Transizione al protocollo OpenVPN o IKEv2 da SSTP
Una connessione gateway VPN da punto a sito permette di creare una connessione sicura alla rete virtuale da un singolo computer client. Una connessione da punto a sito viene stabilita avviandola dal computer client. Questo articolo si applica al modello di distribuzione di Resource Manager e illustra i modi per superare il limite di 128 connessioni simultanee di SSTP passando al protocollo OpenVPN o IKEv2.
Protocollo usato nelle connessioni da punto a sito
Per la VPN da punto a sito può essere usato uno dei protocolli seguenti:
Protocollo OpenVPN®, un protocollo VPN basato su SSL/TLS. Una soluzione VPN SSL può passare attraverso firewall, poiché la maggior parte dei firewall apre la porta TCP 443 in uscita, che usa SSL. OpenVPN può essere usato per connettersi da dispositivi Android, iOS (versioni 11.0 e successive), dispositivi Windows, Linux e Mac (versioni macOS 12.x e successive).
Secure Socket Tunneling Protocol (SSTP), un protocollo VPN di proprietà basato su SSL. Una soluzione VPN SSL può penetrare i firewall perché la maggior parte dei firewall apre la porta TCP 443 in uscita usata da SSL. SSTP è supportato solo nei dispositivi Windows. Azure supporta tutte le versioni di Windows che hanno SSTP (Windows 7 e versioni successive). SSTP supporta fino a 128 connessioni simultanee solo indipendentemente dallo SKU del gateway.
VPN IKEv2, una soluzione VPN IPsec basata su standard. VPN IKEv2 può essere usato per connettersi da dispositivi Mac (versioni di macOS 10.11 e successive).
Nota
IKEv2 e OpenVPN per la connessione da punto a sito sono disponibili solo per il modello di distribuzione Resource Manager. Non sono disponibili per il modello di distribuzione classica. Lo SKU del gateway Basic non supporta i protocolli IKEv2 o OpenVPN. Se si usa lo SKU Basic, è necessario eliminare e ricreare un gateway di rete virtuale SKU di produzione.
Migrazione da SSTP a IKEv2 o OpenVPN
Potrebbero verificarsi casi in cui si vuole supportare più di 128 connessioni da punto a sito simultanee a un gateway VPN, ma che usano SSTP. In questo caso, è necessario andare al protocollo IKEv2 o OpenVPN.
Opzione 1 - Aggiungere IKEv2 oltre a SSTP nel gateway
Si tratta dell’opzione più semplice. SSTP e IKEv2 possono coesistere nello stesso gateway e offrono un numero maggiore di connessioni simultanee. È sufficiente abilitare IKEv2 nel gateway esistente e scaricare nuovamente il client.
L'aggiunta di IKEv2 a un gateway VPN SSTP esistente non influisce sui client esistenti ed è possibile configurarli per l'uso di IKEv2 in batch di piccole dimensioni o configurare semplicemente i nuovi client per l'uso di IKEv2. Se un client Windows è configurato sia per SSTP che per IKEv2, prova prima a connettersi usando IKEV2 e, in caso di errore, viene eseguito il fallback a SSTP.
IKEv2 usa porte UDP non standard, quindi è necessario assicurarsi che queste porte non siano bloccate nel firewall dell'utente. Le porte in uso sono UDP 500 e 4500.
Per aggiungere IKEv2 a un gateway esistente, andare alla scheda "Configurazione da punto a sito" nel gateway di rete virtuale nel portale e selezionare IKEv2 e SSTP (SSL) nella casella a discesa.
Nota
Quando nel gateway sono abilitati sia SSTP che IKEv2, il pool di indirizzi da punto a sito verrà suddiviso in modo statico tra i due, quindi ai client che usano protocolli diversi verranno assegnati indirizzi IP da uno dei due intervalli secondari. Si noti che la quantità massima di client SSTP è sempre 128, anche se l'intervallo di indirizzi è maggiore di /24, con conseguente maggiore quantità di indirizzi disponibili per i client IKEv2. Per intervalli più piccoli, il pool sarà ugualmente dimezzato. I selettori di traffico usati dal gateway potrebbero non includere il CIDR dell'intervallo di indirizzi da punto a sito, ma i due CIDR di intervallo secondario.
Opzione 2 - Rimuovere SSTP e abilitare OpenVPN nel gateway
Poiché SSTP e OpenVPN sono entrambi protocolli basati su TLS, non possono coesistere nello stesso gateway. Se si decide di allontanarsi da SSTP a OpenVPN, è necessario disabilitare SSTP e abilitare OpenVPN nel gateway. Questa operazione fa sì che i client esistenti perdano la connettività al gateway VPN fino a quando il nuovo profilo non è stato configurato nel client.
È possibile abilitare OpenVPN insieme a IKEv2 se si vuole. OpenVPN è basato su TLS e usa la porta TCP 443 standard. Per andare a OpenVPN, andare alla scheda "Configurazione da punto a sito" nel gateway di rete virtuale nel portale e selezionare OpenVPN (SSL) o IKEv2 e OpenVPN (SSL) nella casella a discesa.
Dopo aver configurato il gateway, i client esistenti non saranno in grado di connettersi fino a quando non si distribuiscono e si configurano i client OpenVPN.
Se si usa Windows 10 o versione successiva, è anche possibile usare il client VPN di Azure.
Domande frequenti
Requisiti di configurazione per i client
Nota
Per i client Windows, è necessario avere i diritti di amministratore nel dispositivo client per avviare la connessione VPN dal dispositivo client ad Azure.
