Condividi tramite

Configurare gruppi di utenti e pool di indirizzi IP per VPN utente da punto a sito

  • Articolo

Le VPN utente da punto a sito offrono la possibilità di assegnare agli utenti indirizzi IP da pool di indirizzi specifici in base alle credenziali di identità o autenticazione creando gruppi di utenti. Questo articolo illustra come configurare i gruppi di utenti, i membri dei gruppi e come definire le priorità dei gruppi. Per altre informazioni sull'utilizzo dei gruppi di utenti, vedere Informazioni sui gruppi di utenti.

Prerequisiti

Prima di iniziare, assicurarsi di aver configurato una rete WAN virtuale che usa uno o più metodi di autenticazione. Per la procedura, vedere Esercitazione: Creare una connessione VPN utente da punto a sito della rete WAN virtuale.

Workflow

Questo articolo usa il flusso di lavoro seguente per configurare gruppi di utenti e pool di indirizzi IP per la connessione VPN da punto a sito.

  1. Prendere in considerazione i requisiti di configurazione

  2. Scegliere un meccanismo di autenticazione

  3. Creare un gruppo di utenti

  4. Configurare le impostazioni del gateway

Passaggio 1: Prendere in considerazione i requisiti di configurazione

Questa sezione elenca i requisiti di configurazione e le limitazioni per i gruppi di utenti e i pool di indirizzi IP.

  • Numero massimo di gruppi: un singolo gateway VPN da sito a sito può fare riferimento a un massimo di 90 gruppi.

  • Numero massimo di membri: il numero totale di membri di criteri/gruppi in tutti i gruppi assegnati a un gateway è 390.

  • Più assegnazioni: se un gruppo viene assegnato a più configurazioni di connessione nello stesso gateway, i relativi membri vengono conteggiati più volte. Esempio: un gruppo di criteri con 10 membri assegnati a tre configurazioni di connessione VPN conta tre gruppi con 30 membri, non un gruppo con 10 membri.

  • Utenti simultanei: il numero totale di utenti simultanei è determinato dall'unità di scala del gateway e dal numero di indirizzi IP allocati a ogni gruppo di utenti. Non è determinato dal numero di membri di criteri/gruppi associati al gateway.

  • Dopo aver creato un gruppo come parte di una configurazione del server VPN, non è possibile modificare il nome e l'impostazione predefinita di un gruppo.

  • I nomi dei gruppi devono essere distinti.

  • I gruppi con priorità numerica più bassa vengono elaborati prima dei gruppi con priorità numerica più alta. Se un utente che si connette è membro di più gruppi, il gateway lo considera membro del gruppo con priorità numerica più bassa ai fini dell'assegnazione di indirizzi IP.

  • I gruppi usati dai gateway VPN da punto a sito esistenti non possono essere eliminati.

  • È possibile riordinare le priorità dei gruppi facendo clic sui pulsanti freccia su o freccia giù corrispondenti al gruppo.

  • I pool di indirizzi non possono sovrapporsi ai pool di indirizzi usati in altre configurazioni di connessione (stessi gateway o gateway diversi) nella stessa rete WAN virtuale.

  • I pool di indirizzi non possono neanche sovrapporsi agli spazi indirizzi della rete virtuale, agli spazi indirizzi dell'hub virtuale o agli indirizzi locali.

  • I pool di indirizzi non possono essere più piccoli di /24. Ad esempio, non è possibile assegnare un intervallo di /25 o /26.

Passaggio 2: Scelta del meccanismo di autenticazione

Nelle sezioni seguenti sono elencati i meccanismi di autenticazione disponibili che possono essere usati durante la creazione di gruppi di utenti.

Gruppi di Microsoft Entra

Per creare e gestire gruppi di Active Directory, vedere Gestire i gruppi e l'appartenenza ai gruppi di Microsoft Entra.

  • È necessario specificare l'ID oggetto gruppo di Microsoft Entra (e non il nome del gruppo) come parte della configurazione VPN utente da punto a sito della rete WAN virtuale.
  • Gli utenti di Microsoft Entra possono essere assegnati a più gruppi di Active Directory, ma la rete WAN virtuale considera gli utenti come appartenenti al gruppo utenti/criteri della rete WAN virtuale con la priorità numerica più bassa.

RADIUS - Attributi specifici del fornitore NPS

Per informazioni sulla configurazione degli attributi specifici del fornitore del server dei criteri di rete (NPS), vedere RADIUS - Configurare NPS per gli attributi specifici del fornitore.

