o ExpressRoute), è necessario rimuovere tutti i gateway prima di procedere.
    • Questa configurazione richiede che le reti virtuali si connettano solo al gateway dell'hub della rete WAN virtuale.

  • Decidere l'intervallo di indirizzi IP da usare per lo spazio indirizzi privato dell'hub virtuale. Queste informazioni vengono usate durante la configurazione dell'hub virtuale. Un hub virtuale è una rete virtuale che viene creata e usata dalla rete WAN virtuale. Si tratta dell'elemento centrale della rete WAN virtuale in un'area. L'intervallo dello spazio indirizzi deve essere conforme a determinate regole:

    • L'intervallo di indirizzi specificati per l'hub non può sovrapporsi ad alcuna delle reti virtuali esistenti a cui ci si connette.
    • L'intervallo di indirizzi IP non può sovrapporsi agli intervalli di indirizzi locali a cui ci si connette.
    • Se non si ha familiarità con gli intervalli di indirizzi IP che si trovano nella configurazione di rete locale, coordinarsi con un utente in grado di fornire tali informazioni.
  • Sono disponibili i valori per la configurazione dell’autenticazione da usare. Ad esempio, un server RADIUS, l'autenticazione di Microsoft Entra o Generare ed esportare certificati.

Creare una rete WAN virtuale

  1. Nel portale, nella barra Cerca risorse digitare Rete WAN virtuale nella casella di ricerca e selezionare INVIO.

  2. Selezionare Reti WAN virtuali nei risultati. Nella pagina Reti WAN virtuali, selezionare + Crea per aprire la pagina Crea rete WAN.

  3. Nella pagina Crea rete WAN compilare i campi nella scheda Informazioni di base. Modificare i valori di esempio in base all'ambiente corrente.

    Screenshot che mostra il riquadro Crea rete WAN con la scheda Informazioni di base selezionata.

    • Sottoscrizione: selezionare la sottoscrizione da usare.
    • Gruppo di risorse: creare un nuovo gruppo o usarne uno esistente.
    • Località del gruppo di risorse: scegliere una località delle risorse dall'elenco a discesa. Una rete WAN è una risorsa globale che non risiede in un'area specifica. Tuttavia, per gestire e individuare la risorsa WAN creata, è necessario selezionare un'area.
    • Nome: digitare il nome da usare per la rete WAN virtuale.
    • Tipo: Basic o Standard. Selezionare Standard. Se si seleziona Basic, tenere presente che le reti WAN virtuali Basic possono contenere solo hub Basic. Gli hub Basic possono essere usati solo per le connessioni da sito a sito.

  4. Dopo aver compilato i campi, nella parte inferiore della pagina selezionare Rivedi e crea.

  5. Una volta superata la convalida, fare clic su Crea per creare la rete WAN virtuale.

Definire i parametri di configurazione P2S

Una configurazione da punto a sito (P2D) definisce i parametri per la connessione a client remoti. Questa sezione illustra come definire i parametri di configurazione P2D e creare la configurazione che verrà usata per il profilo client VPN. Le istruzioni che seguono dipendono dal metodo di autenticazione da usare.

Metodi di autenticazione

Quando si seleziona il metodo di autenticazione, sono disponibili tre opzioni. Ogni metodo ha requisiti specifici. Selezionare uno dei metodi seguenti e completare i passaggi.

  • Autenticazione di Microsoft Entra: ottenere quanto segue:

    • L’ID applicazione dell’applicazione aziendale Azure VPN registrata nel tenant di Microsoft Entra.
    • L’Autorità di certificazione. Esempio: https://sts.windows.net/your-Directory-ID.
    • Il Tenant di Microsoft Entra. Esempio: https://login.microsoftonline.com/your-Directory-ID.

  • Autenticazione basata su Radius: ottenere l'IP del server Radius, il segreto del server Radius e le informazioni sul certificato.

  • Certificati di Azure: per questa configurazione occorrono i certificati. È necessario generare oppure ottenere certificati. È necessario un certificato client per ogni client. È necessario, inoltre, caricare le informazioni sul certificato radice (chiave pubblica). Per altre informazioni sui certificati richiesti, vedere Generare ed esportare certificati.

