Configurare le impostazioni del server per l'autenticazione del certificato di Gateway VPN da punto a sito
Questo articolo illustra come configurare le impostazioni del server da punto a sito del Gateway VPN necessarie per consentire la connessione sicura di singoli client Windows, Linux o macOS a una rete virtuale di Azure. Le connessioni VPN da punto a sito sono utili per connettersi alla rete virtuale da una posizione remota, ad esempio quando si lavora da casa o durante una conferenza. È anche possibile usare la connessione da punto a sito anziché una VPN da sito a sito quando sono presenti solo alcuni client che necessitano di connettersi a una rete virtuale.
Le connessioni da punto a sito non richiedono un dispositivo VPN o un indirizzo IP pubblico. Sono disponibili diverse opzioni di configurazione per la connessione da punto a sito. Per altre informazioni sulle connessioni VPN da punto a sito, vedere Informazioni sulla VPN da punto a sito.
I passaggi descritti in questo articolo creano una configurazione da punto a sito che usa l'autenticazione del certificato e la portale di Azure. Per creare questa configurazione usando Azure PowerShell, vedere l'articolo Configurare connessioni da punto a sito - Certificato - PowerShell. Per l'autenticazione RADIUS, vedere l'articolo Connessioni da punto a sito con RADIUS. Per l'autenticazione con Microsoft Entra, vedere l'articolo Connessioni da punto a sito con Microsoft Entra ID.
Le connessioni con autenticazione tramite certificato da punto a sito di Azure usano gli elementi seguenti, che verranno configurati in questo esercizio:
- Un gateway VPN basato su route (non basato su criteri). Per altre informazioni sul tipo di VPN, vedere Impostazioni del Gateway VPN.
- La chiave pubblica (file CER) per un certificato radice, caricato in Azure. Dopo essere stato caricato, il certificato viene considerato come attendibile e usato per l'autenticazione.
- Un certificato client generato dal certificato radice. Il certificato client installato su ogni computer client che si connetterà alla rete virtuale. Questo certificato viene usato per l'autenticazione client.
- File di configurazione del client VPN. Il client VPN viene configurato usando i file di configurazione del client VPN. Questi file contengono le informazioni necessarie per la connessione del client alla rete virtuale. Ogni client che si connette deve essere configurato usando le impostazioni nei file di configurazione.
Prerequisiti
Verificare di possedere una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, è possibile attivare i vantaggi per i sottoscrittori di MSDN oppure iscriversi per ottenere un account gratuito.
Valori di esempio
È possibile usare i valori seguenti per creare un ambiente di test o fare riferimento a questi valori per comprendere meglio gli esempi di questo articolo:
Rete virtuale
- Nome della rete virtuale: VNet1
- Spazio indirizzi: 10.1.0.0/16
Per questo esempio, viene usato un solo spazio indirizzi. È possibile avere più di uno spazio indirizzi per la rete virtuale. - Nome subnet: FrontEnd
- Intervallo di indirizzi subnet: 10.1.0.0/24
- Sottoscrizione: se si dispone di più sottoscrizioni, verificare di usare quella corretta.
- Gruppo di risorse: TestRG1
- Località: Stati Uniti orientali
Gateway di rete virtuale
- Nome gateway di rete virtuale: VNet1GW
- Tipo di gateway: VPN
- Tipo VPN: basato su route (obbligatorio per connessione da punto a sito)
- SKU: VpnGw2
- Generazione: generazione 2
- Intervallo di indirizzi subnet del gateway: 10.1.255.0/27
- Nome indirizzo IP pubblico: VNet1GWpip
- Nome indirizzo IP pubblico 2: VNet1GWpip2 - per i gateway in modalità active-active.
Tipo di connessione e pool di indirizzi client
- Tipo di connessione: Da punto a sito
- Pool di indirizzi client: 172.16.201.0/24
I client VPN che si connettono alla rete virtuale con questa connessione da punto a sito ricevono un indirizzo IP dal pool di indirizzi client.
Creare una rete virtuale
In questa sezione viene creata una rete virtuale. Per valori suggeriti da usare per questa configurazione, vedere la sezione Valori di esempio.
Nota
Quando si usa una rete virtuale in un'architettura cross-premise, è necessario coordinarsi con l'amministratore di rete locale per definire un intervallo di indirizzi IP da usare in modo specifico per questa rete virtuale. Se su entrambi i lati della connessione VPN è presente un intervallo di indirizzi duplicato, il traffico verrà indirizzato in modo imprevisto. Se inoltre si vuole connettere questa rete virtuale a un'altra rete virtuale, lo spazio degli indirizzi non può sovrapporsi all'altra rete virtuale. Pianificare la configurazione di rete di conseguenza.
