Esercitazione: Creare una connessione VPN utente da sito a sito con Azure rete WAN virtuale

Questa esercitazione illustra come usare rete WAN virtuale per connettersi alle risorse in Azure. In questa esercitazione viene creata una connessione VPN utente da punto a sito tramite OpenVPN o IPsec/IKE (IKEv2) usando il portale di Azure. Questo tipo di connessione richiede la configurazione di un client VPN nativo in ciascun computer client che si connette.

In questa esercitazione apprenderai a:

  • Creare una rete WAN virtuale
  • Creare la configurazione VPN utente
  • Creare l'hub virtuale e il gateway
  • Generare file di configurazione client
  • Configurare client VPN
  • Connessione a una rete virtuale
  • Visualizzare la rete WAN virtuale
  • Modificare le impostazioni

rete WAN virtuale diagramma.

Prerequisiti

  • Che si abbia una sottoscrizione di Azure. Se non hai una sottoscrizione di Azure, crea un account gratuito.

  • Si dispone di una rete virtuale a cui si vuole connettersi.

    • Verificare che nessuna delle subnet della rete locale possa sovrapporsi alle reti virtuali a cui ci si vuole connettere.
    • Per creare una rete virtuale nel portale di Azure, vedere l'articolo dell'Avvio rapido.
  • La rete virtuale non deve contenere alcun gateway di rete virtuale esistente.

    • Se la rete virtuale contiene già un gateway (VPN o ExpressRoute), è necessario rimuovere tutti i gateway prima di procedere.
    • Questa configurazione richiede che le reti virtuali si connettano solo al gateway dell'hub della rete WAN virtuale.
  • Decidere l'intervallo di indirizzi IP da usare per lo spazio indirizzi privato dell'hub virtuale. Queste informazioni vengono usate durante la configurazione dell'hub virtuale. Un hub virtuale è una rete virtuale che viene creata e usata dalla rete WAN virtuale. Si tratta dell'elemento centrale della rete WAN virtuale in un'area. L'intervallo di spazio indirizzi deve essere conforme alle regole seguenti:

    • L'intervallo di indirizzi specificati per l'hub non può sovrapporsi ad alcuna delle reti virtuali esistenti a cui ci si connette.
    • L'intervallo di indirizzi IP non può sovrapporsi agli intervalli di indirizzi locali a cui ci si connette.
    • Se non si ha familiarità con gli intervalli di indirizzi IP che si trovano nella configurazione di rete locale, coordinarsi con un utente in grado di fornire tali informazioni.

Creare una rete WAN virtuale

  1. Nella barra Cerca risorse del portale digitare rete WAN virtuale nella casella di ricerca e selezionare Invio.

  2. Selezionare rete WAN virtuale nei risultati. Nella pagina rete WAN virtuale selezionare + Crea per aprire la pagina Crea rete WAN.

  3. Nella pagina Crea rete WAN compilare i campi nella scheda Informazioni di base . Modificare i valori di esempio da applicare all'ambiente.

    Screenshot che mostra il riquadro Crea rete WAN con la scheda Informazioni di base selezionata.

    • Sottoscrizione: selezionare la sottoscrizione da usare.
    • Gruppo di risorse: crearne uno nuovo o usarlo esistente.
    • Località del gruppo di risorse: scegliere una località delle risorse dall'elenco a discesa. Una rete WAN è una risorsa globale e non si trova in una determinata area. Tuttavia, per gestire e individuare la risorsa WAN creata, è necessario selezionare un'area.
    • Nome: digitare il nome che si vuole chiamare la rete WAN virtuale.
    • Tipo: Basic o Standard. Selezionare Standard. Se si seleziona Basic, tenere presente che le reti WAN virtuali basic possono contenere solo hub Basic. Gli hub di base possono essere usati solo per le connessioni da sito a sito.
  4. Al termine della compilazione dei campi, nella parte inferiore della pagina selezionare Rivedi e crea.

  5. Al termine della convalida, fare clic su Crea per creare la rete WAN virtuale.

Creare una configurazione VPN utente

La configurazione VPN utente (P2S) definisce i parametri per la connessione dei client remoti. Creare configurazioni VPN utente prima di creare il gateway da sito a sito nell'hub. È possibile creare più configurazioni VPN utente. Quando si crea il gateway da sito a sito, selezionare la configurazione VPN utente che si vuole usare.

