Configurare gruppi di utenti e pool di indirizzi IP per VPN utente da sito a sito

  • Articolo

Le VPN utente da sito a sito offrono la possibilità di assegnare gli indirizzi IP degli utenti da pool di indirizzi specifici in base alle proprie credenziali di identità o autenticazione creando gruppi di utenti. Questo articolo illustra come configurare gruppi di utenti, membri del gruppo e definire le priorità dei gruppi. Per altre informazioni sull'uso dei gruppi di utenti, vedere Informazioni sui gruppi di utenti.

Prerequisiti

Prima di iniziare, assicurarsi di aver configurato una rete WAN virtuale che usa uno o più metodi di autenticazione. Per la procedura, vedere Esercitazione: Creare una connessione VPN da sito A2S rete WAN virtuale utente.

Workflow

Questo articolo usa il flusso di lavoro seguente per configurare gruppi di utenti e pool di indirizzi IP per la connessione VPN da sito a sito.

  1. Prendere in considerazione i requisiti di configurazione

  2. Scegliere un meccanismo di autenticazione

  3. Creare un gruppo di utenti

  4. Configurare le impostazioni del gateway

Passaggio 1: Prendere in considerazione i requisiti di configurazione

Questa sezione elenca i requisiti di configurazione e le limitazioni per i gruppi di utenti e i pool di indirizzi IP.

  • Il numero massimo di gruppi a cui è possibile fare riferimento un singolo gateway VPN da sito a sito è 90. Il numero massimo di membri di criteri/gruppi (criteri usati per identificare il gruppo di cui un utente che si connette fa parte) nei gruppi assegnati a un gateway è 390. Tuttavia, se un gruppo viene assegnato a più configurazioni di connessione nello stesso gateway, questo gruppo e i relativi membri vengono conteggiati più volte nei limiti. Ad esempio, se è presente un gruppo di criteri con 10 membri assegnati a tre configurazioni di connessione VPN nel gateway. Questa configurazione viene conteggiata come tre gruppi con 30 membri totali anziché un gruppo con 10 membri. Il numero totale di utenti simultanei che si connettono a un gateway è limitato dall'unità di scala del gateway e dal numero di indirizzi IP allocati a ogni gruppo di utenti e non dal numero di membri di criteri/gruppi associati a un gateway.

  • Dopo aver creato un gruppo come parte di una configurazione del server VPN, non è possibile modificare il nome e l'impostazione predefinita di un gruppo.

  • I nomi dei gruppi devono essere distinti.

  • I gruppi con priorità numerica inferiore vengono elaborati prima dei gruppi con priorità numerica più alta. Se un utente che si connette è membro di più gruppi, il gateway li considera un membro del gruppo con priorità numerica inferiore ai fini dell'assegnazione di indirizzi IP.

  • I gruppi usati dai gateway VPN da punto a sito esistenti non possono essere eliminati.

  • È possibile riordinare le priorità dei gruppi facendo clic sui pulsanti freccia verso l'alto corrispondenti a tale gruppo.

  • I pool di indirizzi non possono sovrapporsi ai pool di indirizzi usati in altre configurazioni di connessione (stessi o gateway diversi) nella stessa rete WAN virtuale.

  • I pool di indirizzi non possono sovrapporsi anche agli spazi indirizzi della rete virtuale, agli spazi indirizzi dell'hub virtuale o agli indirizzi locali.

  • I pool di indirizzi non possono essere più piccoli di /24. Ad esempio, non è possibile assegnare un intervallo di /25 o /26.

Passaggio 2: Scelta del meccanismo di autenticazione

Nelle sezioni seguenti sono elencati i meccanismi di autenticazione disponibili che possono essere usati durante la creazione di gruppi di utenti.

Gruppi di Microsoft Entra

Per creare e gestire gruppi di Active Directory, vedere Gestire i gruppi di Microsoft Entra e l'appartenenza ai gruppi.

  • L'ID oggetto gruppo Microsoft Entra (e non il nome del gruppo) deve essere specificato come parte della configurazione VPN utente da punto a sito rete WAN virtuale.
  • Gli utenti di Microsoft Entra possono essere assegnati come parte di più gruppi di Active Directory, ma rete WAN virtuale considera gli utenti come parte del gruppo di utenti/criteri di rete WAN virtuale con la priorità numerica più bassa.

RADIUS - Attributi specifici del fornitore nps

Per informazioni sulla configurazione degli attributi specifici del fornitore del server dei criteri di rete, vedere RADIUS - Configurare Server dei criteri di rete per attributi specifici del fornitore.