  1. Passare alla rete WAN virtuale creata.

  2. Selezionare Configurazioni VPN utente dal menu a sinistra.

  3. Nella pagina Configurazioni VPN utente, selezionare + Crea configurazione VPN utente.

    Screenshot della pagina Configurazioni VPN utente.

  4. Nella pagina Crea nuova configurazione VPN utente, nella scheda Basic, in Dettagli istanza, immettere il Nome da assegnare alla configurazione VPN.

    Screenshot dell’opzione IPsec personalizzata.

  5. Per Tipo di tunnel, selezionare il tipo di tunnel dall'elenco a discesa. Le opzioni del tipo di tunnel sono: VPN IKEv2, OpenVPN e OpenVpn e IKEv2. Ogni tipo di tunnel ha impostazioni obbligatorie specifiche. Il tipo di tunnel scelto corrisponde alle scelte di autenticazione disponibili.

    Requisiti e parametri:

    VPN IKEv2

    • Requisiti: quando si seleziona il tipo di tunnel IKEv2, viene visualizzato un messaggio che indica di selezionare un metodo di autenticazione. Per IKEv2, è possibile specificare più metodi di autenticazione. È possibile scegliere Certificato di Azure e/o autenticazione basata su RADIUS.

    • Parametri personalizzati IPSec: Per personalizzare i parametri per la fase IKE 1 e la fase IKE 2, impostare l'opzione IPsec su Personalizzata e selezionare i valori dei parametri. Per altre informazioni sui parametri personalizzabili, vedere l'articolo IPsec personalizzato.

    OpenVPN

    • Requisiti: quando si seleziona il tipo di tunnel OpenVPN, viene visualizzato un messaggio che indica di selezionare un meccanismo di autenticazione. Se è selezionato OpenVPN come tipo di tunnel, è possibile specificare più metodi di autenticazione. È possibile scegliere qualunque sottoinsieme di certificati di Azure, Microsoft Entra ID o autenticazione basata su RADIUS. Per l'autenticazione basata su RADIUS, è possibile fornire un indirizzo IP del server RADIUS secondario e un segreto del server.

    OpenVPN e IKEv2

    • Requisiti: quando si seleziona il tipo di tunnel OpenVPN e IKEv2, viene visualizzato un messaggio che indica di selezionare un meccanismo di autenticazione. Se è selezionato OpenVPN e IKEv2 come tipo di tunnel, è possibile specificare più metodi di autenticazione. È possibile scegliere Microsoft Entra ID assieme a un Certificato di Azure o l’autenticazione basata su RADIUS. Per l'autenticazione basata su RADIUS, è possibile fornire un indirizzo IP del server RADIUS secondario e un segreto del server.

  6. Configurare i metodi di Autenticazione da usare. Ogni metodo di autenticazione si trova in una scheda separata: Certificato di Azure, Autenticazione RADIUS e Microsoft Entra ID. Alcuni metodi di autenticazione sono disponibili solo in determinati tipi di tunnel.

    Nella scheda del metodo di autenticazione da configurare, selezionare per visualizzare le impostazioni di configurazione disponibili.

    • Esempio: autenticazione del certificato

      Per configurare questa impostazione, il tipo di tunnel nella pagina Informazioni di base può essere IKEv2, OpenVPN o OpenVPN e IKEv2.

      Screenshot dell'opzione Sì selezionata.

    • Esempio: autenticazione RADIUS

      Per configurare questa impostazione, il tipo di tunnel nella pagina Informazioni di base può essere IKEv2, OpenVPN o OpenVPN e IKEv2.

      Screenshot della pagina dell’autenticazione RADIUS.

    • Esempio: autenticazione di Microsoft Entra

      Per configurare questa impostazione, il tipo di tunnel nella pagina Informazioni di base deve essere OpenVPN. L'autenticazione basata su Microsoft Entra ID è supportata solo con OpenVPN.

      Pagina di autenticazione di Microsoft Entra.