Le istruzioni che si seguono dipendono dal metodo di autenticazione che si vuole usare. Per questo esercizio si seleziona OpenVpn e IKEv2 e l'autenticazione del certificato. Tuttavia, sono disponibili altre configurazioni. Ogni metodo di autenticazione ha requisiti specifici.

  • Certificati di Azure: per questa configurazione sono necessari i certificati. È necessario generare o ottenere certificati. Per ogni client è necessario un certificato client. Inoltre, è necessario caricare le informazioni sul certificato radice (chiave pubblica). Per altre informazioni sui certificati necessari, vedere Generare ed esportare certificati.

  • Autenticazione basata su radius: ottenere l'indirizzo IP del server Radius, il segreto del server Radius e le informazioni sul certificato.

  • Autenticazione di Microsoft Entra: vedere Configurare una connessione VPN utente - Autenticazione di Microsoft Entra.

Passaggi di configurazione

  1. Passare alla rete WAN virtuale creata.

  2. Selezionare Configurazioni VPN utente dal menu a sinistra.

  3. Nella pagina Configurazioni VPN utente selezionare +Crea configurazione VPN utente.

    Screenshot della pagina delle configurazioni VPN dell'utente.

  4. Nella scheda Informazioni di base della pagina Crea nuova configurazione VPN utente, in Dettagli istanza immettere il nome da assegnare alla configurazione VPN.

    Screenshot dell'opzione IPsec su personalizzata.

  5. Per Tipo di tunnel selezionare il tipo di tunnel desiderato dall'elenco a discesa. Le opzioni del tipo di tunnel sono: VPN IKEv2, OpenVPN e OpenVpn e IKEv2. Ogni tipo di tunnel ha impostazioni obbligatorie specifiche. Il tipo di tunnel scelto corrisponde alle scelte di autenticazione disponibili.

    Requisiti e parametri:

    IKEv2 VPN

    • Requisiti: quando si seleziona il tipo di tunnel IKEv2 , viene visualizzato un messaggio che indica di selezionare un metodo di autenticazione. Per IKEv2, è possibile specificare più metodi di autenticazione. È possibile scegliere Certificato di Azure, autenticazione basata su RADIUS o entrambi.

    • Parametri personalizzati IPSec: per personalizzare i parametri per la fase IKE 1 e IKE Fase 2, attivare o disattivare l'opzione IPsec su Custom e selezionare i valori dei parametri. Per altre informazioni sui parametri personalizzabili, vedere l'articolo IPsec personalizzato.

    OpenVPN

    • Requisiti: quando si seleziona il tipo di tunnel OpenVPN , viene visualizzato un messaggio che indica di selezionare un meccanismo di autenticazione. Se OpenVPN è selezionato come tipo di tunnel, è possibile specificare più metodi di autenticazione. È possibile scegliere qualsiasi sottoinsieme di certificati di Azure, MICROSOFT Entra ID o autenticazione basata su RADIUS. Per l'autenticazione basata su RADIUS, è possibile fornire un indirizzo IP del server RADIUS secondario e un segreto server.

    OpenVPN e IKEv2

    • Requisiti: quando si seleziona il tipo di tunnel OpenVPN e IKEv2 , viene visualizzato un messaggio che indica di selezionare un meccanismo di autenticazione. Se OpenVPN e IKEv2 sono selezionati come tipo di tunnel, è possibile specificare più metodi di autenticazione. È possibile scegliere Microsoft Entra ID insieme al certificato di Azure o all'autenticazione basata su RADIUS. Per l'autenticazione basata su RADIUS, è possibile fornire un indirizzo IP del server RADIUS secondario e un segreto server.
  6. Configurare i metodi di autenticazione da usare. Ogni metodo di autenticazione si trova in una scheda separata: certificato di Azure, autenticazione RADIUS e ID Microsoft Entra. Alcuni metodi di autenticazione sono disponibili solo in determinati tipi di tunnel.

    Nella scheda del metodo di autenticazione da configurare selezionare Sì per visualizzare le impostazioni di configurazione disponibili.

    • Esempio - Autenticazione del certificato

      Per configurare questa impostazione, il tipo di tunnel la pagina Informazioni di base può essere IKEv2, OpenVPN o OpenVPN e IKEv2.

