Creare una connessione VPN utente da sito a sito usando Azure rete WAN virtuale - Autenticazione di Microsoft Entra

  • Articolo

Questo articolo illustra come usare rete WAN virtuale per connettersi alle risorse in Azure. In questo articolo viene creata una connessione VPN utente da punto a sito per rete WAN virtuale che usa l'autenticazione Microsoft Entra. L'autenticazione Di Microsoft Entra è disponibile solo per i gateway che usano il protocollo OpenVPN.

Nota

L'autenticazione Di Microsoft Entra è supportata solo per le connessioni al protocollo OpenVPN® e richiede il client VPN di Azure.

In questo articolo vengono illustrate le operazioni seguenti:

  • Creare una rete WAN virtuale
  • Creare una configurazione VPN utente
  • Scaricare un profilo VPN utente della rete WAN virtuale
  • Creare un hub virtuale
  • Modificare un hub per aggiungere un gateway P2S
  • Connettere una rete virtuale a un hub virtuale
  • Scaricare e applicare la configurazione del client VPN utente
  • Visualizzare la rete WAN virtuale

rete WAN virtuale diagramma.

Operazioni preliminari

Verificare di aver soddisfatto i criteri seguenti prima di iniziare la configurazione:

  • Si ha una rete virtuale a cui ci si vuole connettere. Verificare che nessuna delle subnet della rete locale possa sovrapporsi alle reti virtuali a cui ci si vuole connettere. Per creare una rete virtuale nel portale di Azure, vedere l'Avvio rapido.

  • La rete virtuale non ha gateway di rete virtuale. Se la rete virtuale presenta un gateway (VPN o ExpressRoute) è necessario rimuovere tutti i gateway. Questa configurazione richiede che le reti virtuali siano invece connesse al gateway dell'hub della rete WAN virtuale.

  • Ottenere un intervallo di indirizzi IP per l'area dell'hub. L'hub è una rete virtuale che viene creata e usata dalla rete WAN virtuale. L'intervallo di indirizzi specificato per l'hub non può sovrapporsi ad alcuna delle reti virtuali esistenti a cui ci si connette. Non può anche sovrapporsi agli intervalli di indirizzi a cui ci si connette in locale. Se non si ha familiarità con gli intervalli di indirizzi IP che si trovano nella configurazione di rete locale, coordinarsi con un utente in grado di fornire tali informazioni.

  • Se non hai una sottoscrizione di Azure, crea un account gratuito.

Creare una rete WAN virtuale

In un browser passare al portale di Azure e accedere con l'account Azure.

  1. Nella barra Cerca risorse del portale digitare rete WAN virtuale nella casella di ricerca e selezionare Invio.

  2. Selezionare rete WAN virtuale nei risultati. Nella pagina rete WAN virtuale selezionare + Crea per aprire la pagina Crea rete WAN.

  3. Nella pagina Crea rete WAN compilare i campi nella scheda Informazioni di base . Modificare i valori di esempio da applicare all'ambiente.

    Screenshot che mostra il riquadro Crea rete WAN con la scheda Informazioni di base selezionata.

    • Sottoscrizione: selezionare la sottoscrizione da usare.
    • Gruppo di risorse: crearne uno nuovo o usarlo esistente.
    • Località del gruppo di risorse: scegliere una località delle risorse dall'elenco a discesa. Una rete WAN è una risorsa globale e non si trova in una determinata area. Tuttavia, per gestire e individuare la risorsa WAN creata, è necessario selezionare un'area.
    • Nome: digitare il nome che si vuole chiamare la rete WAN virtuale.
    • Tipo: Basic o Standard. Selezionare Standard. Se si seleziona Basic, tenere presente che le reti WAN virtuali basic possono contenere solo hub Basic. Gli hub di base possono essere usati solo per le connessioni da sito a sito.

  4. Al termine della compilazione dei campi, nella parte inferiore della pagina selezionare Rivedi e crea.

  5. Al termine della convalida, fare clic su Crea per creare la rete WAN virtuale.

Creare una configurazione VPN utente

Una configurazione VPN utente definisce i parametri per la connessione dei client remoti. È importante creare la configurazione VPN utente prima di configurare l'hub virtuale con le impostazioni da sito a sito, perché è necessario specificare la configurazione VPN utente da usare.

  1. Passare alla pagina rete WAN virtuale ->Configurazioni VPN utente e fare clic su +Crea configurazione VPN utente.

    Screenshot della configurazione Crea utente V P N.

  2. Nella pagina Informazioni di base specificare i parametri.

    Screenshot della pagina Informazioni di base.

    • Nome configurazione: immettere il nome che si vuole chiamare la configurazione VPN utente.
    • Tipo di tunnel: selezionare OpenVPN dal menu a discesa.