  7. Al termine della configurazione delle impostazioni, selezionare Rivedi + Crea nella parte inferiore della pagina.

  8. Selezionare Crea per creare la configurazione VPN utente.

Creare l'hub e il gateway

In questa sezione viene creato l'hub virtuale con un gateway da punto a sito. Durante la configurazione, è possibile usare i valori di esempio seguenti:

  • Spazio indirizzi IP privato hub: 10.1.0.0/16
  • Pool di indirizzi client: 10.5.0.0/16
  • Server DNS personalizzati: è possibile elencare fino a 5 server DNS

Pagina Informazioni di base

  1. Passare alla rete WAN virtuale creata. Nel riquadro sinistro della pagina Rete WAN virtuale, in Connettività, selezionare Hub.

  2. Nella pagina Hub selezionare + Nuovo hub per aprire la pagina Crea hub virtuale.

    Screenshot del riquadro Crea hub virtuale con la scheda Informazioni di base selezionata.

  3. Nella scheda Generale della pagina Crea hub virtuale completare i campi seguenti:

    • Area: selezionare l'area in cui distribuire l'hub virtuale.
    • Nome: nome con cui deve essere noto l'hub virtuale.
    • Spazio di indirizzi privato dell'hub: intervallo di indirizzi dell'hub nella notazione CIDR. Per creare un hub, lo spazio indirizzi minimo è /24.
    • Capacità hub virtuale: effettuare una selezione dall'elenco a discesa. Per altre informazioni, vedere Impostazioni dell'hub virtuale.
    • Preferenza di routing dell'hub: lasciare l'impostazione predefinita. Per altre informazioni, vedere Preferenza di routing dell’hub virtuale.

Pagina Da punto a sito

  1. Fare clic sulla scheda Da punto a sito per aprire la pagina di configurazione Da punto a sito. Per visualizzare le impostazioni Da punto a sito, fare clic su .

    Screenshot della configurazione dell'hub virtuale con l'opzione Da punto a sito selezionata.

  2. Configurare le impostazioni seguenti:

    • Unità di scala gateway: rappresenta la capacità aggregata del gateway VPN utente. Se si selezionano 40 o più unità di scala gateway, pianificare adeguatamente il pool di indirizzi client. Per informazioni sugli impatti di questa impostazione sul pool di indirizzi client, vedere Informazioni sui pool di indirizzi client. Per informazioni sulle unità di scala del gateway, vedere le Domande frequenti.

    • Configurazione da punto a sito: selezionare la configurazione VPN utente creata in un passaggio precedente.

    • Preferenza di routing: la preferenza di routing di Azure consente di scegliere come instradare il traffico tra Azure e Internet. È possibile scegliere di instradare il traffico tramite la rete Microsoft o tramite la rete dell'ISP (Internet pubblico). Queste opzioni sono anche dette rispettivamente routing cold potato e routing hot potato. L'indirizzo IP pubblico nella rete WAN virtuale viene assegnato dal servizio in base all'opzione di routing selezionata. Per altre informazioni sulla preferenza di routing tramite la rete Microsoft o l'ISP, vedere l'articolo Preferenza di routing.

    • Usa server RADIUS remoto/locale: quando un gateway VPN utente della rete WAN virtuale è configurato per l'uso dell'autenticazione basata su RADIUS, il gateway VPN utente funge da proxy e invia richieste di accesso RADIUS al server RADIUS. L'impostazione "Usa server RADIUS remoto/locale" è disabilitata per impostazione predefinita, vale a dire che il gateway VPN utente sarà in grado di inoltrare le richieste di autenticazione solo ai server RADIUS nelle reti virtuali connesse all'hub del gateway. L'abilitazione dell'impostazione consentirà al gateway VPN utente di eseguire l'autenticazione con i server RADIUS connessi a hub remoti o distribuiti in locale.

      Nota

      L'impostazione del server RADIUS remoto/locale e gli IP proxy correlati vengono usati solo se il gateway è configurato per l'uso dell'autenticazione basata su RADIUS. Se il gateway non è configurato per l'uso dell'autenticazione basata su RADIUS, questa impostazione verrà ignorata.

      È necessario attivare "Usa server RADIUS remoto/locale" se gli utenti si connetteranno al profilo VPN globale anziché al profilo basato sull’hub. Per altre informazioni, vedere profili globali e a livello di hub.