Accedere al portale di Azure.
In Cerca risorse, servizio e documentazione (G+/) nella parte superiore della pagina del portale inserire la rete virtuale. Selezionare Rete virtuale nei risultati della ricerca del Marketplace per aprire la pagina Rete virtuale.
Nella parte inferiore della pagina Rete virtuale selezionare Crea per aprire la pagina Crea rete virtuale.
Nella scheda Informazioni di base configurare le impostazioni della rete virtuale per Dettagli del progetto e Dettagli dell’istanza. Quando vengono convalidati i valori immessi, viene visualizzato un segno di spunta verde. È possibile modificare i valori visualizzati nell'esempio in base alle impostazioni necessarie.
- Sottoscrizione: verificare che la sottoscrizione elencata sia corretta. È possibile modificare le sottoscrizioni tramite l'elenco a discesa.
- Gruppo di risorse: selezionare un gruppo di risorse esistente oppure fare clic su Crea nuovo per creare un nuovo gruppo. Per altre informazioni sui gruppi di risorse, vedere Panoramica di Azure Resource Manager.
- Nome: immettere un nome per la rete virtuale.
- Area: selezionare il percorso per la rete virtuale. La località determina la posizione in cui risiederanno le risorse distribuite nella rete virtuale.
Selezionare Avanti o Sicurezza per andare alla scheda sScurezza. Per questo esercizio, lasciare i valori predefiniti per tutti i servizi in questa pagina.
Selezionare indirizzi IP per andare alla scheda Indirizzi IP. Nella scheda Indirizzi IP configurare i le impostazioni.
Spazio indirizzi IPv4: per impostazione predefinita, viene creato automaticamente uno spazio indirizzi. È possibile selezionare lo spazio indirizzi e modificarlo in modo da riflettere i propri valori. È anche possibile aggiungere uno spazio indirizzi differente e rimuovere l'impostazione predefinita creata automaticamente. Ad esempio, è possibile specificare l'indirizzo iniziale come 10.1.0.0 e specificare le dimensioni dello spazio degli indirizzi come /16. Selezionare quindi Aggiungi per aggiungere tale spazio indirizzi.
+ Aggiungi subnet: se si usa lo spazio indirizzi predefinito, viene creata automaticamente una subnet predefinita. Se si modifica lo spazio indirizzi, aggiungere una nuova subnet all'interno di tale spazio. Selezionare + Aggiungi subnet per aprire la finestra Aggiungi subnet. Configurare le impostazioni seguenti e quindi selezionare Aggiungi nella parte inferiore della pagina per aggiungere i valori.
- Nome subnet: un esempio è FrontEnd.
- Intervallo di indirizzi subnet: intervallo di indirizzi per questa subnet. Gli esempi sono 10.1.0.0 e /24.
Esaminare la pagina indirizzi IP e rimuovere eventuali spazi di indirizzi o subnet non necessari.
Selezionare Rivedi e crea per convalidare le impostazioni della rete virtuale.
Dopo aver convalidato le impostazioni, selezionare Crea per creare la rete virtuale.
Creare una subnet del gateway
Il gateway di rete virtuale richiede una subnet specifica denominata GatewaySubnet. La subnet del gateway fa parte dell'intervallo di indirizzi IP per la rete virtuale e contiene gli indirizzi IP usati dalle risorse e dai servizi del gateway di rete virtuale. Aggiungere una subnet del gateway con dimensioni pari a /27 o maggiori.
- Nella pagina della rete virtuale, nel riquadro sinistro selezionare Subnet per aprire la pagina Subnet.
- Nella parte superiore della pagina selezionare + Subnet gateway per aprire il riquadro Aggiungi subnet.
- Il nome viene immesso automaticamente come GatewaySubnet. Modificare il valore dell'intervallo di indirizzi IP, se necessario, ad esempio 10.1.255.0/27.
- Non modificare gli altri valori nella pagina. Selezionare Salva nella parte inferiore della pagina per salvare la subnet.
Creare il gateway VPN
Questo passaggio illustra come creare il gateway di rete virtuale per la rete virtuale. La creazione di un gateway spesso richiede anche più di 45 minuti di tempo a seconda dello SKU gateway selezionato.
Nota
Lo SKU gateway Basic non supporta l'autenticazione IKEv2 o RADIUS. Se si prevede di connettere client Mac alla rete virtuale, non usare lo SKU Basic.
In Cerca risorse, servizi e documentazione (G+/)immettere il gateway di rete virtuale. Individuare Gateway di rete virtuale nei risultati della ricerca del Marketplace e selezionarlo per aprire la pagina Crea gateway di rete virtuale.