Gli utenti usano i client VPN nativi nei dispositivi Windows e Mac per la connessione da punto a sito. Azure fornisce un file ZIP per la configurazione del client VPN contenente le impostazioni necessarie per la connessione di questi client nativi ad Azure.
- Per i dispositivi Windows, la configurazione del client VPN è costituita da un pacchetto di installazione che gli utenti installano nei propri dispositivi.
- Per i dispositivi Mac è costituita dal file mobileconfig che gli utenti installano nei propri dispositivi.
Il file ZIP fornisce anche i valori di alcune impostazioni importanti sul lato Azure che è possibile usare per creare il proprio profilo per questi dispositivi. Alcuni dei valori includono l'indirizzo del gateway VPN, i tipi di tunnel configurati, le route e il certificato radice per la convalida del gateway.
Nota
A partire dal 1 luglio 2018, verrà rimosso il supporto per TLS 1.0 e 1.1 da Gateway VPN di Azure. Gateway VPN supporterà solo TLS 1.2. Sono interessate solo le connessioni da punto a sito. Le connessioni da sito a sito non saranno interessate. Se si usa TLS per le reti VPN da punto a sito nei client Windows 10 o versione successiva, non è necessario intervenire in alcun modo. Se si usa TLS per le connessioni da punto a sito nei client Windows 7 e Windows 8, vedere le domande frequenti su Gateway VPN per istruzioni per l'aggiornamento.
Quali SKU del gateway supportano la connessione VPN da punto a sito?
La tabella seguente illustra gli SKU del gateway per tunnel, connessione e velocità effettiva. Per altre tabelle e altre informazioni su questa tabella, vedere la sezione SKU del gateway dell'articolo Impostazioni gateway VPN.
| VPN Gateway Generazione |
SKU | S2S/Da rete virtuale a rete virtuale Tunnel |
Connessione da punto a sito Connessioni SSTP |
Connessione da punto a sito Connessioni IKEv2/OpenVPN |
Aggregazione Benchmark velocità effettiva |
BGP | Zone-redundant | Numero di macchine virtuali supportate nella rete virtuale |
|---|---|---|---|---|---|---|---|---|
| Generation1 | Base | Massimo. 10 | Massimo. 128 | Non supportato | 100 Mbps | Non supportato | No | 200 |
| Generation1 | VpnGw1 | Massimo. 30 | Massimo. 128 | Massimo. 250 | 650 Mbps | Supportata | No | 450 |
| Generation1 | VpnGw2 | Massimo. 30 | Massimo. 128 | Massimo. 500 | 1 Gbps | Supportata | No | 1300 |
| Generation1 | VpnGw3 | Massimo. 30 | Massimo. 128 | Massimo. 1000 | 1,25 Gbps | Supportata | No | 4000 |
| Generation1 | VpnGw1AZ | Massimo. 30 | Massimo. 128 | Massimo. 250 | 650 Mbps | Supportata | Sì | 1000 |
| Generation1 | VpnGw2AZ | Massimo. 30 | Massimo. 128 | Massimo. 500 | 1 Gbps | Supportata | Sì | 2000 |
| Generation1 | VpnGw3AZ | Massimo. 30 | Massimo. 128 | Massimo. 1000 | 1,25 Gbps | Supportata | Sì | 5000 |
| Generation2 | VpnGw2 | Massimo. 30 | Massimo. 128 | Massimo. 500 | 1,25 Gbps | Supportata | No | 685 |
| Generation2 | VpnGw3 | Massimo. 30 | Massimo. 128 | Massimo. 1000 | 2,5 Gbps | Supportata | No | 2240 |
| Generation2 | VpnGw4 | Massimo. 100* | Massimo. 128 | Massimo. 5000 | 5 Gbps | Supportata | No | 5300 |
| Generation2 | VpnGw5 | Massimo. 100* | Massimo. 128 | Massimo. 10000 | 10 Gbps | Supportata | No | 6700 |
| Generation2 | VpnGw2AZ | Massimo. 30 | Massimo. 128 | Massimo. 500 | 1,25 Gbps | Supportata | Sì | 2000 |
| Generation2 | VpnGw3AZ | Massimo. 30 | Massimo. 128 | Massimo. 1000 | 2,5 Gbps | Supportata | Sì | 3300 |
| Generation2 | VpnGw4AZ | Massimo. 100* | Massimo. 128 | Massimo. 5000 | 5 Gbps | Supportata | Sì | 4400 |
| Generation2 | VpnGw5AZ | Massimo. 100* | Massimo. 128 | Massimo. 10000 | 10 Gbps | Supportata | Sì | 9000 |
Nota
Lo SKU Basic presenta limitazioni e non supporta l'autenticazione IKEv2 o RADIUS.
Quali criteri IKE/IPsec sono configurati nei gateway VPN da punto a sito?
IKEv2
| Cipher | Integrità | PRF | Gruppo DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| Cipher | Integrità | Gruppo PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
Quali criteri TLS sono configurati nei gateway VPN per connessione da punto a sito?
TLS
| Criteri |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**Supportato solo in TLS1.3 con OpenVPN
Come si configura una connessione da punto a sito?
La configurazione di una connessione da punto a sito richiede alcuni passaggi specifici. Gli articoli seguenti illustrano le procedure di configurazione di una connessione da punto a sito e contengono collegamenti per la configurazione dei dispositivi client VPN:
Configurare una connessione da punto a sito usando l'autenticazione RADIUS
Configurare una connessione da punto a sito usando l'autenticazione del certificato nativa di Azure
Passaggi successivi
Configurare una connessione da punto a sito usando l'autenticazione RADIUS
Configurare una connessione da punto a sito usando l'autenticazione del certificato di Azure
"OpenVPN" è un marchio di OpenVPN Inc.