Certificati

Per generare certificati autofirmato, vedere Generare ed esportare certificati per le connessioni VPN utente da punto a sito: PowerShell. Per generare un certificato con un nome comune specifico, modificare il parametro Soggetto con il valore appropriato (ad esempio, xx@domain.com) quando si esegue il comando di PowerShell New-SelfSignedCertificate. Ad esempio, è possibile generare certificati con il Soggettoseguente:

Campo certificato digitale valore description
Argomento Nome comune = cert@marketing.contoso.com Certificato digitale per il reparto Marketing
Argomento Nome comune = cert@sale.contoso.com Certificato digitale per il reparto Vendita
Argomento Nome comune = cert@engineering.contoso.com Certificato digitale per il reparto Engineering
Argomento Nome comune = cert@finance.contoso.com Certificato digitale per il reparto Finanza

Nota

La funzionalità del pool di indirizzi multipli con l'autenticazione del certificato digitale si applica a un gruppo di utenti specifico in base al campo Soggetto. I criteri di selezione non funzionano con i certificati SAN (nome alternativo del soggetto).

Passaggio 3: Creare un gruppo di utenti

Usare la procedura seguente per creare un gruppo di utenti.

  1. Nel portale di Azure passare alla pagina Rete WAN virtuale -> Configurazioni VPN utente.

  2. Nella pagina Configurazioni VPN utente selezionare la configurazione VPN utente da modificare e quindi selezionare Modifica configurazione.

  3. Nella pagina Modifica configurazione VPN utente aprire la scheda Gruppi di utenti.

    Screenshot dell'abilitazione dei gruppi di utenti.

  4. Selezionare per abilitare i gruppi di utenti. Quando questa configurazione del server viene assegnata a un gateway VPN da punto a sito, agli utenti che fanno parte degli stessi gruppi di utenti vengono assegnati indirizzi IP dagli stessi pool di indirizzi. Agli utenti che fanno parte di gruppi diversi vengono assegnati indirizzi IP di gruppi diversi. Quando si usa questa funzionalità, è necessario selezionare il gruppo Predefinito per uno dei gruppi creati.

  5. Per iniziare a creare un nuovo gruppo di utenti, compilare il parametro nome con il nome del primo gruppo.

  6. Accanto a Nome gruppo selezionare Configura gruppo per aprire la pagina Configura impostazioni gruppo.

    Screenshot della creazione di un nuovo gruppo.

  7. Nella pagina Configura impostazioni gruppo compilare i valori per ogni membro che si desidera includere in questo gruppo. Un gruppo può contenere più membri del gruppo.

    • Creare un nuovo membro compilando il campo Nome.

    • Selezionare Autenticazione: Tipo di impostazione dall'elenco a discesa. L'elenco a discesa viene popolato automaticamente in base ai metodi di autenticazione selezionati per la configurazione VPN utente.

    • Digitare il Valore. Per i valori validi, vedere Informazioni sui gruppi di utenti.

    Screenshot della configurazione dei valori per i membri del gruppo di utenti.

  8. Al termine della creazione delle impostazioni per il gruppo, selezionare Aggiungi e OK.

  9. Creare eventuali gruppi aggiuntivi.

  10. Selezionare almeno un gruppo come predefinito. Gli utenti che non fanno parte di alcun gruppo specificato in un gateway verranno assegnati al gruppo predefinito nel gateway. Si noti anche che non è possibile modificare lo stato "predefinito" di un gruppo dopo la creazione del gruppo.

    Screenshot della selezione del gruppo predefinito.

  11. Selezionare le frecce per modificare l'ordine di priorità del gruppo.

    Screenshot della modifica dell'ordine di priorità.

  12. Selezionare Rivedi e crea per creare e configurare. Dopo aver creato la configurazione VPN utente, configurare le impostazioni di configurazione del server gateway per l'uso della funzionalità gruppi di utenti.

Passaggio 4: Configurare le impostazioni del gateway

  1. Nel portale passare all'hub virtuale e selezionare VPN utente (da punto a sito).

  2. Nella pagina Da punto a sito selezionare il collegamento Unità di scala gateway per aprire la pagina Modifica gateway VPN utente. Modificare il valore Unità di scala gateway dall'elenco a discesa per determinare la velocità effettiva del gateway.

  3. Per Configurazione del server da punto a sito selezionare la configurazione VPN utente configurata per i gruppi di utenti. Se queste impostazioni non sono ancora state configurate, vedere Creare un gruppo di utenti.

  4. Creare una nuova configurazione da punto a sito digitando un nuovo Nome di configurazione.

  5. Selezionare uno o più gruppi da associare a questa configurazione. A tutti gli utenti che fanno parte di gruppi associati a questa configurazione verranno assegnati indirizzi IP dagli stessi pool di indirizzi IP.

    In tutte le configurazioni di questo gateway è necessario che sia selezionato esattamente un gruppo di utenti predefinito.

    Screenshot della pagina Modifica gateway VPN utente con i gruppi selezionati.

