Concetti relativi alla VPN utente (da punto a sito)

L'articolo seguente descrive i concetti e le opzioni configurabili dal cliente associati a configurazioni e gateway VPN da punto a sito (P2S) utente rete WAN virtuale utente. Questo articolo è suddiviso in più sezioni, incluse sezioni sui concetti di configurazione del server VPN da sito a sito e sezioni sui concetti relativi al gateway VPN da sito a sito.

Concetti di configurazione del server VPN

Le configurazioni del server VPN definiscono i parametri di autenticazione, crittografia e gruppo di utenti usati per autenticare gli utenti e assegnare indirizzi IP e crittografare il traffico. I gateway da sito a sito sono associati alle configurazioni del server VPN da sito a sito.

Concetti comuni

Idea Descrizione Note
Tipo di tunnel Protocolli usati tra il gateway VPN da sito a sito e gli utenti che si connettono. Parametri disponibili: IKEv2, OpenVPN o entrambi. Per le configurazioni del server IKEv2, è disponibile solo l'autenticazione basata su certificati e RADIUS. Per le configurazioni del server VPN open, sono disponibili l'autenticazione basata su RADIUS, basata su certificati e MICROSOFT Entra ID. Inoltre, più metodi di autenticazione nella stessa configurazione del server (ad esempio, certificato e RADIUS nella stessa configurazione) sono supportati solo per OpenVPN. IKEv2 ha anche un limite a livello di protocollo di 255 route, mentre OpenVPN ha un limite di 1000 route.
Parametri IPsec personalizzati Parametri di crittografia usati dal gateway VPN da sito a sito per i gateway che usano IKEv2. Per i parametri disponibili, vedere Parametri IPsec personalizzati per vpn da punto a sito. Questo parametro non si applica ai gateway che usano l'autenticazione OpenVPN.

Concetti relativi all'autenticazione del certificato di Azure

I concetti seguenti sono correlati alle configurazioni del server che usano l'autenticazione basata su certificati.

Idea Descrizione Note
Nome certificato radice Nome usato da Azure per identificare i certificati radice del cliente. Può essere configurato in modo che sia qualsiasi nome. Potrebbero essere presenti più certificati radice.
Dati del certificato pubblico Certificati radice da cui vengono rilasciati i certificati client. Immettere la stringa corrispondente ai dati pubblici del certificato radice. Per un esempio su come ottenere i dati pubblici del certificato radice, vedere il passaggio 8 nel documento seguente sulla generazione di certificati.
Certificato revocato Nome usato da Azure per identificare i certificati da revocare. Può essere configurato in modo che sia qualsiasi nome.
Identificazione personale del certificato revocata Identificazione personale dei certificati dell'utente finale che non devono essere in grado di connettersi al gateway. L'input per questo parametro è costituito da una o più identificazioni personali del certificato. Ogni certificato utente deve essere revocato singolarmente. La revoca di un certificato intermedio o di un certificato radice non revoca automaticamente tutti i certificati figlio.

Concetti relativi all'autenticazione RADIUS

Se un gateway VPN da sito a sito è configurato per l'uso dell'autenticazione basata su RADIUS, il gateway VPN da sito a sito funge da proxy del server dei criteri di rete (NPS) per inoltrare le richieste di autenticazione ai server RADIUS del cliente. I gateway possono usare uno o due server RADIUS per elaborare le richieste di autenticazione. Le richieste di autenticazione vengono automaticamente bilanciate tra i server RADIUS se vengono forniti più.

Idea Descrizione Note
Segreto server primario Segreto server configurato nel server RADIUS primario del cliente usato per la crittografia tramite protocollo RADIUS. Qualsiasi stringa privata condivisa.
Indirizzo IP del server primario Indirizzo IP privato del server RADIUS Questo indirizzo IP deve essere un indirizzo IP privato raggiungibile dall'hub virtuale. Assicurarsi che la connessione che ospita il server RADIUS venga propagata alla tabella predefinitaRouteTable dell'hub con il gateway.
Segreto del server secondario Segreto server configurato nel secondo server RADIUS utilizzato per la crittografia tramite protocollo RADIUS. Qualsiasi stringa di segreto condivisa specificata.
Indirizzo IP del server secondario Indirizzo IP privato del server RADIUS Questo indirizzo IP deve essere un indirizzo IP privato raggiungibile dall'hub virtuale. Assicurarsi che la connessione che ospita il server RADIUS venga propagata alla tabella predefinitaRouteTable dell'hub con il gateway.
Certificato radice del server RADIUS Dati pubblici del certificato radice del server RADIUS. Questo campo è facoltativo. Immettere le stringhe corrispondenti ai dati pubblici del certificato radice RADIUS. È possibile immettere più certificati radice. Tutti i certificati client presentati per l'autenticazione devono essere rilasciati dai certificati radice specificati. Per un esempio su come ottenere i dati pubblici dei certificati, vedere il passaggio 8 nel documento seguente sulla generazione di certificati.
Certificati client revocati Identificazioni personali dei certificati client RADIUS revocati. I client che presentano certificati revocati non potranno connettersi. Questo campo è facoltativo. Ogni certificato utente deve essere revocato singolarmente. La revoca di un certificato intermedio o di un certificato radice non revoca automaticamente tutti i certificati figlio.

