Concetti relativi alla VPN utente (da punto a sito)

L'articolo seguente descrive i concetti e le opzioni configurabili dal cliente associate alle configurazioni e ai gateway da punto a sito utente rete WAN virtuale utente. Questo articolo è suddiviso in più sezioni, incluse le sezioni relative ai concetti di configurazione del server VPN P2S e le sezioni relative ai concetti relativi al gateway VPN P2S.

Concetti di configurazione del server VPN

Le configurazioni del server VPN definiscono i parametri di autenticazione, crittografia e gruppo di utenti usati per autenticare gli utenti e assegnare indirizzi IP e crittografare il traffico. I gateway P2S sono associati alle configurazioni del server VPN P2S.

Concetti comuni

Concetto Descrizione Note
Tipo di tunnel Protocolli usati tra il gateway VPN P2S e la connessione degli utenti. Parametri disponibili: IKEv2, OpenVPN o entrambi. Per le configurazioni del server IKEv2, è disponibile solo l'autenticazione basata su certificato e RADIUS. Per le configurazioni del server VPN open, RADIUS, basata su certificato e autenticazione basata su Azure Active Directory sono disponibili. Inoltre, più metodi di autenticazione nella stessa configurazione del server (ad esempio, certificato e RADIUS nella stessa configurazione) sono supportati solo per OpenVPN. IKEv2 ha anche un limite di protocollo di 255 route, mentre OpenVPN ha un limite di 1000 route.
Parametri IPsec personalizzati Parametri di crittografia usati dal gateway VPN P2S per i gateway che usano IKEv2. Per i parametri disponibili, vedere Parametri IPsec personalizzati per VPN da punto a sito. Questo parametro non si applica ai gateway usando l'autenticazione OpenVPN.

Concetti relativi all'autenticazione dei certificati di Azure

I concetti seguenti sono correlati alle configurazioni del server che usano l'autenticazione basata su certificati.

Concetto Descrizione Note
Nome certificato radice Nome usato da Azure per identificare i certificati radice del cliente. Può essere configurato per essere qualsiasi nome. È possibile che siano presenti più certificati radice.
Dati dei certificati pubblici Certificati radice da cui vengono rilasciati i certificati client. Immettere la stringa corrispondente ai dati pubblici del certificato radice. Per un esempio per ottenere i dati pubblici del certificato radice, vedere il passaggio 8 nel documento seguente sulla generazione di certificati.
Certificato revocato Nome usato da Azure per identificare i certificati da revocare. Può essere configurato per essere qualsiasi nome.
Identificazione personale del certificato revocata Identificazione personale dei certificati utente finali che non devono essere in grado di connettersi al gateway. L'input per questo parametro è una o più identificazioni personali del certificato. Ogni certificato utente deve essere revocato singolarmente. La revoca di un certificato intermedio o di un certificato radice non revoca automaticamente tutti i certificati figlio.

Concetti relativi all'autenticazione RADIUS

Se un gateway VPN P2S è configurato per l'uso dell'autenticazione basata su RADIUS, il gateway VPN P2S funge da proxy del server criteri di rete (NPS) per inoltrare le richieste di autenticazione ai server RADIUS del cliente. I gateway possono usare uno o due sever RADIUS per elaborare le richieste di autenticazione. Le richieste di autenticazione vengono automaticamente bilanciate tra i server RADIUS se vengono fornite più richieste di autenticazione.

Concetto Descrizione Note
Segreto server primario Segreto server configurato nel server RADIUS primario del cliente usato per la crittografia dal protocollo RADIUS. Qualsiasi stringa privata condivisa.
Indirizzo IP del server primario Indirizzo IP privato del server RADIUS Questo INDIRIZZO IP deve essere un INDIRIZZO IP privato raggiungibile dall'hub virtuale. Assicurarsi che la connessione che ospita il server RADIUS venga propagata alla tabella predefinitaRouteTable dell'hub con il gateway.
Segreto server secondario Segreto server configurato nel secondo server RADIUS usato per la crittografia dal protocollo RADIUS. Qualsiasi stringa privata condivisa fornita.
Indirizzo IP del server secondario Indirizzo IP privato del server RADIUS Questo INDIRIZZO IP deve essere un INDIRIZZO IP privato raggiungibile dall'hub virtuale. Assicurarsi che la connessione che ospita il server RADIUS venga propagata alla tabella predefinitaRouteTable dell'hub con il gateway.
Certificato radice del server RADIUS Dati pubblici del certificato radice del server RADIUS. Questo campo è facoltativo. Immettere le stringhe corrispondenti ai dati pubblici del certificato radice RADIUS. È possibile immettere più certificati radice. Tutti i certificati client presentati per l'autenticazione devono essere emessi dai certificati radice specificati. Per un esempio per ottenere i dati pubblici del certificato, vedere il passaggio 8 nel documento seguente sulla generazione di certificati.
Certificati client revocati Identificazione personale dei certificati client RADIUS revocati. I client che presentano certificati revocati non potranno connettersi. Questo campo è facoltativo. Ogni certificato utente deve essere revocato singolarmente. La revoca di un certificato intermedio o di un certificato radice non revoca automaticamente tutti i certificati figlio.