      Screenshot dell'opzione Sì selezionata.

    • Esempio - Autenticazione RADIUS

      Per configurare questa impostazione, il tipo di tunnel nella pagina Informazioni di base può essere Ikev2, OpenVPN o OpenVPN e IKEv2.

      Screenshot della pagina di autenticazione RADIUS.

    • Esempio - Autenticazione di Microsoft Entra

      Per configurare questa impostazione, il tipo di tunnel nella pagina Informazioni di base deve essere OpenVPN. L'autenticazione basata su ID Di Microsoft Entra è supportata solo con OpenVPN.

      Pagina di autenticazione di Microsoft Entra.

  7. Al termine della configurazione delle impostazioni, selezionare Rivedi e crea nella parte inferiore della pagina.

  8. Selezionare Crea per creare la configurazione VPN utente.

Creare un hub virtuale e un gateway

Pagina Informazioni di base

  1. Passare alla rete WAN virtuale creata. Nel riquadro sinistro della pagina della rete WAN virtuale, nella Connessione ivity selezionare Hub.

  2. Nella pagina Hub selezionare +Nuovo hub per aprire la pagina Crea hub virtuale.

    Screenshot del riquadro Crea hub virtuale con la scheda Informazioni di base selezionata.

  3. Nella scheda Generale della pagina Crea hub virtuale completare i campi seguenti:

    • Area: selezionare l'area in cui si vuole distribuire l'hub virtuale.
    • Nome: nome in base al quale si vuole che l'hub virtuale sia noto.
    • Spazio indirizzi privato dell'hub: intervallo di indirizzi dell'hub nella notazione CIDR. Per creare un hub, lo spazio indirizzi minimo è /24.
    • Capacità dell'hub virtuale: selezionare dall'elenco a discesa. Per altre informazioni, vedere Impostazioni dell'hub virtuale.
    • Preferenza di routing hub: lasciare l'impostazione predefinita. Per altre informazioni, vedere Preferenze di routing dell'hub virtuale.

Pagina da punto a sito

  1. Fare clic sulla scheda Da punto a sito per aprire la pagina di configurazione per il punto a sito. Per visualizzare le impostazioni del sito, fare clic su .

    Screenshot della configurazione dell'hub virtuale con l'opzione da punto a sito selezionata.

  2. Configurare le impostazioni seguenti:

    • Unità di scala del gateway: rappresenta la capacità aggregata del gateway VPN utente. Se si selezionano 40 o più unità di scala gateway, pianificare di conseguenza il pool di indirizzi client. Per informazioni su come questa impostazione influisce sul pool di indirizzi client, vedere Informazioni sui pool di indirizzi client. Per informazioni sulle unità di scala del gateway, vedere le domande frequenti.

    • Configurazione da punto a sito : selezionare la configurazione VPN utente creata in un passaggio precedente.

    • Preferenza di routing: le preferenze di routing di Azure consentono di scegliere il modo in cui il traffico viene instradato tra Azure e Internet. È possibile scegliere di instradare il traffico tramite la rete Microsoft o tramite la rete dell'ISP (Internet pubblico). Queste opzioni sono anche dette rispettivamente routing cold potato e routing hot potato. L'indirizzo IP pubblico in rete WAN virtuale viene assegnato dal servizio in base all'opzione di routing selezionata. Per altre informazioni sulle preferenze di routing tramite la rete Microsoft o l'ISP, vedere l'articolo Preferenza di routing.

    • Usare il server RADIUS remoto/locale: quando un gateway VPN utente di rete WAN virtuale è configurato per l'uso dell'autenticazione basata su RADIUS, il gateway VPN utente funge da proxy e invia richieste di accesso RADIUS al server RADIUS. L'impostazione "Usa server RADIUS remoto/locale" è disabilitata per impostazione predefinita, ovvero il gateway VPN utente sarà in grado di inoltrare solo le richieste di autenticazione ai server RADIUS nelle reti virtuali connesse all'hub del gateway. L'abilitazione dell'impostazione consentirà al gateway VPN utente di eseguire l'autenticazione con i server RADIUS connessi a hub remoti o distribuiti in locale.