Certificati

Per generare certificati autofirmato, vedere Generare ed esportare certificati per connessioni VPN utente da sito a sito: PowerShell. Per generare un certificato con un nome comune specifico, modificare il parametro Subject impostando il valore appropriato (ad esempio, xx@domain.com) quando si esegue il New-SelfSignedCertificate comando Di PowerShell.

Passaggio 3: Creare un gruppo di utenti

Usare la procedura seguente per creare un gruppo di utenti.

  1. Nella portale di Azure passare alla pagina rete WAN virtuale -> Configurazioni VPN utente.

  2. Nella pagina Configurazioni VPN utente selezionare La configurazione VPN utente che si vuole modificare e quindi selezionare Modifica configurazione.

  3. Nella pagina Modifica configurazione VPN utente aprire la scheda Gruppi di utenti .

    Screenshot of enabling User Groups.

  4. Selezionare Sì per abilitare i gruppi di utenti. Quando questa configurazione del server viene assegnata a un gateway VPN da sito a sito, agli utenti che fanno parte degli stessi gruppi di utenti vengono assegnati indirizzi IP dagli stessi pool di indirizzi. Agli utenti che fanno parte di gruppi diversi vengono assegnati indirizzi IP di gruppi diversi. Quando si usa questa funzionalità, è necessario selezionare Gruppo predefinito per uno dei gruppi creati.

  5. Per iniziare a creare un nuovo gruppo di utenti, compilare il parametro name con il nome del primo gruppo.

  6. Accanto a Nome gruppo selezionare Configura gruppo per aprire la pagina Configura gruppo Impostazioni.

    Screenshot of creating a new group.

  7. Nella pagina Configura Impostazioni gruppo immettere i valori per ogni membro che si desidera includere in questo gruppo. Un gruppo può contenere più membri del gruppo.

    • Creare un nuovo membro compilando il campo Nome .

    • Selezionare l'opzione Authentication: Setting Type (Autenticazione: Tipo di impostazione) nell'elenco a discesa. L'elenco a discesa viene popolato automaticamente in base ai metodi di autenticazione selezionati per la configurazione VPN utente.

    • Digitare il valore. Per i valori validi, vedere Informazioni sui gruppi di utenti.

    Screenshot of configuring values for User Group members.

  8. Al termine della creazione delle impostazioni per il gruppo, selezionare Aggiungi e Ok.

  9. Creare eventuali gruppi aggiuntivi.

  10. Selezionare almeno un gruppo come predefinito. Gli utenti che non fanno parte di alcun gruppo specificato in un gateway verranno assegnati al gruppo predefinito nel gateway. Si noti anche che non è possibile modificare lo stato "predefinito" di un gruppo dopo la creazione del gruppo.

    Screenshot of selecting the default group.

  11. Selezionare le frecce per modificare l'ordine di priorità del gruppo.

    Screenshot of adjusting the priority order.

  12. Selezionare Rivedi e crea per creare e configurare. Dopo aver creato la configurazione VPN utente, configurare le impostazioni di configurazione del server gateway per l'uso della funzionalità gruppi di utenti.

Passaggio 4: Configurare le impostazioni del gateway

  1. Nel portale passare all'hub virtuale e selezionare VPN utente (da punto a sito).

  2. Nella pagina da punto a sito selezionare il collegamento Unità di scala gateway per aprire il gateway VPN Utente. Modificare il valore delle unità di scala del gateway dall'elenco a discesa per determinare la velocità effettiva del gateway.

  3. Per Configurazione del server da punto a sito selezionare la configurazione VPN utente configurata per i gruppi di utenti. Se queste impostazioni non sono ancora state configurate, vedere Creare un gruppo di utenti.

  4. Creare una nuova configurazione da punto a sito digitando un nuovo nome di configurazione.

  5. Selezionare uno o più gruppi da associare a questa configurazione. A tutti gli utenti che fanno parte di gruppi associati a questa configurazione verranno assegnati indirizzi IP dagli stessi pool di indirizzi IP.

    In tutte le configurazioni per questo gateway è necessario selezionare esattamente un gruppo di utenti predefinito.

    Screenshot of Edit User VPN gateway page with groups selected.

