Configurare un client VPN per l'autenticazione da punto a sito: RADIUS - Autenticazione password

Per connettersi a una rete virtuale tramite connessione da punto a sito (P2S), è necessario configurare il dispositivo client da cui si effettuerà la connessione. È possibile creare connessioni VPN da punti a sito da dispositivi client Windows, macOS e Linux. Questo articolo illustra come creare e installare la configurazione del client VPN per l'autenticazione RADIUS con nome utente/password.

Quando si usa l'autenticazione RADIUS, sono disponibili più istruzioni di autenticazione: autenticazione del certificato, autenticazione della password e altri metodi e protocolli di autenticazione. La configurazione dei client VPN è diversa per ogni tipo di autenticazione. Per configurare un client VPN, usare i file di configurazione client che contengono le impostazioni necessarie.

Nota

A partire dal 1 luglio 2018, verrà rimosso il supporto per TLS 1.0 e 1.1 da Gateway VPN di Azure. Gateway VPN supporterà solo TLS 1.2. Sono interessate solo le connessioni da punto a sito; Le connessioni da sito a sito non saranno interessate. Se si usa TLS per VPN da punto a sito nei client Windows 10 o versioni successive, non è necessario eseguire alcuna azione. Se si usa TLS per le connessioni da punto a sito nei client Windows 7 e Windows 8, vedere le domande frequenti sulle Gateway VPN per istruzioni sull'aggiornamento.

Workflow

Di seguito è riportato il flusso di lavoro di configurazione per l'autenticazione RADIUS da punto a sito:

  1. Configurare il gateway VPN di Azure per la connettività da punto a sito.
  2. Configurare il server RADIUS per l'autenticazione.
  3. Ottenere la configurazione del client VPN per l'opzione di autenticazione scelta e usarla per configurare il client VPN (questo articolo).
  4. Completare la configurazione da punto a sito e connettersi.

Importante

Se vengono apportate modifiche alla configurazione VPN da punto a sito, ad esempio al tipo di autenticazione o al tipo di protocollo VPN, dopo la generazione del profilo di configurazione del client VPN, è necessario generare e installare una nuova configurazione del client VPN nei dispositivi degli utenti.

È possibile configurare l'autenticazione con nome utente/password per l'uso di Active Directory oppure senza usare Active Directory. In ogni scenario, verificare che tutti gli utenti che effettuano la connessione abbiano credenziali nome utente/password autenticabili tramite RADIUS.

Quando si configura l'autenticazione con nome utente/password, è possibile creare una configurazione solo per il protocollo di autenticazione con nome utente e password EAP-MSCHAPv2. Nei comandi -AuthenticationMethod è EapMSChapv2.

Generare i file di configurazione del client VPN

È possibile generare i file di configurazione del client VPN usando il portale di Azure o Azure PowerShell.

Azure portal

  1. Passare al gateway di rete virtuale.
  2. Fare clic su Configurazione da punto a sito.
  3. Fare clic su Scarica client VPN.
  4. Selezionare il client e compilare le informazioni richieste.
  5. Fare clic su Scarica per generare il file .zip.
  6. Il file .zip verrà scaricato, in genere nella cartella Download.

Azure PowerShell

Generare i file di configurazione del client VPN per l'uso con l'autenticazione con nome utente/password. È possibile generare i file di configurazione del client VPN con il comando seguente:

New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapMSChapv2"

L'esecuzione del comando restituisce un collegamento. Copiare e incollare il collegamento in un Web browser per scaricare VpnClientConfiguration.zip. Decomprimendo il file verranno visualizzate le cartelle seguenti:

  • WindowsAmd64 e WindowsX86: queste cartelle contengono i pacchetti del programma di installazione di Windows, rispettivamente a 64 bit e a 32 bit.
  • Generic: questa cartella contiene le informazioni generali da usare per creare una configurazione del client VPN personalizzata. Non è necessario disporre di questa cartella per le configurazioni di autenticazione con nome utente/password.
  • Mac: se durante la creazione del gateway di rete virtuale è stato configurato IKEv2, è presente una cartella denominata Mac contenente un file denominato mobileconfig. Questo file viene usato per configurare i client Mac.

Se sono già stati creati file di configurazione del client, è possibile recuperarli tramite il cmdlet Get-AzVpnClientConfiguration. Ma se si apportano modifiche alla configurazione VPN da punto a sito, ad esempio al tipo di autenticazione o al tipo di protocollo VPN, la configurazione non viene aggiornata automaticamente. Per creare un nuovo download della configurazione, è necessario eseguire il cmdlet New-AzVpnClientConfiguration.

Per recuperare i file di configurazione client generati in precedenza, usare il comando seguente:

Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW"

Client VPN Windows

È possibile usare lo stesso pacchetto di configurazione del client VPN in ogni computer client Windows, a condizione che la versione corrisponda all'architettura del client. Per l'elenco dei sistemi operativi client supportati, vedere le domande frequenti.

Per configurare il client VPN Windows nativo per l'autenticazione del certificato, usare questa procedura:

  1. Selezionare i file di configurazione del client VPN corrispondenti all'architettura del computer Windows. Per un'architettura con processore a 64 bit, scegliere il pacchetto di installazione VpnClientSetupAmd64. Per un'architettura con processore a 32 bit, scegliere il pacchetto di installazione VpnClientSetupX86.

  2. Fare doppio clic sul pacchetto per installarlo. Se viene visualizzato un popup SmartScreen, selezionare Altre informazioni>Esegui comunque.

  3. Nel computer client andare a Impostazioni di rete e selezionare VPN. La connessione VPN viene visualizzata con il nome della rete virtuale a cui si connette.