Nella scheda Informazioni di base inserire i valori per Dettagli del progetto e Dettagli dell’istanza.
Sottoscrizione: selezionare la sottoscrizione da usare nell'elenco a discesa.
Gruppo di risorse: questa impostazione viene compilata automaticamente quando si seleziona la rete virtuale in questa pagina.
Nome: assegnare un nome al gateway. Il nome del gateway non è uguale al nome della subnet del gateway. ma il nome dell'oggetto gateway da creare.
Area: selezionare l'area in cui creare la risorsa. L'area del gateway deve essere uguale a quella della rete virtuale.
Tipo di gateway: selezionare VPN. I gateway VPN usano il gateway di rete virtuale di tipo VPN.
SKU: nell'elenco a discesa selezionare lo SKU del gateway che supporta le funzionalità da usare. Vedere SKU del gateway. Gli SKU AZ supportano le zone di disponibilità.
Generazione: selezionare la generazione da usare. È consigliabile usare uno SKU di generazione 2 Per altre informazioni, vedere SKU del gateway.
Rete virtuale: scegliere la rete virtuale a cui aggiungere il gateway nell'elenco a discesa. Se non è possibile visualizzare la rete virtuale per cui si vuole creare un gateway, assicurarsi di aver selezionato la sottoscrizione e l'area corrette nelle impostazioni precedenti.
Intervallo di indirizzi della subnet del gateway o Subnet: la subnet del gateway è necessaria per creare un gateway VPN.
A questo punto, questo campo può mostrare diverse opzioni di impostazioni a seconda dello spazio indirizzi della rete virtuale e del fatto che sia già stata creata o meno una subnet denominata GatewaySubnet per la rete virtuale.
Se non si dispone di una subnet del gateway e non viene visualizzata l'opzione per crearne una in questa pagina, tornare alla rete virtuale e creare la subnet del gateway. Tornare quindi a questa pagina e configurare il gateway VPN.
Specificare i valori per Indirizzo IP pubblico. Queste impostazioni specificano l'oggetto indirizzo IP pubblico che viene associato al gateway VPN. L'indirizzo IP pubblico viene assegnato a questo oggetto durante la creazione del gateway VPN. L'unica volta in cui l'indirizzo IP pubblico primario viene modificato è quando il gateway viene eliminato e creato di nuovo. Non viene modificato in caso di ridimensionamento, reimpostazione o altre manutenzioni/aggiornamenti del gateway VPN.
- Tipo di indirizzo IP pubblico: se viene visualizzata questa opzione, selezionare Standard. Lo SKU dell'indirizzo IP pubblico Basic è supportato solo per i gateway VPN con SKU Basic.
- Indirizzo IP pubblico: lasciare Crea nuovo selezionato.
- Nome indirizzo IP pubblico: nella casella di testo digitare un nome per l'istanza dell'indirizzo IP pubblico.
- SKU indirizzo IP pubblico: l'impostazione è selezionata automaticamente.
- Assegnazione: l'assegnazione viene in genere selezionata automaticamente. Per lo SKU Standard, l'assegnazione è sempre Statica.
- Abilitare la modalità attiva-attiva: per questo esercizio è possibile selezionare Disabilitato. Tuttavia, è possibile scegliere di abilitare questa impostazione se si sta creando una configurazione del gateway in modalità attiva-attiva. Per altre informazioni, vedere Informazioni sui gateway attivi.For more information, see About active-active gateways. Se si crea un gateway attivo-attivo, è necessario creare anche un indirizzo IP pubblico aggiuntivo.
- Configura BGP: selezionare Disabilitato, a meno che la configurazione non richieda specificamente questa opzione. Se è un'impostazione necessaria, il numero ASN predefinito è 65515, anche se questo valore può essere modificato.
Selezionare Rivedi e crea per eseguire la convalida.
Una volta superata la convalida, selezionare Crea per distribuire il gateway VPN.
È possibile visualizzare lo stato della distribuzione nella pagina Panoramica per il gateway. Dopo aver creato il gateway, è possibile visualizzare l'indirizzo IP assegnato esaminando la rete virtuale nel portale. Il gateway viene visualizzato come un dispositivo connesso.
Importante
I gruppi di sicurezza di rete nella subnet del gateway non sono supportati. Se si associa un gruppo di sicurezza di rete a tale subnet, il gateway della rete virtuale (VPN e gateway Express Route) potrebbe smettere di funzionare come previsto. Per altre informazioni sui gruppi di sicurezza di rete, vedere Che cos'è un gruppo di sicurezza di rete.