Concetti relativi all'autenticazione di Azure Active Directory

I concetti seguenti sono correlati alle configurazioni del server che usano l'autenticazione basata su Azure Active Directory. L'autenticazione basata su Azure Active Directory è disponibile solo se il tipo di tunnel è OpenVPN.

Concetto Descrizione Parametri disponibili
Destinatari ID applicazione dell'applicazione Azure VPN Enterprise registrata nel tenant di Azure AD. Per altre informazioni su come registrare l'applicazione VPN di Azure nel tenant e trovare l'ID applicazione, vedere Configurazione di un tenant per le connessioni del protocollo OpenVPN utente P2S
Issuer URL completo corrispondente al servizio token di sicurezza (STS) associato ad Active Directory. Stringa nel formato seguente: https://sts.windows.net/<your Directory ID>/
Tenant di Azure Active Directory URL completo corrispondente al tenant di Active Directory usato per l'autenticazione nel gateway. Varia in base al cloud in cui viene distribuito il tenant di Active Directory. Per informazioni dettagliate sul cloud, vedere di seguito.

Azure AD Tenant ID (ID del tenant di Azure AD)

Nella tabella seguente viene descritto il formato dell'URL di Azure Active Directory in base al quale viene distribuito Azure Active Directory cloud.

Cloud Formato dei parametri
Cloud pubblico di Azure https://login.microsoftonline.com/{AzureAD TenantID}
Azure Government Cloud (Cloud Azure per enti pubblici) https://login.microsoftonline.us/{AzureAD TenantID}
Cina 21Vianet Cloud https://login.chinacloudapi.cn/{AzureAD TenantID}

Concetti relativi al gruppo di utenti (multi pool)

I concetti seguenti correlati ai gruppi di utenti (multi pool) in rete WAN virtuale. I gruppi di utenti consentono di assegnare indirizzi IP diversi per connettere gli utenti in base alle proprie credenziali, consentendo di configurare elenchi di Controllo di accesso e regole del firewall per proteggere i carichi di lavoro. Per altre informazioni ed esempi, vedere Concetti relativi a più pool.

La configurazione del server contiene le definizioni dei gruppi e i gruppi vengono quindi usati nei gateway per eseguire il mapping dei gruppi di configurazione del server agli indirizzi IP.

Concetto Descrizione Note
Gruppo di utenti/gruppo di criteri Un gruppo di utenti o un gruppo di criteri è una rappresentazione logica di un gruppo di utenti che devono essere assegnati indirizzi IP dallo stesso pool di indirizzi. Per altre informazioni, vedere informazioni sui gruppi di utenti.
Gruppo predefinito Quando gli utenti tentano di connettersi a un gateway usando la funzionalità del gruppo di utenti, gli utenti che non corrispondono a alcun gruppo assegnato al gateway vengono considerati automaticamente parte del gruppo predefinito e assegnati un indirizzo IP associato a tale gruppo. Ogni gruppo in una configurazione del server può essere specificato come gruppo predefinito o gruppo non predefinito e questa impostazione non può essere modificata dopo la creazione del gruppo. È possibile assegnare esattamente un gruppo predefinito a ogni gateway VPN P2S, anche se la configurazione del server assegnata ha più gruppi predefiniti.
Priorità del gruppo Quando più gruppi vengono assegnati a un gateway, un utente connesso può presentare credenziali che corrispondono a più gruppi. rete WAN virtuale elabora i gruppi assegnati a un gateway in ordine crescente di priorità. Le priorità sono numeri interi positivi e gruppi con priorità numeriche inferiori vengono elaborati prima. Ogni gruppo deve avere una priorità distinta.
Impostazioni di gruppo/membri I gruppi di utenti sono costituiti da membri. I membri non corrispondono a singoli utenti, ma definiscono invece i criteri o le condizioni di corrispondenza usati per determinare quale gruppo un utente che connette un utente fa parte. Una volta assegnato un gruppo a un gateway, un utente di connessione le cui credenziali corrispondono ai criteri specificati per uno dei membri del gruppo, viene considerato parte di tale gruppo e può essere assegnato un indirizzo IP appropriato. Per un elenco completo dei criteri disponibili, vedere Impostazioni del gruppo disponibili.

Concetti di configurazione del gateway

Le sezioni seguenti descrivono i concetti associati al gateway VPN P2S. Ogni gateway è associato a una configurazione del server VPN e include molte altre opzioni configurabili.