Client VPN Mac (macOS)

  1. Selezionare il file VpnClientSetup mobileconfig e inviarlo a ogni utente, tramite posta elettronica o un altro metodo.

  2. Individuare il file mobileconfig nel computer Mac.

    Screenshot shows location of the mobile config file.

  3. Passaggio facoltativo - Se si vuole specificare un DNS personalizzato, aggiungere le righe seguenti al file mobileconfig:

     <key>DNS</key>
     <dict>
       <key>ServerAddresses</key>
         <array>
             <string>10.0.0.132</string>
         </array>
       <key>SupplementalMatchDomains</key>
         <array>
             <string>TestDomain.com</string>
         </array>
     </dict> 
    
  4. Fare doppio clic sul profilo per installarlo e selezionare Continua. Il nome del profilo corrisponde al nome della rete virtuale.

    Screenshot shows profile install with continue selected.

  5. Selezionare Continua per considerare attendibile il mittente del profilo e procedere con l'installazione.

    Screenshot shows continue message.

  6. Durante l'installazione del profilo, è possibile specificare il nome utente e la password per l'autenticazione VPN. Non è obbligatorio immettere queste informazioni. Se si esegue questa operazione, le informazioni vengono salvate e usate automaticamente quando si avvia una connessione. Selezionare Installa per continuare.

    Screenshot shows enter settings for username and password.

  7. Immettere un nome utente e una password per ottenere i privilegi richiesti per installare il profilo nel computer. Seleziona OK.

    Screenshot shows enter settings for username and password privileges.

  8. Dopo che il profilo è stato installato, è visibile nella finestra di dialogo Profili. È anche possibile aprire questa finestra di dialogo in un secondo momento da Preferenze di Sistema.

    Screenshot shows profiles dialog box.

  9. Per accedere alla connessione VPN, aprire la finestra di dialogo Network da Preferenze di Sistema.

    Screenshot shows network dialog box.

  10. La connessione VPN compare con il nome IkeV2-VPN. È possibile modificare il nome aggiornando il file mobileconfig.

    Screenshot shows connection name.

  11. Selezionare Impostazioni autenticazione. Selezionare Nome utente nell'elenco e immettere le proprie credenziali. Se sono state immesse in precedenza, l'opzione Nome utente è selezionata automaticamente nell'elenco e il nome utente e la password sono già inseriti. Scegliere OK per salvare le impostazioni.

    Screenshot that shows the Authentication settings drop-down with Username selected.

  12. Nella finestra di dialogo Network selezionare Applica per salvare le modifiche. Per avviare la connessione, selezionare Connetti.

Client VPN Linux - strongSwan

Le istruzioni seguenti sono state create usando strongSwan 5.5.1 in Ubuntu 17.0.4. È possibile che le schermate effettive siano diverse, in base alle versione di Linux e di strongSwan in uso.

  1. Aprire il Terminale per installare strongSwan e il relativo gestore di rete eseguendo il comando riportato nell'esempio. Se si riceve un errore relativo a libcharon-extra-plugins, sostituirlo con strongswan-plugin-eap-mschapv2.

    sudo apt-get install strongswan libcharon-extra-plugins moreutils iptables-persistent network-manager-strongswan
    
  2. Selezionare l'icona Network Manager (freccia su/freccia giù) e selezionare Edit Connections (Modifica connessioni).

    Edit connections in Network Manager.

  3. Selezionare il pulsante Add (Aggiungi) per creare una nuova connessione.

    Screenshot shows add connection for network connections.

  4. Selezionare IPsec/IKEv2 (strongswan) dal menu a discesa e quindi selezionare Create (Crea). In questo passaggio è possibile rinominare la connessione.

    Screenshot shows select connection type.

  5. Aprire il file VpnSettings.xml dalla cartella Generic dei file di configurazione client scaricati. Trovare il tag denominato VpnServer e copiare il nome, che inizia con azuregateway e termina con .cloudapp.net.

    Screenshot shows contents of the VpnSettings.xml file.

  6. Incollare il nome nel campo Address (Indirizzo) della nuova connessione VPN nella sezione Gateway. Successivamente, selezionare l'icona della cartella alla fine del campo Certificate (Certificato), passare alla cartella Generic e selezionare il file VpnServerRoot.

  7. Nella sezione Client della connessione selezionare EAP per Authentication (Autenticazione) e immettere il nome utente e la password personali. Per salvare queste informazioni, è possibile che sia necessario selezionare l'icona a forma di lucchetto a destra. Selezionare quindi Salva.

    Screenshot shows edit connection settings.

  8. Selezionare l'icona Network Manager (freccia su/freccia giù) e passare il mouse su VPN Connections (Connessioni VPN). Viene visualizzata la connessione VPN creata. Per avviare la connessione, selezionarla.

    Screenshot shows connect.

Passaggi aggiuntivi per la macchina virtuale di Azure

Se si esegue la procedura in una macchina virtuale di Azure che esegue Linux, è necessario eseguire altri passaggi.

  1. Modificare il file /etc/netplan/50-cloud-init.yaml per includere il parametro seguente per l'interfaccia

    renderer: NetworkManager
    
  2. Dopo aver modificato il file, eseguire i due comandi seguenti per caricare la nuova configurazione

    sudo netplan generate
    
    sudo netplan apply
    
  3. Arrestare/avviare o ridistribuire la macchina virtuale.

Passaggi successivi

Tornare all'articolo per completare la configurazione della connessione da punto a sito.

Per informazioni sulla risoluzione dei problemi della connessione da punto a sito, vedere Risoluzione dei problemi di connessione da punto a sito di Azure.