      Dopo aver creato il gateway VPN utente, passare al gateway e annotare il contenuto del campo IP proxy RADIUS. Gli IP proxy RADIUS sono gli IP di origine dei pacchetti RADIUS inviati dal gateway VPN utente al server RADIUS. Pertanto, il server RADIUS deve essere configurato per accettare le richieste di autenticazione dagli IP proxy RADIUS. Se il campo IP proxy RADIUS è vuoto o impostato su Nessuno, configurare il server RADIUS per accettare le richieste di autenticazione dallo spazio indirizzi dell'hub.

      Accertarsi, inoltre, di impostare le associazioni e le propagazioni della connessione (rete virtuale o locale) che ospita il server RADIUS in modo che si propaghi all’oggetto defaultRouteTable dell'hub distribuito con il gateway VPN da punto a sito e che la configurazione VPN da punto a sito si propaghi alla tabella di routing della connessione che ospita il server RADIUS. Queste operazioni sono necessarie per accertarsi che il gateway e il server RADIUS possano comunicare.

      Screenshot della configurazione di VPN utente con IP proxy RADIUS.

    • Pool di indirizzi client: il pool di indirizzi da cui gli indirizzi IP verranno assegnati automaticamente ai client VPN. I pool di indirizzi devono essere distinti. Non sono consentite sovrapposizioni tra i pool di indirizzi. Per altre informazioni, vedere Informazioni sui pool di indirizzi client.

    • Server DNS personalizzati: l'indirizzo IP dei server DNS che verranno usati dai client. È possibile specificarne fino a 5.

  3. Selezionare Rivedi e crea per convalidare le impostazioni.

  4. Al termine della convalida, selezionare Crea. La creazione di un hub può richiedere 30 minuti o più.

Generare i file di configurazione del client VPN

In questa sezione vengono generati e scaricati i file del profilo di configurazione. Questi file vengono usati per configurare il client VPN nativo nel computer client.

  1. Per generare un pacchetto di configurazione client VPN con profilo globale a livello di rete WAN, passare alla rete WAN virtuale (non all'hub virtuale).

  2. Nel riquadro sinistro, selezionare Configurazioni VN PN utente.

  3. Selezionare la configurazione per scaricare il profilo. Se sono stati assegnati più hub allo stesso profilo, espandere il profilo per visualizzare gli hub e selezionare uno degli hub che usano il profilo.

  4. Selezionare Scarica il profilo VPN utente della rete WAN virtuale.

  5. Nella pagina di download, selezionare EAPTLS, quindi Genera e scarica profilo. Un pacchetto del profilo (file ZIP) contenente le impostazioni di configurazione client viene generato e scaricato nel computer. Il contenuto del pacchetto dipende dalle scelte di autenticazione e tunnel per la configurazione.

Configurare client VPN

Usare il profilo scaricato per configurare i client di accesso remoto. La procedura per ogni sistema operativo è diversa; seguire le istruzioni applicabili al sistema in uso.

IKEv2

Nella configurazione VPN utente, se è stato specificato il tipo di tunnel VPN IKEv2, è possibile configurare il client VPN nativo (Windows e macOS Catalina o versioni successive).

I passaggi seguenti riguardano Windows. Per macOS, vedere passaggi IKEv2-macOS.

  1. Selezionare i file di configurazione del client VPN corrispondenti all'architettura del computer Windows. Per un'architettura con processore a 64 bit, scegliere il pacchetto di installazione "VpnClientSetupAmd64". Per un'architettura con processore a 32 bit, scegliere il pacchetto di installazione "VpnClientSetupX86".

  2. Fare doppio clic sul pacchetto per installarlo. Se viene visualizzato un popup SmartScreen, selezionare Altre informazioni e quindi Esegui comunque.

  3. Nel computer client passare a Impostazioni di rete e selezionare VPN. La connessione VPN viene visualizzata con il nome della rete virtuale a cui si connette.

  4. Installare un certificato client in ogni computer a cui connettersi tramite questa configurazione VPN utente. Quando si usa il tipo di autenticazione del certificato di Azure nativo, è necessario un certificato client per l'autenticazione. Per altre informazioni sulla generazione di certificati, vedere Generare i certificati. Per informazioni sull'installazione di un certificato client, vedere Installare un certificato client.

OpenVPN

Nella configurazione VPN utente, se è stato specificato il tipo di tunnel OpenVPN, è possibile scaricare e configurare il client VPN di Azure o, in alcuni casi, è possibile usare il software client OpenVPN. Per la procedura, usare il collegamento corrispondente alla propria configurazione.