Concetti generali del gateway

Concetto Descrizione Note
Unità di scalabilità del gateway Un'unità di scalabilità del gateway definisce la quantità di velocità effettiva aggregata e gli utenti simultanei che un gateway VPN P2S può supportare. Le unità di scalabilità del gateway possono variare da 1 a 200, supportando da 500 a 100.000 utenti per gateway.
Configurazione del server P2S Definisce i parametri di autenticazione usati dal gateway VPN P2S per autenticare gli utenti in ingresso. Qualsiasi configurazione del server P2S associata al gateway rete WAN virtuale. La configurazione del server deve essere creata correttamente per fare riferimento a un gateway.
Preferenza di routing Consente di scegliere come instradare il traffico tra Azure e Internet. È possibile scegliere di instradare il traffico tramite la rete Microsoft o tramite la rete ISP (rete pubblica). Per altre informazioni su questa impostazione, vedere Informazioni sulle preferenze di routing? Questa impostazione non può essere modificata dopo la creazione del gateway.
Server DNS personalizzato Gli indirizzi IP dei server DNS che connettono gli utenti devono inoltrare richieste DNS a. Qualsiasi indirizzo IP instradabile.
Propaga route predefinita Se l'hub rete WAN virtuale è configurato con una route predefinita 0.0.0.0.0/0 (route statica nella tabella di route predefinita o 0.0.0.0/0 annunciata in locale, questa impostazione controlla se la route 0.0.0.0.0/0 viene annunciata per la connessione degli utenti. Questo campo può essere impostato su true o false.

Concetti specifici di RADIUS

Concetto Descrizione Note
Usare l'impostazione del server RADIUS remoto/locale Controlla se rete WAN virtuale può inoltrare pacchetti di autenticazione RADIUS a server RADIUS ospitati in locale o in un Rete virtuale connesso a un hub virtuale diverso. Questa impostazione include due valori, true o false. Quando rete WAN virtuale è configurato per l'uso dell'autenticazione basata su RADIUS, rete WAN virtuale gateway P2S funge da proxy RADIUS che invia richieste di autenticazione ai server RADIUS. Questa impostazione (se true) consente rete WAN virtuale gateway per comunicare con i server RADIUS distribuiti in locale o in un Rete virtuale connesso a un hub diverso. Se false, l'rete WAN virtuale sarà in grado di eseguire l'autenticazione solo con i server RADIUS ospitati nelle reti virtuali connesse all'hub con il gateway.
INDIRIZZI IP proxy RADIUS I pacchetti di autenticazione RADIUS inviati dal gateway VPN P2S al server RADIUS hanno indirizzi IP di origine specificati dal campo IP proxy RADIUS. Questi INDIRIZZI IP devono essere consentiti come client RADIUS nel server RADIUS. Questo parametro non è configurabile direttamente. Se 'Use Remote/On-premise RADIUS server' è impostato su true, gli INDIRIZZI IP proxy RADIUS vengono configurati automaticamente come indirizzi IP dai pool di indirizzi client specificati nel gateway. Se questa impostazione è false, gli indirizzi IP sono indirizzi IP dall'interno dello spazio indirizzi dell'hub. Gli INDIRIZZI IP proxy RADIUS sono disponibili in portale di Azure nella pagina gateway VPN P2S.

Concetti di configurazione della connessione

Esistono una o più configurazioni di connessione in un gateway VPN P2S. Ogni configurazione di connessione ha una configurazione di routing (vedere di seguito per gli avvisi) e rappresenta un gruppo o un segmento di utenti assegnati dagli stessi pool di indirizzi.

Concetto Descrizione Note
Nome della configurazione Nome per una configurazione VPN P2S È possibile specificare qualsiasi nome. È possibile disporre di più configurazioni di connessione in un gateway se si usa la funzionalità gruppi utenti/multi-pool. Se non si usa questa funzionalità, è possibile che esista una sola configurazione per gateway.
Gruppi di utenti Gruppi di utenti che corrispondono a una configurazione Qualsiasi gruppo di utenti a cui fa riferimento nella configurazione del server VPN. Questo parametro è facoltativo e, Per altre informazioni, vedere informazioni sui gruppi di utenti.
Pool di indirizzi I pool di indirizzi sono indirizzi IP privati assegnati agli utenti. I pool di indirizzi possono essere specificati come qualsiasi blocco CIDR che non si sovrappone a spazi di indirizzi dell'hub virtuale, indirizzi IP usati nelle reti virtuali connesse a rete WAN virtuale o indirizzi annunciati dall'ambiente locale. A seconda dell'unità di scala specificata nel gateway, potrebbe essere necessario più di un blocco CIDR. Per altre informazioni, vedere informazioni sui pool di indirizzi.
Configurazione di routing Ogni connessione all'hub virtuale ha una configurazione di routing, che definisce la tabella di route a cui è associata la connessione e a quali tabelle di route si propaga la tabella di route. Tutte le connessioni di ramo allo stesso hub (ExpressRoute, VPN, NVA) devono associare alla tabella predefinitaRouteTable e propagare allo stesso set di tabelle di route. La propagazione diversa per le connessioni rami può causare comportamenti di routing imprevisti, in quanto rete WAN virtuale sceglierà la configurazione di routing per un ramo e la applica a tutti i rami e quindi le route apprese da locale.

Passaggi successivi

Aggiungere collegamenti qui a un paio di articoli per i passaggi successivi.