      Nota

      L'impostazione del server RADIUS remoto/locale e gli INDIRIZZI IP proxy correlati vengono usati solo se il gateway è configurato per l'uso dell'autenticazione basata su RADIUS. Se il gateway non è configurato per l'uso dell'autenticazione basata su RADIUS, questa impostazione verrà ignorata.

      È necessario attivare "Usa server RADIUS remoto/locale" se gli utenti si connetteranno al profilo VPN globale anziché al profilo basato su hub. Per altre informazioni, vedere Profili globali e a livello di hub.

      Dopo aver creato il gateway VPN utente, passare al gateway e prendere nota del campo IP proxy RADIUS. Gli INDIRIZZI IP proxy RADIUS sono gli INDIRIZZI IP di origine dei pacchetti RADIUS inviati dal gateway VPN utente al server RADIUS. Pertanto, il server RADIUS deve essere configurato per accettare le richieste di autenticazione dagli INDIRIZZI IP proxy RADIUS. Se il campo IP proxy RADIUS è vuoto o none, configurare il server RADIUS per accettare le richieste di autenticazione dallo spazio indirizzi dell'hub.

      Assicurarsi inoltre di impostare le associazioni e le propagazioni della connessione (rete virtuale o locale) che ospita il server RADIUS si propaga all'oggetto defaultRouteTable dell'hub distribuito con il gateway VPN da punto a sito e che la configurazione VPN da punto a sito si propaga alla tabella di route della connessione che ospita il server RADIUS. Questo è obbligatorio per assicurarsi che il gateway possa comunicare con il server RADIUS e viceversa.

      Screenshot della configurazione di User V P N con proxy RADIUS I Ps.

    • Pool di indirizzi client: il pool di indirizzi IP da cui gli indirizzi IP verranno assegnati automaticamente ai client VPN. I pool di indirizzi devono essere distinti. Non è possibile sovrapporsi tra pool di indirizzi. Per altre informazioni, vedere Informazioni sui pool di indirizzi client.

    • Server DNS personalizzati: l'indirizzo IP dei server DNS che verranno usati dai client. È possibile specificare fino a 5.

  3. Selezionare Rivedi e crea per convalidare le impostazioni.

  4. Al termine della convalida, selezionare Crea. La creazione di un hub può richiedere almeno 30 minuti.

Quando si crea un nuovo hub, è possibile notare un messaggio di avviso nel portale che fa riferimento alla versione del router. Ciò si verifica a volte quando viene effettuato il provisioning del router. Una volta completato il provisioning del router, il messaggio non verrà più visualizzato.

Generare file di configurazione client

Quando ci si connette alla rete virtuale tramite VPN utente (P2S), è possibile usare il client VPN installato in modo nativo nel sistema operativo da cui ci si connette. Tutte le impostazioni di configurazione necessarie per i client VPN sono contenute in un file ZIP di configurazione del client VPN. Le impostazioni nel file ZIP consentono di configurare facilmente i client VPN. I file di configurazione del client VPN generati sono specifici della configurazione VPN utente per il gateway. In questa sezione vengono generati e scaricati i file usati per configurare i client VPN.

Esistono due tipi diversi di profili di configurazione che è possibile scaricare: globale e hub. Il profilo globale è un profilo di configurazione a livello di rete WAN. Quando si scarica il profilo di configurazione a livello di rete WAN, si ottiene un profilo VPN utente basato su Gestione traffico predefinito. Quando si usa un profilo globale, se per qualche motivo un hub non è disponibile, la gestione del traffico incorporata fornita dal servizio garantisce la connettività (tramite un hub diverso) alle risorse di Azure per gli utenti da punto a sito. Per altre informazioni o per scaricare un pacchetto di configurazione client VPN a livello di hub, vedere Profili globali e hub.

  1. Per generare un pacchetto di configurazione del client VPN a livello di rete WAN, passare alla rete WAN virtuale (non all'hub virtuale).

  2. Nel riquadro sinistro selezionare Configurazioni VPN utente.

  3. Selezionare la configurazione per cui si vuole scaricare il profilo. Se sono stati assegnati più hub allo stesso profilo, espandere il profilo per visualizzare gli hub, quindi selezionare uno degli hub che usano il profilo.