  3. Fare clic su Microsoft Entra ID per aprire la pagina.

    Screenshot della pagina Microsoft Entra ID.

    Attivare o disattivare Microsoft Entra ID su e specificare i valori seguenti in base ai dettagli del tenant. È possibile visualizzare i valori necessari nella pagina ID Microsoft Entra per le applicazioni Aziendali nel portale.

    • Metodo di autenticazione: selezionare Microsoft Entra ID.

    • Destinatari : digitare l'ID applicazione dell'applicazione vpn di Azure enterprise registrata nel tenant di Microsoft Entra.

    • Autorità di certificazione - https://sts.windows.net/<your Directory ID>/

    • Tenant di Microsoft Entra: TenantID per il tenant di Microsoft Entra. Assicurarsi che non / sia presente alla fine dell'URL del tenant di Microsoft Entra.

      • Immettere https://login.microsoftonline.com/{AzureAD TenantID} per Azure Public AD
      • Immettere https://login.microsoftonline.us/{AzureAD TenantID} per Azure per enti pubblici AD
      • Immettere https://login-us.microsoftonline.de/{AzureAD TenantID} per Azure Germania AD
      • Immettere https://login.chinacloudapi.cn/{AzureAD TenantID} per China 21Vianet AD

  4. Fare clic su Crea per creare la configurazione VPN utente. Questa configurazione verrà selezionata più avanti nell'esercizio.

Creare un hub vuoto

Per questo esercizio viene creato un hub virtuale vuoto in questo passaggio e, nella sezione successiva, si aggiunge un gateway da punto a punto a questo hub. Tuttavia, è possibile combinare questi passaggi e creare l'hub con le impostazioni del gateway da punto a sito contemporaneamente. Il risultato è identico in entrambi i modi. Dopo aver configurato le impostazioni, fare clic su Rivedi e crea per convalidare e quindi su Crea.

  1. Passare alla rete WAN virtuale creata. Nel riquadro sinistro della pagina della rete WAN virtuale, nella Connessione ivity selezionare Hub.

  2. Nella pagina Hub selezionare +Nuovo hub per aprire la pagina Crea hub virtuale.

    Screenshot del riquadro Crea hub virtuale con la scheda Informazioni di base selezionata.

  3. Nella scheda Generale della pagina Crea hub virtuale completare i campi seguenti:

    • Area: selezionare l'area in cui si vuole distribuire l'hub virtuale.
    • Nome: nome in base al quale si vuole che l'hub virtuale sia noto.
    • Spazio indirizzi privato dell'hub: intervallo di indirizzi dell'hub nella notazione CIDR. Per creare un hub, lo spazio indirizzi minimo è /24.
    • Capacità dell'hub virtuale: selezionare dall'elenco a discesa. Per altre informazioni, vedere Impostazioni dell'hub virtuale.
    • Preferenza di routing hub: lasciare l'impostazione predefinita. Per altre informazioni, vedere Preferenze di routing dell'hub virtuale.

Aggiungere un gateway P2S a un hub

Questa sezione illustra come aggiungere un gateway a un hub virtuale già esistente. Per completare l'aggiornamento, questo passaggio può richiedere fino a 30 minuti.

  1. Passare alla pagina Hub nella rete WAN virtuale.

  2. Fare clic sul nome dell'hub da modificare per aprire la pagina per l'hub.

  3. Fare clic su Modifica hub virtuale nella parte superiore della pagina per aprire la pagina Modifica hub virtuale.

  4. Nella pagina Modifica hub virtuale selezionare le caselle di controllo Includi gateway VPN per i siti VPN e Includi gateway da punto a sito per visualizzare le impostazioni. Configurare quindi i valori.

    Screenshot che mostra l'hub virtuale Edit (Modifica hub virtuale).

    • Unità di scala gateway: selezionare le unità di scala del gateway. Le unità di scala rappresentano la capacità aggregata del gateway VPN utente. Se si selezionano 40 o più unità di scala gateway, pianificare di conseguenza il pool di indirizzi client. Per informazioni su come questa impostazione influisce sul pool di indirizzi client, vedere Informazioni sui pool di indirizzi client. Per informazioni sulle unità di scala del gateway, vedere le domande frequenti.
    • Configurazione VPN utente: selezionare la configurazione creata in precedenza.
    • Mapping dei gruppi di utenti ai pool di indirizzi: per informazioni su questa impostazione, vedere Configurare gruppi di utenti e pool di indirizzi IP per VPN utente da sito a sito (anteprima).

  5. Dopo aver configurato le impostazioni, fare clic su Conferma per aggiornare l'hub. L'aggiornamento di un hub può richiedere fino a 30 minuti.

