Aggiungere o rimuovere Gateway VPN connessioni da sito a sito

Questo articolo illustra come aggiungere o rimuovere connessioni da sito a sito (S2S) per un gateway VPN. È anche possibile aggiungere connessioni da sito a sito a un gateway VPN che dispone già di una connessione da punto a sito, una connessione da punto a sito o una connessione da rete virtuale a rete virtuale. Quando si aggiungono delle connessioni, esistono alcune limitazioni di cui è necessario tenere conto. Controllare la sezione Prerequisiti in questo articolo per verificare prima di avviare la configurazione.

Informazioni sulle connessioni coesistenti expressroute/da sito a sito

• È possibile usare la procedura descritta in questo articolo per aggiungere una nuova connessione VPN a una connessione coesistenti expressroute/da sito a sito già esistente.
• Non è possibile usare la procedura descritta in questo articolo per configurare una nuova connessione coesistenti ExpressRoute/da sito a sito. Per creare una nuova connessione coesistenti, vedere: Connessioni coesistenti di ExpressRoute/S2S.

Prerequisiti

Verificare quanto segue:

• NON si sta configurando una nuova connessione ExpressRoute coesistenti e Gateway VPN da sito a sito.
• Si dispone di una rete virtuale creata usando il modello di distribuzione Resource Manager con una connessione esistente.
• Il gateway di rete virtuale per la rete virtuale è RouteBased. Se si dispone di un gateway VPN basato su criteri, è necessario eliminare il gateway di rete virtuale e creare un nuovo gateway VPN di tipo RouteBased.
• Nessuno degli intervalli di indirizzi si sovrappone a una delle reti virtuali a cui si connette la rete virtuale.
• Si dispone di un dispositivo VPN compatibile ed è presente un utente in grado di configurarlo. Vedere Informazioni sui dispositivi VPN. Se non si ha familiarità con la configurazione del dispositivo VPN o con gli intervalli di indirizzi IP disponibili nella configurazione di rete locale, è necessario coordinarsi con qualcuno che possa fornire tali dettagli.
• Si dispone di un indirizzo IP pubblico esterno per il dispositivo VPN.

Creare un gateway di rete locale

Creare un gateway di rete locale che rappresenta il ramo o il percorso a cui connettersi.

Il gateway di rete locale è un oggetto specifico che rappresenta la posizione locale (il sito) a scopo di routing. Assegnare al sito un nome in base al quale Azure può farvi riferimento, quindi specificare l'indirizzo IP del dispositivo VPN locale a cui si creerà una connessione. Specificare anche i prefissi degli indirizzi IP che verranno instradati tramite il gateway VPN al dispositivo VPN. I prefissi degli indirizzi specificati sono quelli disponibili nella rete locale. Se la rete locale viene modificata o è necessario modificare l'indirizzo IP pubblico del dispositivo VPN, è possibile aggiornare facilmente i valori in un secondo momento.

In questo esempio viene creato un gateway di rete locale usando i valori seguenti.

• Nome: Site1
• Gruppo di risorse: TestRG1
• Località: Stati Uniti orientali

1. Nella portale di Azure, in Cerca risorse, servizi e documentazione (G+/) immettere il gateway di rete locale. Individuare il gateway di rete locale in Marketplace nei risultati della ricerca e selezionarlo per aprire la pagina Crea gateway di rete locale.

2. Nella scheda Informazioni di base della pagina Crea gateway di rete locale specificare i valori per il gateway di rete locale.

   

   • Sottoscrizione: verificare che sia visualizzata la sottoscrizione corretta.
   • Gruppo di risorse: selezionare il gruppo di risorse da usare. È possibile creare un nuovo gruppo di risorse o selezionarne uno già creato.
   • Area: selezionare l'area in cui verrà creato questo oggetto. È possibile selezionare la stessa posizione in cui risiede la rete virtuale, ma non è necessario farlo.
   • Nome: specificare un nome per l'oggetto gateway di rete locale.
   • Endpoint: selezionare il tipo di endpoint per il dispositivo VPN locale come indirizzo IP o FQDN (nome di dominio completo).
     • Indirizzo IP: se si dispone di un indirizzo IP pubblico statico allocato dal provider di servizi Internet (ISP) per il dispositivo VPN, selezionare l'opzione Indirizzo IP. Compilare l'indirizzo IP come illustrato nell'esempio. Questo indirizzo è l'indirizzo IP pubblico del dispositivo VPN a cui si vuole che Azure Gateway VPN connettersi. Se non si ha l'indirizzo IP al momento, è possibile usare i valori mostrati nell'esempio. Successivamente, è necessario tornare indietro e sostituire l'indirizzo IP segnaposto con l'indirizzo IP pubblico del dispositivo VPN. In caso contrario, Azure non può connettersi.
     • FQDN: se si dispone di un indirizzo IP pubblico dinamico che potrebbe cambiare dopo un determinato periodo di tempo, spesso determinato dall'ISP, è possibile usare un nome DNS costante con un servizio DNS dinamico per puntare all'indirizzo IP pubblico corrente del dispositivo VPN. Il gateway VPN di Azure risolve il nome di dominio completo per determinare l'indirizzo IP pubblico a cui connettersi.
   • Spazio indirizzi: lo spazio indirizzi fa riferimento agli intervalli di indirizzi per la rete rappresentata dalla rete locale. È possibile aggiungere più intervalli di spazi indirizzi. Assicurarsi che gli intervalli qui specificati non si sovrappongano con gli intervalli di altre reti a cui ci si vuole connettere. Azure instrada l'intervallo di indirizzi specificato all'indirizzo IP del dispositivo VPN locale. Usare valori personalizzati se si vuole stabilire la connessione con il sito locale, non i valori mostrati nell'esempio.