  4. Selezionare Download virtual WAN user VPN profile (Scarica profilo VPN utente della rete WAN virtuale).

  5. Nella pagina di download selezionare EAPTLS, quindi Genera e scarica profilo. Un pacchetto di profilo (file ZIP) contenente le impostazioni di configurazione client viene generato e scaricato nel computer. Il contenuto del pacchetto dipende dalle scelte di autenticazione e tunnel per la configurazione.

Configurare client VPN

Usare il pacchetto del profilo scaricato per configurare il client VPN nativo nel computer. La procedura varia per ogni sistema operativo. Seguire le istruzioni appropriate per il sistema in uso. Una volta completata la configurazione del client, è possibile connettersi.

IKEv2

Nella configurazione VPN utente, se è stato specificato il tipo di tunnel VPN IKEv2, è possibile configurare il client VPN nativo (Windows e macOS Catalina o versione successiva).

I passaggi seguenti sono relativi a Windows. Per macOS, vedere i passaggi di IKEv2-macOS .

  1. Selezionare i file di configurazione del client VPN corrispondenti all'architettura del computer Windows. Per un'architettura con processore a 64 bit, scegliere il pacchetto di installazione "VpnClientSetupAmd64". Per un'architettura con processore a 32 bit, scegliere il pacchetto di installazione "VpnClientSetupX86".

  2. Fare doppio clic sul pacchetto per installarlo. Se viene visualizzato un popup SmartScreen, selezionare Altre informazioni e quindi Esegui comunque.

  3. Nel computer client passare a Impostazioni di rete e selezionare VPN. La connessione VPN viene visualizzata con il nome della rete virtuale a cui si connette.

  4. Installare un certificato client in ogni computer che si vuole connettere tramite questa configurazione VPN utente. Quando si usa il tipo di autenticazione del certificato di Azure nativo, è necessario un certificato client per l'autenticazione. Per altre informazioni sulla generazione di certificati, vedere Generare i certificati. Per informazioni sull'installazione di un certificato client, vedere Installare un certificato client.

OpenVPN

Nella configurazione VPN utente, se è stato specificato il tipo di tunnel OpenVPN, è possibile scaricare e configurare il client VPN di Azure o, in alcuni casi, è possibile usare il software client OpenVPN. Per la procedura, usare il collegamento corrispondente alla configurazione.

Connessione rete virtuale all'hub

In questa sezione viene creata una connessione tra l'hub virtuale e la rete virtuale. Per questa esercitazione non è necessario configurare le impostazioni di routing.

  1. Nella portale di Azure passare al rete WAN virtuale Nel riquadro sinistro selezionare Connessioni di rete virtuale.

  2. Nella pagina Connessioni di rete virtuale selezionare + Aggiungi connessione.

  3. Nella pagina Aggiungi connessione configurare le impostazioni di connessione. Per informazioni sulle impostazioni di routing, vedere Informazioni sul routing.

    Screenshot della pagina Aggiungi connessione.

    • Nome connessione: assegnare un nome alla connessione.
    • Hub: selezionare l'hub da associare a questa connessione.
    • Sottoscrizione: verificare la sottoscrizione.
    • Gruppo di risorse: selezionare il gruppo di risorse che contiene la rete virtuale a cui connettersi.
    • Rete virtuale: selezionare la rete virtuale che si vuole connettere a questo hub. La rete virtuale selezionata non può avere un gateway di rete virtuale già esistente.
    • Propaga a nessuno: questa opzione è impostata su No per impostazione predefinita. Se si modifica l'opzione su , le opzioni di configurazione per Propagate to Route Tables (Propaga nelle tabelle di route) e Propagate alle etichette non sono disponibili per la configurazione.
    • Associa tabella di route: dall'elenco a discesa è possibile selezionare una tabella di route da associare.
    • Propaga alle etichette: le etichette sono un gruppo logico di tabelle di route. Per questa impostazione, selezionare dall'elenco a discesa.
    • Route statiche: configurare route statiche, se necessario. Configurare route statiche per appliance virtuali di rete (se applicabile). rete WAN virtuale supporta un singolo ip hop successivo per la route statica in una connessione di rete virtuale. Ad esempio, se si dispone di un'appliance virtuale separata per i flussi di traffico in ingresso e in uscita, è consigliabile avere le appliance virtuali in reti virtuali separate e collegare le reti virtuali all'hub virtuale.
    • Ignorare l'ip hop successivo per i carichi di lavoro all'interno di questa rete virtuale: questa impostazione consente di distribuire appliance virtuali di rete e altri carichi di lavoro nella stessa rete virtuale senza forzare tutto il traffico attraverso l'appliance virtuale di rete. Questa impostazione può essere configurata solo quando si configura una nuova connessione. Se si vuole usare questa impostazione per una connessione già creata, eliminare la connessione, quindi aggiungere una nuova connessione.
    • Propaga route statiche: questa impostazione è attualmente in fase di implementazione. Questa impostazione consente di propagare le route statiche definite nella sezione Route statiche alle tabelle di route specificate in Propaga alle tabelle di route. Inoltre, le route verranno propagate alle tabelle di route con etichette specificate come Propaga alle etichette. Queste route possono essere propagate tra hub, ad eccezione della route predefinita 0/0. Questa funzionalità è in fase di implementazione. Se è necessaria questa funzionalità abilitata, contattare vwanpm@microsoft.com
  4. Dopo aver completato le impostazioni da configurare, fare clic su Crea per creare la connessione.