Collegare la rete virtuale spoke

In questa sezione viene creata una connessione tra l’hub e la rete virtuale spoke.

  1. Nel portale di Azure passare alla rete WAN virtuale nel riquadro sinistro e selezionare Connessioni rete virtuale.

  2. Nella pagina Connessioni rete virtuale selezionare + Aggiungi connessione.

  3. Nella pagina Aggiungi connessione configurare le impostazioni della connessione. Per informazioni sulle impostazioni di routing, vedere Informazioni sul routing.

    Screenshot della pagina Aggiungi connessione.

    • Nome connessione: assegnare un nome alla connessione.
    • Hub: selezionare l'hub da associare a questa connessione.
    • Sottoscrizione: verificare la sottoscrizione.
    • Gruppo di risorse: selezionare il gruppo di risorse contenente la rete virtuale a cui connettersi.
    • Rete virtuale: selezionare la rete virtuale da connettere a questo hub. La rete virtuale selezionata non può contenere un gateway di rete virtuale già esistente.
    • Propaga a nessuno: per impostazione predefinita, questa opzione è impostata su No. Se si modifica l'opzione impostandola su , le opzioni di configurazione per Propaga alle tabelle di route e Propaga alle etichette non sono disponibili per la configurazione.
    • Associa tabella di route: dall'elenco a discesa è possibile selezionare una tabella di route da associare.
    • Propaga alle etichette: le etichette sono un gruppo logico di tabelle di route. Per questa impostazione, effettuare una selezione dall'elenco a discesa.
    • Route statiche: configurare le route statiche, se necessario. Configurare le route statici per le appliance virtuali di rete (se applicabile). La rete WAN virtuale supporta un singolo indirizzo IP hop successivo per la route statica in una connessione di rete virtuale. Ad esempio, se esiste un'appliance virtuale separata per i flussi di traffico in ingresso e in uscita, è preferibile avere le appliance virtuali in reti virtuali separate e collegare le reti virtuali all'hub virtuale.
    • Ignora indirizzo IP hop successivo per i carichi di lavoro all'interno di questa rete virtuale: questa impostazione consente di distribuire appliance virtuali di rete e altri carichi di lavoro nella stessa rete virtuale senza forzare tutto il traffico attraverso l'appliance virtuale di rete. È possibile configurare questa impostazione solo per una nuova connessione. Se si desidera usare questa impostazione per una connessione già creata, eliminare la connessione e aggiungerne una nuova.
    • Propaga route statica: questa impostazione è attualmente in fase di implementazione. Questa impostazione consente di propagare le route statiche definite nella sezione Route statiche alle tabelle di route specificate in Propaga a tabelle di route. Le route, inoltre, verranno propagate nelle tabelle di route con le etichette specificate come Propaga alle etichette. Queste route possono essere propagate tra hub, ad eccezione della route predefinita 0/0. Questa funzionalità è in fase di implementazione. Se serve che questa funzionalità sia abilitata, aprire un caso di supporto

  4. Una volta completate le impostazioni da configurare, fare clic su Crea per creare la connessione.

Creare macchine virtuali

In questa sezione vengono create due macchine virtuali nella rete virtuale, VM1 e VM2. Nel diagramma di rete si usa 10.18.0.4 e 10.18.0.5. Quando si configurano le macchine virtuali, accertarsi di selezionare la rete virtuale creata (disponibile nella scheda Rete). Per i passaggi necessari per creare una macchina virtuale, vedere Avvio rapido: Creare una macchina virtuale.

Proteggere l’hub virtuale

Un hub virtuale standard non dispone di criteri di sicurezza predefiniti per la protezione delle risorse nelle reti virtuali spoke. Un hub virtuale protetto usa Firewall di Azure o un provider di terzi per gestire il traffico in ingresso e in uscita per proteggere le risorse in Azure.

Convertire l'hub in un hub protetto usando l'articolo seguente: Configurare Firewall di Azure in un hub della rete WAN virtuale.

