Configurare una connessione VPN da sito a sito tramite peering privato ExpressRoute

  • Articolo

Puoi configurare la VPN da sito a sito verso un gateway di rete virtuale su peering privato di ExpressRoute usando un indirizzo IP RFC 1918. Questa configurazione offre i vantaggi seguenti:

  • Il traffico su peering privato è crittografato.

  • Gli utenti da punto a sito che si connettono a un gateway di rete virtuale possono usare ExpressRoute, tramite il tunnel da sito a sito, per accedere alle risorse locali.

  • È possibile distribuire connessioni VPN da sito a sito tramite peering privato ExpressRoute contemporaneamente alle connessioni VPN da sito a sito tramite Internet nello stesso gateway VPN.

Questa funzionalità è disponibile per gli SKU seguenti:

  • VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ con ip pubblico standard con una o più zone

    Nota

    Questa funzionalità è supportata solo nei gateway con un indirizzo IP pubblico standard.

Prerequisiti

Per completare questa configurazione, verificare di soddisfare i prerequisiti seguenti:

  • Si dispone di un circuito ExpressRoute funzionante collegato alla rete virtuale in cui viene creato o verrà creato il gateway VPN.

  • È possibile raggiungere le risorse tramite ip RFC1918 (privato) nella rete virtuale tramite il circuito ExpressRoute.

Definizione dei percorsi di trasferimento

La figura 1 mostra un esempio di connettività VPN tramite il peering privato di ExpressRoute. In questo esempio viene visualizzata una rete all'interno della rete locale connessa al gateway VPN dell'hub di Azure tramite il peering privato di ExpressRoute. Un aspetto importante di questa configurazione è il routing tra le reti locali e Azure sui percorsi ExpressRoute e VPN.

Figura 1

Figure 1

Stabilire la connettività è semplice:

  1. Stabilire la connettività di ExpressRoute con un circuito ExpressRoute e un peering privato.

  2. Stabilire la connettività VPN seguendo la procedura descritta in questo articolo.

Traffico dalle reti locali ad Azure

Per il traffico dalle reti locali ad Azure, i prefissi di Azure vengono annunciati sia tramite il peering BGP privato di ExpressRoute che il BGP VPN se BGP è configurato nel Gateway VPN. Il risultato è costituito da due route di rete (percorsi) verso Azure dalle reti locali:

• Una route di rete tramite il percorso protetto da IPsec.

• Una route di rete direttamente tramite ExpressRoute senza protezione IPsec.

Per applicare la crittografia alla comunicazione, è necessario assicurarsi che per la rete connessa alla VPN nella figura 1 le route di Azure tramite il gateway VPN locale siano preferite rispetto al percorso ExpressRoute diretto.

Traffico da Azure alle reti locali

Lo stesso requisito si applica al traffico da Azure alle reti locali. Per assicurarsi che il percorso IPsec abbia la precedenza rispetto al percorso ExpressRoute diretto (senza IPsec), sono disponibili due opzioni:

• Annunciare prefissi più specifici nella sessione BGP VPN per la rete connessa alla VPN. È possibile annunciare un intervallo più ampio che comprende la rete connessa alla VPN tramite il peering privato di ExpressRoute, quindi intervalli più specifici nella sessione BGP della VPN. Annunciare, ad esempio, 10.0.0.0/16 per ExpressRoute e 10.0.1.0/24 per la VPN.

Pubblicizzare prefissi non contigui per VPN ed ExpressRoute. Se gli intervalli di rete connessi alla VPN non sono contigui da altre reti connesse a ExpressRoute, è possibile annunciare i prefissi rispettivamente nelle sessioni VPN e ExpressRoute BGP. Annunciare, ad esempio, 10.0.0.0/24 per ExpressRoute e 10.0.1.0/24 per la VPN.

In entrambi questi esempi Azure invierà traffico a 10.0.1.0/24 tramite la connessione VPN anziché direttamente tramite ExpressRoute senza protezione VPN.

Avviso

Se si annunciano gli stessi prefissi su connessioni ExpressRoute e VPN, >Azure userà il percorso ExpressRoute direttamente senza protezione VPN.

Passaggi del portale

  1. Configurare una connessione da sito a sito. Per la procedura, vedere l'articolo Sulla configurazione da sito a sito. Assicurarsi di selezionare un gateway con un indirizzo IP pubblico Standard.

    Gateway Private IPs

  2. Abilitare gli indirizzi IP privati nel gateway. Selezionare Configurazione, quindi impostare INDIRIZZI IP privati del gateway su Abilitato. Selezionare Salva per salvare le modifiche.

  3. Nella pagina Panoramica selezionare Vedi altro per visualizzare l'indirizzo IP privato. Annotare queste informazioni da usare più avanti nei passaggi di configurazione.

    Overview page

  4. Per abilitare Usa indirizzo IP privato di Azure nella connessione, selezionare Configurazione. Impostare Usa indirizzo IP privato di Azure su Abilitato e quindi selezionare Salva.

    Gateway Private IPs - Enabled

  5. Usare l'INDIRIZZO IP privato scritto nel passaggio 3 come indirizzo IP remoto nel firewall locale per stabilire il tunnel da sito a sito tramite il peering privato ExpressRoute.

    Nota

    La configurazione di BGP nel Gateway VPN non è necessaria per ottenere una connessione VPN tramite il peering privato di ExpressRoute.

Passaggi di PowerShell

  1. Configurare una connessione da sito a sito. Per la procedura, vedere l'articolo Configurare una VPN da sito a sito. Assicurarsi di selezionare un gateway con un indirizzo IP pubblico Standard.

  2. Impostare il flag per usare l'indirizzo IP privato nel gateway usando i comandi di PowerShell seguenti:

    $Gateway = Get-AzVirtualNetworkGateway -Name <name of gateway> -ResourceGroup <name of resource group>

Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -EnablePrivateIpAddress $true

    Verrà visualizzato un indirizzo IP pubblico e privato. Annotare l'indirizzo IP nella sezione "TunnelIpAddresses" dell'output. Queste informazioni verranno usate in un passaggio successivo.

  3. Impostare la connessione per usare l'indirizzo IP privato usando il comando di PowerShell seguente:

    $Connection = get-AzVirtualNetworkGatewayConnection -Name <name of the connection> -ResourceGroupName <name of resource group>

Set-AzVirtualNetworkGatewayConnection --VirtualNetworkGatewayConnection $Connection -UseLocalAzureIpAddress $true

  4. Dal firewall eseguire il ping dell'indirizzo IP privato annoto nel passaggio 2. Deve essere raggiungibile tramite il peering privato di ExpressRoute.

  5. Usare questo indirizzo IP privato come indirizzo IP remoto nel firewall locale per stabilire il tunnel da sito a sito tramite il peering privato di ExpressRoute.

Passaggi successivi

Per altre informazioni sulle Gateway VPN, vedere Che cos'è Gateway VPN?