   Nota

   • Azure Gateway VPN supporta un solo indirizzo IPv4 per ogni FQDN. Se il nome di dominio viene risolto in più indirizzi IP, Gateway VPN usa il primo indirizzo IP restituito dai server DNS. Per eliminare l'incertezza, è consigliabile che il nome FQDN si risolva sempre in un singolo indirizzo IPv4. IPv6 non è supportato.
   • Gateway VPN gestisce una cache DNS aggiornata ogni 5 minuti. Il gateway prova a risolvere i nomi FQDN solo per i tunnel disconnessi. La reimpostazione del gateway attiva anche la risoluzione FQDN.
   • Anche se l'Gateway VPN di Azure supporta più connessioni a gateway di rete locali diversi con FQDN diversi, tutti i nomi di dominio completi devono essere risolti in indirizzi IP diversi.

3. Nella scheda Avanzate è possibile configurare le impostazioni BGP, se necessario.

4. Dopo aver specificato i valori, selezionare Rivedi e crea nella parte inferiore della pagina per convalidare la pagina.

5. Selezionare Crea per creare l'oggetto del gateway di rete locale.

Configurare il dispositivo VPN

Le connessioni da sito a sito verso una rete locale richiedono un dispositivo VPN. In questo passaggio viene configurato il dispositivo VPN. Per la configurazione del dispositivo VPN è necessario specificare i valori seguenti:

• Chiave condivisa. Si tratta della stessa chiave condivisa che viene specificata durante la creazione della connessione VPN da sito a sito. In questi esempi viene usata una chiave condivisa semplice. È consigliabile generare una chiave più complessa per l'uso effettivo.
• Indirizzo IP pubblico del gateway di rete virtuale. È possibile visualizzare l'indirizzo IP pubblico usando il portale di Azure, PowerShell o l'interfaccia della riga di comando. Per trovare l'indirizzo IP pubblico del gateway VPN usando il portale di Azure, passare a Gateway di rete virtuale e quindi selezionare il nome del gateway.

A seconda del dispositivo VPN disponibile, potrebbe essere possibile scaricare uno script di configurazione del dispositivo VPN. Per altre informazioni, vedere Scaricare gli script di configurazione del dispositivo VPN.

Per altre informazioni sulla configurazione, vedere i collegamenti seguenti:

• Per informazioni sui dispositivi VPN compatibili, vedere Dispositivi VPN.
• Prima di configurare il dispositivo VPN, verificare la presenza di eventuali problemi di compatibilità dei dispositivi noti per il dispositivo VPN che si vuole usare.
• Per i collegamenti alle impostazioni di configurazione del dispositivo, vedere Dispositivi VPN convalidati. I collegamenti alla configurazione del dispositivo vengono forniti nel modo più efficiente possibile. È sempre consigliabile rivolgersi al produttore del dispositivo per le informazioni di configurazione più aggiornate. L'elenco mostra le versioni testate. Se il sistema operativo non è presente nell'elenco, è comunque possibile che la versione sia compatibile. Rivolgersi al produttore del dispositivo per verificare che la versione del sistema operativo per il dispositivo VPN sia compatibile.
• Per una panoramica della configurazione dei dispositivi VPN, vedere Panoramica delle configurazioni dei dispositivi VPN di terze parti.
• Per informazioni sulla modifica degli esempi, vedere Modifica degli esempi di configurazione di dispositivo.
• Per i requisiti di crittografia, vedere About cryptographic requirements and Azure VPN gateways (Informazioni sui requisiti di crittografia e i gateway VPN di Azure).
• Per informazioni sui parametri IPsec/IKE, vedere Informazioni sui dispositivi VPN e i parametri IPsec/IKE per le connessioni gateway VPN da sito a sito. Questo collegamento mostra informazioni sulla versione IKE, sul gruppo Diffie-Hellman, sul metodo di autenticazione, sulla crittografia e sugli algoritmi hash, sulla durata sa, pfs e dpd, oltre ad altre informazioni sui parametri necessarie per completare la configurazione.
• Per i passaggi di configurazione dei criteri IPsec/IKE, vedere Configurare i criteri IPsec/IKE per connessioni VPN da sito a sito o da rete virtuale a rete virtuale.
• Per connettere più dispositivi VPN basati su criteri, vedere Connettere i gateway VPN di Azure a più dispositivi VPN basati su criteri locali usando PowerShell.

