Configurare un client VPN per i protocolli e i metodi da punto a sito: RADIUS - altri metodi e protocolli

  • Articolo

Per connettersi a una rete virtuale tramite connessione da punto a sito (P2S), è necessario configurare il dispositivo client da cui si effettuerà la connessione. Questo articolo illustra come creare e installare la configurazione del client VPN per l'autenticazione RADIUS che usa metodi diversi dall'autenticazione basata su certificati o password.

Quando si usa l'autenticazione RADIUS, sono disponibili più istruzioni di autenticazione: autenticazione del certificato, autenticazione della password e altri metodi e protocolli di autenticazione. La configurazione dei client VPN è diversa per ogni tipo di autenticazione. Per configurare un client VPN, usare i file di configurazione client che contengono le impostazioni necessarie.

Nota

A partire dal 1 luglio 2018, verrà rimosso il supporto per TLS 1.0 e 1.1 da Gateway VPN di Azure. Gateway VPN supporterà solo TLS 1.2. Sono interessate solo le connessioni da punto a sito; Le connessioni da sito a sito non saranno interessate. Se si usa TLS per VPN da punto a sito nei client Windows 10 o versioni successive, non è necessario eseguire alcuna azione. Se si usa TLS per le connessioni da punto a sito nei client Windows 7 e Windows 8, vedere le domande frequenti sulle Gateway VPN per istruzioni sull'aggiornamento.

Workflow

Di seguito è riportato il flusso di lavoro di configurazione per l'autenticazione RADIUS da punto a sito:

  1. Configurare il gateway VPN di Azure per la connettività da punto a sito.

  2. Configurare il server RADIUS per l'autenticazione.

  3. Ottenere la configurazione del client VPN per l'opzione di autenticazione scelta e usarla per configurare il client VPN (questo articolo).

  4. Completare la configurazione da punto a sito e connettersi.

Importante

Se vengono apportate modifiche alla configurazione VPN da punto a sito, ad esempio al tipo di autenticazione o al tipo di protocollo VPN, dopo la generazione del profilo di configurazione del client VPN, è necessario generare e installare una nuova configurazione del client VPN nei dispositivi degli utenti.

Per usare un diverso tipo di autenticazione, ad esempio OTP, oppure un diverso protocollo di autenticazione, ad esempio PEAP-MSCHAPv2 invece di EAP-MSCHAPv2, è necessario creare un profilo di configurazione del client VPN personalizzato. Se la VPN da punto a sito è configurata con RADIUS e OpenVPN, attualmente PAP è supportato solo il metodo di autenticazione tra il gateway e il server RADIUS. Per creare il profilo sono necessarie informazioni come l'indirizzo IP del gateway di rete virtuale, il tipo di tunnel e le route per lo split tunneling. Per ottenere queste informazioni, seguire questa procedura.

Generare i file di configurazione del client VPN

È possibile generare i file di configurazione del client VPN usando il portale di Azure o Azure PowerShell.

Azure portal

  1. Passare al gateway di rete virtuale.
  2. Fare clic su Configurazione da punto a sito.
  3. Fare clic su Scarica client VPN.
  4. Selezionare il client e compilare le informazioni richieste.
  5. Fare clic su Scarica per generare il file .zip.
  6. Il file .zip verrà scaricato, in genere nella cartella Download.

Azure PowerShell

Usare il cmdlet Get-AzVpnClientConfiguration per generare la configurazione del client VPN per EapMSChapv2.

Visualizzare i file e configurare il client VPN

Decomprimere il file VpnClientConfiguration.zip e cercare la cartella GenericDevice. Ignorare le cartelle contenenti i programmi di installazione Windows per le architetture a 64 e a 32 bit.

La cartella GenericDevice include un file XML denominato VpnSettings. che contiene tutte le informazioni necessarie:

  • VpnServer: FQDN del gateway VPN di Azure. È l'indirizzo a cui si connette il client.
  • VpnType: tipo di tunnel usato per la connessione.
  • Routes: route da configurare nel profilo affinché sul tunnel da punto a sito venga inviato solo il traffico associato alla rete virtuale di Azure.

La cartella GenericDevice include anche un file con estensione .cer denominato VpnServerRoot. che contiene il certificato radice necessario per convalidare il gateway VPN di Azure durante la configurazione della connessione da punto a sito. Installare il certificato in tutti i dispositivi che si connetteranno alla rete virtuale di Azure.

Usare le impostazioni nei file per configurare il client VPN.

Passaggi successivi

Tornare all'articolo per completare la configurazione della connessione da punto a sito.

Per informazioni sulla risoluzione dei problemi della connessione da punto a sito, vedere Risoluzione dei problemi di connessione da punto a sito di Azure.