  6. Per Pool di indirizzi selezionare Configura per aprire la pagina Specifica pool di indirizzi. In questa pagina associare nuovi pool di indirizzi a questa configurazione. Agli utenti membri dei gruppi associati a questa configurazione verranno assegnati gli indirizzi IP dai pool specificati. In base al numero di Unità di scala gateway associate al gateway, potrebbe essere necessario specificare più pool di indirizzi. I pool di indirizzi non possono essere più piccoli di /24. Ad esempio, non è possibile assegnare un intervallo di /25 o /26 se si vuole avere un intervallo di pool di indirizzi più piccolo per i gruppi di utenti. Il prefisso minimo è /24. Selezionare Aggiungi e OK per salvare i pool di indirizzi.

    Screenshot della pagina Specifica pool di indirizzi.

  7. È necessaria una configurazione per ogni set di gruppi a cui devono essere assegnati indirizzi IP da pool di indirizzi diversi. Ripetere i passaggi per creare altre configurazioni. Vedere il Passaggio 1 per i requisiti e le limitazioni relativi a pool di indirizzi e gruppi.

  8. Dopo aver creato le configurazioni necessarie, selezionare Modifica e quindi Conferma per salvare le impostazioni.

    Screenshot di Conferma delle impostazioni.

Risoluzione dei problemi

  1. Verificare che i pacchetti abbiano gli attributi corretti: è possibile eseguire Wireshark o un'altra acquisizione di pacchetti in modalità NPS e decrittografare i pacchetti usando la chiave condivisa. È possibile verificare che i pacchetti vengano inviati dal server RADIUS al gateway VPN da punto a sito con il VSA RADIUS corretto configurato.
  2. Agli utenti viene assegnato un indirizzo IP errato?: configurare e controllare la registrazione degli eventi NPS per verificare se gli utenti corrispondono o meno ai criteri.
  3. Problemi con i pool di indirizzi? Ogni pool di indirizzi viene specificato nel gateway. I pool di indirizzi vengono suddivisi in due pool di indirizzi e assegnati a ogni istanza attiva-attiva in una coppia di gateway VPN da punto a sito. Questi indirizzi suddivisi devono essere visualizzati nella tabella di route valida. Ad esempio, se si specifica "10.0.0.0/24", nella tabella di route valida verranno visualizzate due route "/25". In caso contrario, provare a modificare i pool di indirizzi definiti nel gateway.
  4. Il client da punto a sito non è in grado di ricevere le route? Assicurarsi che tutte le configurazioni di connessione VPN da punto a sito siano associate all'oggetto defaultRouteTable e propagate allo stesso set di tabelle di route. Questa operazione deve essere configurata automaticamente se si usa il portale, ma se si usa REST, PowerShell o l'interfaccia della riga di comando, assicurarsi che tutte le propagazioni e le associazioni siano impostate in modo appropriato.
  5. Non è possibile abilitare Multipool usando il client VPN di Azure? Se si usa il client VPN di Azure, assicurarsi che il client VPN di Azure installato nei dispositivi degli utenti sia la versione più recente. Per abilitare questa funzionalità, è necessario scaricare di nuovo il client.
  6. Tutti gli utenti vengono assegnati al gruppo Predefinito? Se si usa l'autenticazione Microsoft Entra, assicurarsi che l'URL del tenant immesso nella configurazione del server (https://login.microsoftonline.com/<tenant ID>) non termini con \. Se l'URL immesso termina con \, il gateway non sarà in grado di elaborare correttamente i gruppi di utenti di Microsoft Entra e tutti gli utenti verranno assegnati al gruppo predefinito. Per correggere, modificare la configurazione del server per rimuovere il carattere \ finale e modificare i pool di indirizzi configurati nel gateway per applicare le modifiche al gateway. Questo è un problema noto.
  7. Si sta tentando di invitare utenti esterni a usare la funzionalità Multipool? Se si usa l'autenticazione Microsoft Entra e si prevede di invitare utenti esterni (utenti che non fanno parte del dominio Microsoft Entra configurato nel gateway VPN) a connettersi al gateway VPN da punto a sito della rete WAN virtuale, assicurarsi che il tipo di utente dell'utente esterno sia "Membro" e non "Guest". Assicurarsi inoltre che il "Nome" dell'utente sia impostato sull'indirizzo di posta elettronica dell'utente. Se il tipo di utente e il nome dell'utente connesso non sono impostati correttamente come descritto in precedenza o non è possibile impostare un membro esterno come "Membro" del dominio Microsoft Entra, l'utente che si connette viene assegnato al gruppo predefinito e gli viene assegnato un indirizzo IP dal pool di indirizzi IP predefinito.

Passaggi successivi