Concetti relativi all'autenticazione di Microsoft Entra

I concetti seguenti sono correlati alle configurazioni del server che usano l'autenticazione basata su ID Di Microsoft Entra. L'autenticazione basata su ID Microsoft Entra è disponibile solo se il tipo di tunnel è OpenVPN.

Idea Descrizione Parametri disponibili
Destinatario ID applicazione dell'applicazione aziendale VPN di Azure registrata nel tenant di Microsoft Entra. Per altre informazioni su come registrare l'applicazione VPN di Azure nel tenant e trovare l'ID applicazione, vedere Configurazione di un tenant per le connessioni del protocollo OpenVPN per l'utente da punto a sito
Autorità di certificazione URL completo corrispondente al servizio token di sicurezza (STS) associato ad Active Directory. Stringa nel formato seguente: https://sts.windows.net/<your Directory ID>/
Tenant di Microsoft Entra URL completo corrispondente al tenant di Active Directory usato per l'autenticazione nel gateway. Varia in base al cloud in cui viene distribuito il tenant di Active Directory. Per informazioni dettagliate sul cloud, vedere di seguito.

Microsoft Entra tenant ID

La tabella seguente descrive il formato dell'URL di Microsoft Entra basato sul cloud in cui viene distribuito l'ID Microsoft Entra.

Cloud Formato dei parametri
Cloud pubblico di Azure https://login.microsoftonline.com/{AzureAD TenantID}
Cloud di Azure per enti pubblici https://login.microsoftonline.us/{AzureAD TenantID}
Cina 21Vianet Cloud https://login.chinacloudapi.cn/{AzureAD TenantID}

Concetti relativi al gruppo di utenti (multi-pool)

I concetti seguenti correlati ai gruppi di utenti (più pool) in rete WAN virtuale. I gruppi di utenti consentono di assegnare indirizzi IP diversi per connettere gli utenti in base alle proprie credenziali, consentendo di configurare elenchi di Controllo di accesso (ACL) e regole del firewall per proteggere i carichi di lavoro. Per altre informazioni ed esempi, vedere Concetti relativi a più pool.

La configurazione del server contiene le definizioni dei gruppi e i gruppi vengono quindi usati nei gateway per eseguire il mapping dei gruppi di configurazione del server agli indirizzi IP.

Idea Descrizione Note
Gruppo di utenti/gruppo di criteri Un gruppo di criteri o un gruppo di criteri utente è una rappresentazione logica di un gruppo di utenti a cui devono essere assegnati indirizzi IP dallo stesso pool di indirizzi. Per altre informazioni, vedere Informazioni sui gruppi di utenti.
Gruppo predefinito Quando gli utenti tentano di connettersi a un gateway usando la funzionalità del gruppo di utenti, gli utenti che non corrispondono ad alcun gruppo assegnato al gateway vengono considerati automaticamente parte del gruppo predefinito e assegnati un indirizzo IP associato a tale gruppo. Ogni gruppo in una configurazione del server può essere specificato come gruppo predefinito o gruppo non predefinito e questa impostazione non può essere modificata dopo la creazione del gruppo. È possibile assegnare esattamente un gruppo predefinito a ogni gateway VPN da sito a sito, anche se la configurazione del server assegnata ha più gruppi predefiniti.
Priorità del gruppo Quando più gruppi vengono assegnati a un gateway, un utente che si connette può presentare credenziali che corrispondono a più gruppi. rete WAN virtuale elabora i gruppi assegnati a un gateway in ordine crescente di priorità. Le priorità sono numeri interi positivi e i gruppi con priorità numerica inferiore vengono elaborati per primi. Ogni gruppo deve avere una priorità distinta.
Impostazioni/membri del gruppo I gruppi di utenti sono costituiti da membri. I membri non corrispondono ai singoli utenti, ma definiscono invece i criteri o le condizioni di corrispondenza usati per determinare quale gruppo fa parte di un utente che si connette. Una volta assegnato un gruppo a un gateway, un utente che si connette le cui credenziali corrispondono ai criteri specificati per uno dei membri del gruppo, viene considerato parte di tale gruppo e può essere assegnato un indirizzo IP appropriato. Per un elenco completo dei criteri disponibili, vedere le impostazioni dei gruppi disponibili.

Concetti di configurazione del gateway

Le sezioni seguenti descrivono i concetti associati al gateway VPN da sito a sito. Ogni gateway è associato a una configurazione del server VPN e include molte altre opzioni configurabili.