Creare regole per gestire e filtrare il traffico

Creare regole che determinano il comportamento di Firewall di Azure. Proteggendo l'hub, si garantisce che tutti i pacchetti che entrano nell'hub virtuale siano soggetti all'elaborazione del firewall prima dell’accesso alle risorse di Azure.

Dopo aver completato questi passaggi, è stata creata un'architettura che consente agli utenti VPN di accedere alla macchina virtuale con l’indirizzo IP privato 10.18.0.4, ma NON di accedere alla macchina virtuale con l’indirizzo IP privato 10.18.0.5

  1. Nel portale di Azure passare a Gestione firewall.

  2. In Sicurezza, selezionare Criteri di Firewall di Azure.

  3. Selezionare Crea criterio firewall di Azure.

  4. In Dettagli criteri, digitare un nome e selezionare l'area in cui viene distribuito l'hub virtuale.

  5. Selezionare Avanti: Impostazioni DNS.

  6. Selezionare Avanti: Regole.

  7. Nella scheda Regole selezionare Aggiungi una raccolta regole.

  8. Fornire un nome per la raccolta. Impostare il tipo Rete. Aggiungere un valore di priorità 100.

  9. Immettere il nome della regola, il tipo di origine, l'origine, il protocollo, le porte di destinazione e il tipo di destinazione, come illustrato nell'esempio seguente. Selezionare, quindi Aggiungi. Questa regola consente a qualunque indirizzo IP del pool di client VPN di accedere alla macchina virtuale con l’indirizzo IP privato 10.18.04, ma non ad altre risorse connesse all'hub virtuale. Creare tutte le regole da adattare alle regole di architettura e autorizzazioni desiderate.

    Regole del firewall

  10. Selezionare Avanti: Intelligence sulle minacce.

  11. Selezionare Avanti: Hub.

  12. Nella scheda Hub selezionare Associa hub virtuali.

  13. Selezionare l'hub virtuale creato in precedenza, quindi selezionare Aggiungi.

  14. Selezionare Rivedi e crea.

  15. Seleziona Crea.

Il completamento del processo può richiedere 5 minuti o più.

Instradare il traffico tramite Firewall di Azure

In questa sezione è necessario accertarsi che il traffico venga instradato tramite Firewall di Azure.

  1. Nel portale, da Gestione firewall, selezionare Hub virtuali protetti.
  2. Selezionare l’hub virtuale creato.
  3. In Impostazioni selezionare Configurazione della sicurezza.
  4. In Traffico privato selezionare Send via Azure Firewall (Invia tramite Firewall di Azure).
  5. Accertarsi che la connessione alla rete virtuale e il traffico privato della connessione branch siano protetti da Firewall di Azure.
  6. Seleziona Salva.

Nota

Se si desidera ispezionare il traffico destinato agli endpoint privati usando Firewall di Azure in un hub virtuale protetto, vedere Proteggere il traffico destinato agli endpoint privati nella rete WAN virtuale di Azure. È necessario aggiungere il prefisso /32 per ogni endpoint privato nei Prefissi traffico privato in Configurazione di sicurezza del Gestore firewall di Azure per ispezionarli tramite Firewall di Azure nell'hub virtuale protetto. Se questi prefissi /32 non sono configurati, il traffico destinato agli endpoint privati ignorerà Firewall di Azure.

Convalida

Verificare l’impostazione dell'hub protetto.

  1. Connettersi all'Hub virtuale protetto tramite VPN dal dispositivo client.
  2. Effettuare il ping dell'indirizzo IP 10.18.0.4 dal client. Verrà visualizzata una risposta.
  3. Effettuare il ping dell'indirizzo IP 10.18.0.5 dal client. Non verrà visualizzata una risposta.

Considerazioni

  • Accertarsi che la Tabella di routing effettivi nell'hub virtuale protetto abbia l'hop successivo per il traffico privato tramite il firewall. Per accedere alla Tabella di routing effettivi, passare alla risorsa Hub virtuale. In Connettività, selezionare Routing, quindi selezionare Routing effettivi. Da qui, selezionare la tabella di routing Predefinita.
  • Accertarsi di aver creato le regole nella sezione Crea regole. Se questi passaggi non vengono eseguiti, le regole create non verranno effettivamente associate all'hub e la tabella di routing e il flusso di pacchetti non useranno Firewall di Azure.

Passaggi successivi