Connessione rete virtuale all'hub

In questa sezione viene creata una connessione tra l'hub virtuale e la rete virtuale.

  1. Nella portale di Azure passare al rete WAN virtuale Nel riquadro sinistro selezionare Connessioni di rete virtuale.

  2. Nella pagina Connessioni di rete virtuale selezionare + Aggiungi connessione.

  3. Nella pagina Aggiungi connessione configurare le impostazioni di connessione. Per informazioni sulle impostazioni di routing, vedere Informazioni sul routing.

    Screenshot della pagina Aggiungi connessione.

    • Nome connessione: assegnare un nome alla connessione.
    • Hub: selezionare l'hub da associare a questa connessione.
    • Sottoscrizione: verificare la sottoscrizione.
    • Gruppo di risorse: selezionare il gruppo di risorse che contiene la rete virtuale a cui connettersi.
    • Rete virtuale: selezionare la rete virtuale che si vuole connettere a questo hub. La rete virtuale selezionata non può avere un gateway di rete virtuale già esistente.
    • Propaga a nessuno: questa opzione è impostata su No per impostazione predefinita. Se si modifica l'opzione su , le opzioni di configurazione per Propagate to Route Tables (Propaga nelle tabelle di route) e Propagate alle etichette non sono disponibili per la configurazione.
    • Associa tabella di route: dall'elenco a discesa è possibile selezionare una tabella di route da associare.
    • Propaga alle etichette: le etichette sono un gruppo logico di tabelle di route. Per questa impostazione, selezionare dall'elenco a discesa.
    • Route statiche: configurare route statiche, se necessario. Configurare route statiche per appliance virtuali di rete (se applicabile). rete WAN virtuale supporta un singolo ip hop successivo per la route statica in una connessione di rete virtuale. Ad esempio, se si dispone di un'appliance virtuale separata per i flussi di traffico in ingresso e in uscita, è consigliabile avere le appliance virtuali in reti virtuali separate e collegare le reti virtuali all'hub virtuale.
    • Ignorare l'ip hop successivo per i carichi di lavoro all'interno di questa rete virtuale: questa impostazione consente di distribuire appliance virtuali di rete e altri carichi di lavoro nella stessa rete virtuale senza forzare tutto il traffico attraverso l'appliance virtuale di rete. Questa impostazione può essere configurata solo quando si configura una nuova connessione. Se si vuole usare questa impostazione per una connessione già creata, eliminare la connessione, quindi aggiungere una nuova connessione.
    • Propaga route statiche: questa impostazione è attualmente in fase di implementazione. Questa impostazione consente di propagare le route statiche definite nella sezione Route statiche alle tabelle di route specificate in Propaga alle tabelle di route. Inoltre, le route verranno propagate alle tabelle di route con etichette specificate come Propaga alle etichette. Queste route possono essere propagate tra hub, ad eccezione della route predefinita 0/0. Questa funzionalità è in fase di implementazione. Se è necessaria questa funzionalità abilitata, contattare vwanpm@microsoft.com

  4. Dopo aver completato le impostazioni da configurare, fare clic su Crea per creare la connessione.

Scaricare il profilo VPN utente

Tutte le impostazioni di configurazione necessarie per i client VPN sono contenute in un file ZIP di configurazione del client VPN. Le impostazioni nel file ZIP consentono di configurare facilmente i client VPN. I file di configurazione del client VPN generati sono specifici della configurazione VPN utente per il gateway. È possibile scaricare profili globali (a livello di rete WAN) o un profilo per un hub specifico. Per informazioni e istruzioni aggiuntive, vedere Scaricare profili globali e hub. La procedura seguente illustra come scaricare un profilo globale a livello di rete WAN.

  1. Per generare un pacchetto di configurazione del client VPN a livello di rete WAN, passare alla rete WAN virtuale (non all'hub virtuale).

  2. Nel riquadro sinistro selezionare Configurazioni VPN utente.

  3. Selezionare la configurazione per cui si vuole scaricare il profilo. Se sono stati assegnati più hub allo stesso profilo, espandere il profilo per visualizzare gli hub, quindi selezionare uno degli hub che usano il profilo.

  4. Selezionare Download virtual WAN user VPN profile (Scarica profilo VPN utente della rete WAN virtuale).

  5. Nella pagina di download selezionare EAPTLS, quindi Genera e scarica profilo. Un pacchetto di profilo (file ZIP) contenente le impostazioni di configurazione client viene generato e scaricato nel computer. Il contenuto del pacchetto dipende dalle scelte di autenticazione e tunnel per la configurazione.