Concetti generali sul gateway

Idea Descrizione Note
Unità di scala gateway Un'unità di scala del gateway definisce la quantità di velocità effettiva aggregata e gli utenti simultanei che un gateway VPN da sito a sito può supportare. Le unità di scala del gateway possono variare da 1 a 200, supportando da 500 a 100.000 utenti per gateway.
Configurazione del server da sito a sito Definisce i parametri di autenticazione usati dal gateway VPN da sito a sito per autenticare gli utenti in ingresso. Qualsiasi configurazione del server da sito associato al gateway rete WAN virtuale. Per fare riferimento a un gateway, è necessario creare correttamente la configurazione del server.
Preferenza di routing Consente di scegliere come instradare il traffico tra Azure e Internet. È possibile scegliere di instradare il traffico tramite la rete Microsoft o tramite la rete ISP (rete pubblica). Per altre informazioni su questa impostazione, vedere Che cos'è la preferenza di routing? Questa impostazione non può essere modificata dopo la creazione del gateway.
Server DNS personalizzato Gli indirizzi IP dei server DNS che connettono gli utenti devono inoltrare le richieste DNS a. Qualsiasi indirizzo IP instradabile.
Propaga route predefinita Se l'hub rete WAN virtuale è configurato con una route predefinita 0.0.0.0/0 (route statica nella tabella di route predefinita o 0.0.0.0/0 pubblicizzata dall'ambiente locale, questa impostazione controlla se la route 0.0.0.0.0/0 viene pubblicizzata per la connessione degli utenti. Questo campo può essere impostato su vero o falso.

Concetti specifici di RADIUS

Idea Descrizione Note
Usare l'impostazione del server RADIUS remoto/locale Controlla se rete WAN virtuale può inoltrare pacchetti di autenticazione RADIUS a server RADIUS ospitati in locale o in un Rete virtuale connesso a un hub virtuale diverso. Questa impostazione ha due valori, true o false. Quando rete WAN virtuale è configurato per l'uso dell'autenticazione basata su RADIUS, rete WAN virtuale gateway da sito a sito funge da proxy RADIUS che invia richieste di autenticazione ai server RADIUS. Questa impostazione (se true) consente al gateway rete WAN virtuale di comunicare con i server RADIUS distribuiti in locale o in un Rete virtuale connesso a un hub diverso. Se false, il rete WAN virtuale sarà in grado di eseguire l'autenticazione solo con i server RADIUS ospitati in Rete virtuale connessi all'hub con il gateway.
IP proxy RADIUS I pacchetti di autenticazione RADIUS inviati dal gateway VPN da sito a sito al server RADIUS hanno indirizzi IP di origine specificati dal campo IP proxy RADIUS. Questi indirizzi IP devono essere consentiti come client RADIUS nel server RADIUS. Questo parametro non è configurabile direttamente. Se 'Usa server RADIUS remoto/locale' è impostato su true, gli INDIRIZZI IP proxy RADIUS vengono configurati automaticamente come indirizzi IP dai pool di indirizzi client specificati nel gateway. Se questa impostazione è false, gli indirizzi IP sono indirizzi IP dall'interno dello spazio indirizzi dell'hub. Gli INDIRIZZI IP proxy RADIUS sono disponibili in portale di Azure nella pagina gateway VPN da sito a sito.

Concetti di configurazione di Connessione ion

In un gateway VPN da sito a sito possono essere presenti una o più configurazioni di connessione. Ogni configurazione di connessione ha una configurazione di routing (vedere di seguito per le avvertenze) e rappresenta un gruppo o un segmento di utenti assegnati dagli stessi pool di indirizzi.

Idea Descrizione Note
Nome della configurazione Nome per una configurazione VPN da sito a sito È possibile specificare qualsiasi nome. È possibile avere più configurazioni di connessione in un gateway se si usa la funzionalità gruppi di utenti/multi-pool. Se non si usa questa funzionalità, può essere presente una sola configurazione per ogni gateway.
Gruppi di utenti Gruppi di utenti che corrispondono a una configurazione Qualsiasi gruppo di utenti a cui viene fatto riferimento nella configurazione del server VPN. Il parametro è facoltativo. Per altre informazioni, vedere Informazioni sui gruppi di utenti.
Pool di indirizzi I pool di indirizzi sono indirizzi IP privati a cui vengono assegnati gli utenti che si connettono. I pool di indirizzi possono essere specificati come qualsiasi blocco CIDR che non si sovrapponga a spazi di indirizzi dell'hub virtuale, indirizzi IP usati in Rete virtuale connessi a rete WAN virtuale o indirizzi annunciati dall'ambiente locale. A seconda dell'unità di scala specificata nel gateway, potrebbe essere necessario più di un blocco CIDR. Per altre informazioni, vedere Informazioni sui pool di indirizzi.
Configurazione del routing Ogni connessione all'hub virtuale ha una configurazione di routing, che definisce la tabella di route a cui è associata la connessione e a quali tabelle di route si propaga la tabella di route. Tutte le connessioni di ramo allo stesso hub (ExpressRoute, VPN, appliance virtuale di rete) devono essere associate alla tabella predefinitaRouteTable e propagate allo stesso set di tabelle di route. La presenza di propagazioni diverse per le connessioni rami può comportare comportamenti di routing imprevisti, in quanto rete WAN virtuale sceglierà la configurazione di routing per un ramo e la applicherà a tutti i rami e quindi le route apprese dall'ambiente locale.

Passaggi successivi

Aggiungere collegamenti qui a un paio di articoli per i passaggi successivi.