Dashboard delle sessioni da punto a sito

  1. Per visualizzare il punto attivo alle sessioni del sito, fare clic su Sessioni da punto a sito. Verrà visualizzato tutto il punto attivo per gli utenti del sito connessi al gateway VPN utente. Screenshot che mostra il pannello da punto a sito in rete WAN virtuale.

  2. Per disconnettere gli utenti dal gateway VPN utente, fare clic su ... menu di scelta rapida e fare clic su "Disconnetti".

Screenshot che mostra il dashboard delle sessioni del sito.

Modificare le impostazioni

Modificare il pool di indirizzi client

  1. Passare all'HUB virtuale -> VPN utente (da punto a sito).

  2. Fare clic sul valore accanto a Unità di scala gateway per aprire la pagina Modifica gateway VPN utente.

  3. Nella pagina Modifica gateway VPN utente modificare le impostazioni.

  4. Fare clic su Modifica nella parte inferiore della pagina per convalidare le impostazioni.

  5. Fare clic su Conferma per salvare le impostazioni. Il completamento delle modifiche apportate a questa pagina potrebbe richiedere fino a 30 minuti.

Modificare i server DNS

  1. Passare all'HUB virtuale -> VPN utente (da punto a sito).

  2. Fare clic sul valore accanto a Server DNS personalizzati per aprire la pagina Modifica gateway VPN utente.

  3. Nella pagina Modifica gateway VPN utente modificare il campo Server DNS personalizzati. Immettere gli indirizzi IP del server DNS nelle caselle di testo Server DNS personalizzati. È possibile specificare fino a cinque server DNS.

  4. Fare clic su Modifica nella parte inferiore della pagina per convalidare le impostazioni.

  5. Fare clic su Conferma per salvare le impostazioni. Il completamento delle modifiche apportate a questa pagina potrebbe richiedere fino a 30 minuti.

Pulire le risorse

Quando non sono più necessarie le risorse create, eliminarle. Alcune delle risorse rete WAN virtuale devono essere eliminate in un determinato ordine a causa delle dipendenze. Il completamento dell'eliminazione può richiedere circa 30 minuti.

  1. Aprire la rete WAN virtuale creata.

  2. Selezionare un hub virtuale associato alla rete WAN virtuale per aprire la pagina dell'hub.

  3. Eliminare tutte le entità gateway seguendo l'ordine seguente per ogni tipo di gateway. Il completamento può richiedere 30 minuti.

    VPN:

    • Disconnettere i siti VPN
    • Eliminare le connessioni VPN
    • Eliminare i gateway VPN

    ExpressRoute:

    • Eliminare le connessioni ExpressRoute
    • Eliminare i gateway ExpressRoute
  4. Ripetere per tutti gli hub associati alla rete WAN virtuale.

  5. È possibile eliminare gli hub a questo punto oppure eliminare gli hub in un secondo momento quando si elimina il gruppo di risorse.

  6. Passare al gruppo di risorse nel portale di Azure.

  7. Selezionare Elimina gruppo di risorse. In questo modo vengono eliminate le altre risorse nel gruppo di risorse, inclusi gli hub e la rete WAN virtuale.

Passaggi successivi