Configurare i client VPN utente

Ogni computer che si connette deve avere un client installato. È possibile configurare ogni client usando i file del profilo client utente VPN scaricati nei passaggi precedenti. Usare l'articolo relativo al sistema operativo che si vuole connettere.

Per configurare i client VPN macOS (anteprima)

Per istruzioni sul client macOS, vedere Configurare un client VPN - macOS (anteprima).

Per configurare i client VPN Windows

  1. Scaricare la versione più recente dei file di installazione del client VPN di Azure usando uno dei collegamenti seguenti:

  2. Installare il client VPN di Azure in ogni computer.

  3. Verificare che il client VPN di Azure disponga dell'autorizzazione per l'esecuzione in background. Per i passaggi, vedi App in background di Windows.

  4. Per verificare la versione del client installata, aprire il client VPN di Azure. Passare alla parte inferiore del client e fare clic su ... -> ? Aiuto. Nel riquadro destro è possibile visualizzare il numero di versione del client.

Per importare un profilo client VPN (Windows)

  1. Nella pagina selezionare Importa.

    Screenshot che mostra la pagina di importazione.

  2. Individuare il file XML del profilo e selezionarlo. Con il file selezionato, selezionare Apri.

    Screenshot che mostra una finestra di dialogo Apri in cui è possibile selezionare un file.

  3. Specificare il nome del profilo e selezionare Salva.

    Screenshot che mostra il Connessione ion Name aggiunto e il pulsante Salva selezionato.

  4. Selezionare Connetti per connettersi alla VPN.

    Screenshot che mostra il pulsante Connessione per la connessione appena creata.

  5. Una volta stabilita la connessione, l'icona diventerà verde mostrerà lo stato Connesso.

    Screenshot che mostra la connessione in uno stato Connessione con l'opzione per disconnettersi.

Per eliminare un profilo client - Windows

  1. Selezionare i puntini di sospensione (...) accanto al profilo client da eliminare. Selezionare quindi Rimuovi.

    Screenshot che mostra l'opzione Rimuovi selezionata dal menu.

  2. Per procedere all'eliminazione, selezionare Rimuovi.

    Screenshot che mostra una finestra di dialogo di conferma con l'opzione Rimuovi o Annulla.

Diagnosticare i problemi di connessione - Windows

  1. Per diagnosticare i problemi di connessione, è possibile usare lo strumento Diagnosi. Selezionare i puntini di sospensione (...) accanto alla connessione VPN che si vuole diagnosticare per visualizzare il menu. Selezionare quindi Diagnosi.

    Screenshot che mostra l'opzione Diagnostica selezionata dal menu.

  2. Nella pagina Proprietà connessione selezionare Esegui diagnosi.

    Screenshot che mostra il pulsante Esegui diagnosi per una connessione.

  3. Accedi con le tue credenziali.

    Screenshot che mostra la finestra di dialogo Accedi per questa azione.

  4. Visualizzare i risultati della diagnosi.

    Screenshot che mostra i risultati della diagnosi.

Visualizzare la rete WAN virtuale

  1. Passare alla rete WAN virtuale.
  2. Nella pagina Panoramica ogni punto sulla mappa rappresenta un hub.
  3. Nella sezione Hub e connessioni è possibile visualizzare lo stato dell'hub, il sito, l'area, lo stato della connessione VPN e i byte in entrata e in uscita.

Pulire le risorse

Quando non sono più necessarie le risorse create, eliminarle. Alcune delle risorse rete WAN virtuale devono essere eliminate in un determinato ordine a causa delle dipendenze. Il completamento dell'eliminazione può richiedere circa 30 minuti.

  1. Aprire la rete WAN virtuale creata.

  2. Selezionare un hub virtuale associato alla rete WAN virtuale per aprire la pagina dell'hub.

  3. Eliminare tutte le entità gateway seguendo l'ordine seguente per ogni tipo di gateway. Il completamento può richiedere 30 minuti.

    VPN:

    • Disconnettere i siti VPN
    • Eliminare le connessioni VPN
    • Eliminare i gateway VPN

    ExpressRoute:

    • Eliminare le connessioni ExpressRoute
    • Eliminare i gateway ExpressRoute

  4. Ripetere per tutti gli hub associati alla rete WAN virtuale.

  5. È possibile eliminare gli hub a questo punto oppure eliminare gli hub in un secondo momento quando si elimina il gruppo di risorse.

  6. Passare al gruppo di risorse nel portale di Azure.

  7. Selezionare Elimina gruppo di risorse. In questo modo vengono eliminate le altre risorse nel gruppo di risorse, inclusi gli hub e la rete WAN virtuale.

Passaggi successivi

Per rete WAN virtuale domande frequenti, vedere le domande frequenti sulle rete WAN virtuale.