  6. Per Pool di indirizzi selezionare Configura per aprire la pagina Specifica pool di indirizzi . In questa pagina associare nuovi pool di indirizzi a questa configurazione. Agli utenti membri dei gruppi associati a questa configurazione verranno assegnati indirizzi IP dai pool specificati. In base al numero di unità di scala del gateway associate al gateway, potrebbe essere necessario specificare più pool di indirizzi. I pool di indirizzi non possono essere più piccoli di /24. Ad esempio, non è possibile assegnare un intervallo di /25 o /26 se si vuole avere un intervallo di pool di indirizzi più piccolo per i gruppi di utenti. Il prefisso minimo è /24. Selezionare Aggiungi e ok per salvare i pool di indirizzi.

    Screenshot of Specify Address Pools page.

  7. È necessaria una configurazione per ogni set di gruppi a cui devono essere assegnati indirizzi IP da pool di indirizzi diversi. Ripetere i passaggi per creare altre configurazioni. Vedere Passaggio 1 per i requisiti e le limitazioni relativi a pool di indirizzi e gruppi.

  8. Dopo aver creato le configurazioni necessarie, selezionare Modifica e quindi Conferma per salvare le impostazioni.

    Screenshot of Confirm settings.

Risoluzione dei problemi

  1. Verificare che i pacchetti abbiano gli attributi corretti?: Wireshark o un'altra acquisizione di pacchetti possono essere eseguiti in modalità NPS e decrittografare i pacchetti usando la chiave condivisa. È possibile verificare che i pacchetti vengano inviati dal server RADIUS al gateway VPN da punto a sito con il VSA RADIUS corretto configurato.
  2. Gli utenti ricevono un indirizzo IP errato?: configurare e controllare la registrazione degli eventi nps per l'autenticazione se gli utenti corrispondono o meno ai criteri.
  3. Problemi con i pool di indirizzi? Ogni pool di indirizzi viene specificato nel gateway. I pool di indirizzi vengono suddivisi in due pool di indirizzi e assegnati a ogni istanza attiva-attiva in una coppia di gateway VPN da punto a sito. Questi indirizzi di divisione devono essere visualizzati nella tabella di route effettiva. Ad esempio, se si specifica "10.0.0.0/24", nella tabella di route effettiva verranno visualizzate due route "/25". In caso contrario, provare a modificare i pool di indirizzi definiti nel gateway.
  4. Il client P2S non è in grado di ricevere route? Assicurarsi che tutte le configurazioni di connessione VPN da punto a sito siano associate all'oggetto defaultRouteTable e propagate allo stesso set di tabelle di route. Questa operazione deve essere configurata automaticamente se si usa il portale, ma se si usa REST, PowerShell o l'interfaccia della riga di comando, assicurarsi che tutte le propagazioni e le associazioni siano impostate in modo appropriato.
  5. Non è possibile abilitare Multipool usando il client VPN di Azure? Se si usa il client VPN di Azure, assicurarsi che il client VPN di Azure installato nei dispositivi utente sia la versione più recente. Per abilitare questa funzionalità, è necessario scaricare di nuovo il client.
  6. Tutti gli utenti vengono assegnati al gruppo predefinito? Se si usa l'autenticazione Microsoft Entra, assicurarsi che l'input dell'URL del tenant nella configurazione (https://login.microsoftonline.com/<tenant ID>) del server non finirà in un .\ Se l'URL è di input per terminare con \, il gateway non sarà in grado di elaborare correttamente i gruppi di utenti di Microsoft Entra e tutti gli utenti vengono assegnati al gruppo predefinito. Per correggere, modificare la configurazione del server per rimuovere il pool di \ indirizzi finale e modificare i pool di indirizzi configurati nel gateway per applicare le modifiche al gateway. Questo è un problema noto
  7. Si sta tentando di invitare utenti esterni a usare la funzionalità Multipool? Se si usa l'autenticazione Microsoft Entra e si prevede di invitare utenti esterni (utenti che non fanno parte del dominio Microsoft Entra configurato nel gateway VPN) per connettersi al gateway VPN rete WAN virtuale da punto a sito, assicurarsi che il tipo di utente dell'utente esterno sia "Membro" e non "Guest". Assicurarsi inoltre che il "Nome" dell'utente sia impostato sull'indirizzo di posta elettronica dell'utente. Se il tipo di utente e il nome dell'utente connesso non sono impostati correttamente come descritto in precedenza o non è possibile impostare un membro esterno come "Membro" del dominio Microsoft Entra, l'utente che si connette viene assegnato al gruppo predefinito e assegnato un INDIRIZZO IP dal pool di indirizzi IP predefinito.

Passaggi successivi