Configurare una connessione

Creare una connessione VPN da sito a sito tra il gateway di rete virtuale e il dispositivo VPN locale.

Creare una connessione con i valori seguenti:

• Nome del gateway di rete locale: Site1
• nome Connessione ion: VNet1toSite1
• Chiave condivisa: in questo esempio si usa abc123. È possibile usare qualsiasi valore compatibile con l'hardware VPN, ma è importante che i valori corrispondano su entrambi i lati della connessione.

1. Passare alla rete virtuale. Nella pagina della rete virtuale a sinistra selezionare dispositivi Connessione ed. Individuare il gateway VPN e selezionarlo per aprirlo.

2. Nella pagina del gateway selezionare Connessioni.

3. Nella parte superiore della pagina Connessione ions selezionare + Aggiungi per aprire la pagina Crea connessione.

   

4. Nella pagina Crea connessione , nella scheda Informazioni di base configurare i valori per la connessione:

   • In Dettagli progetto selezionare la sottoscrizione e il gruppo di risorse in cui si trovano le risorse.

   • In Dettagli istanza configurare le impostazioni seguenti:

     • tipo di Connessione ion: selezionare Da sito a sito (IPSec).
     • Nome: assegnare un nome alla connessione.
     • Area: selezionare l'area della connessione.

5. Selezionare la scheda Impostazioni e configurare i valori seguenti:

   

   • Gateway di rete virtuale: selezionare il gateway di rete virtuale dall'elenco a discesa.
   • Gateway di rete locale: selezionare il gateway di rete locale dall'elenco a discesa.
   • Chiave condivisa: il valore qui deve corrispondere al valore usato per il dispositivo VPN locale.
   • Protocollo IKE: selezionare IKEv2.
   • Usare l'indirizzo IP privato di Azure: non selezionare.
   • Abilita BGP: non selezionare.
   • FastPath: non selezionare.
   • Criterio IPsec/IKE: selezionare Predefinito.
   • Usare il selettore del traffico basato su criteri: selezionare Disabilita.
   • Timeout DPD in secondi: selezionare 45.
   • Connessione modalità di connessione: selezionare Predefinito. Questa impostazione viene usata per specificare il gateway che può avviare la connessione. Per altre informazioni, vedere impostazioni Gateway VPN - modalità di Connessione ion.

6. Per Le associazioni di regole NAT lasciare selezionata sia l'opzione Ingress che Egress (Ingress) e Egress (Ingress) e Egress (Uscita) come 0.

7. Selezionare Rivedi e crea per convalidare le impostazioni di connessione.

8. Seleziona Crea per creare la connessione.

9. Al termine della distribuzione, è possibile visualizzare la connessione nella pagina Connessione ions del gateway di rete virtuale. Lo stato passa da Sconosciuto a Connessione ing e quindi a Succeeded.

Visualizzare e verificare la connessione VPN

Nella portale di Azure è possibile visualizzare lo stato della connessione di un gateway VPN passando alla connessione. I passaggi seguenti illustrano un modo per passare alla connessione e verificare.

1. Nel menu portale di Azure selezionare Tutte le risorse o cercare e selezionare Tutte le risorse da qualsiasi pagina.
2. Selezionare il gateway di rete virtuale.
3. Nel riquadro del gateway di rete virtuale selezionare Connessione ions. È possibile visualizzare lo stato di ogni connessione.
4. Selezionare il nome della connessione da verificare per aprire Essentials. Nel riquadro Informazioni di base è possibile visualizzare altre informazioni sulla connessione. Lo stato è Succeeded e Connessione ed dopo aver effettuato una connessione riuscita.

Rimuovere una connessione

1. Nel portale passare alla pagina Connessione ions del gateway VPN.
2. Fare clic sulla connessione da rimuovere. Verrà aperta la pagina per la connessione.
3. Fare clic su Elimina per rimuovere la connessione.

Passaggi successivi

Per altre informazioni sulle configurazioni del gateway VPN da sito a sito, vedere Esercitazione: Configurare una configurazione del gateway VPN da sito a sito.