Generare i certificati
I certificati vengono usati da Azure per autenticare i client che si connettono a una rete virtuale tramite una connessione VPN da punto a sito. Dopo avere ottenuto un certificato radice, è necessario caricare le informazioni della chiave pubblica in Azure. Il certificato radice viene quindi considerato 'attendibile' da Azure per la connessione da punto a sito alla rete virtuale.
È anche possibile generare i certificati client dal certificato radice considerato attendibile e quindi installarli in ogni computer client. Il certificato client viene usato per l'autenticazione del client all'avvio di una connessione alla rete virtuale.
Il certificato radice deve essere generato ed estratto prima di configurare le impostazioni del gateway da punto a sito.
Generare un certificato radice
Ottenere il file con estensione cer per il certificato radice. È possibile usare un certificato radice generato tramite una soluzione aziendale (scelta consigliata) oppure generare un certificato autofirmato. Dopo avere creato il certificato radice, esportare i dati del certificato pubblico, non la chiave privata, come file CER X.509 con codifica in base 64. Il file viene caricato in un secondo momento in Azure.
Certificato aziendale: se si usa una soluzione aziendale, è possibile usare la catena di certificati esistente. Acquisire il file con estensione cer per il certificato radice che si vuole usare.
Certificato radice autofirmato: se non si usa una soluzione aziendale i certificati, creare un certificato radice autofirmato. In caso contrario, i certificati creati non saranno compatibili con le connessioni da punto a sito e i client riceveranno un errore di connessione quando tentano di connettersi. È possibile usare Azure PowerShell, MakeCert oppure OpenSSL. I passaggi negli articoli seguenti descrivono come generare un certificato radice autofirmato compatibile:
- Istruzioni di PowerShell per Windows 10 o versioni successive: queste istruzioni richiedono PowerShell in un computer che esegue Windows 10 o versioni successive. I certificati client generati dal certificato radice possono essere installati in qualsiasi client da punto a sito supportato.
- Istruzioni per MakeCert: usare MakeCert per generare i certificati se non si ha accesso a un computer che esegue Windows 10 o versioni successive. Sebbene MakeCert sia deprecato, è comunque possibile usarlo per generare i certificati. I certificati client generati dal certificato radice possono essere installati in qualsiasi client da punto a sito supportato.
- Istruzioni per Linux - OpenSSL
- Istruzioni per Linux - strongSwan
Generare certificati client
Ogni computer client che viene connesso a una rete virtuale con connessione da punto a sito deve avere un certificato client installato. Il certificato viene generato dal certificato radice e viene installato in ogni computer client. Se non si installa un certificato client valido, l'autenticazione avrà esito negativo quando il client prova a connettersi alla rete virtuale.
È possibile generare un certificato univoco per ogni client oppure usare lo stesso certificato per più client. Generare certificati client univoci offre il vantaggio di poter revocare un singolo certificato. In caso contrario, se più client utilizzano lo stesso certificato client per l’autenticazione e questo viene revocato, è necessario generare e installare nuovi certificati per tutti i client che usano tale certificato.
È possibile generare i certificati client usando i metodi seguenti:
Certificato aziendale:
Se si usa una soluzione aziendale per la creazione di certificati, generare un certificato client con il valore di nome comune nel formato name@yourdomain.com. Usare questo formato anziché il formato nome dominio\nome utente.
Verificare che il certificato client sia basato sul modello di certificato utente con Autenticazione client riportato come primo elemento nell'elenco d'uso. Controllare il certificato facendo doppio clic sul certificato client e aprendo Utilizzo chiavi avanzato nella scheda Dettagli.
Certificato radice autofirmato: seguire la procedura descritta in uno degli articoli seguenti sui certificati delle connessioni da punto a sito in modo che i certificati client creati siano compatibili con le connessioni da punto a sito in uso.
Se si genera un certificato client da un certificato radice autofirmato, viene eseguita l'installazione automatica nel computer usato per generarlo. Se si vuole installare un certificato client in un altro computer client, esportarlo come file con estensione .pfx, insieme all'intera catena di certificati. In questo modo, viene creato un file .pfx contenente le informazioni del certificato radice necessarie per l’autenticazione del client.
I passaggi di questi articoli generano un certificato client compatibile, che è quindi possibile esportare e distribuire.
Istruzioni di PowerShell per Windows 10 o versioni successive: queste istruzioni richiedono Windows 10 o versioni successive e PowerShell per generare i certificati. I certificati generati possono essere installati in qualsiasi client con connessione da punto a sito supportato.
Istruzioni per MakeCert: se non si ha accesso a un computer con Windows 10 o versioni successive, è possibile usare MakeCert per generare i certificati. Sebbene MakeCert sia deprecato, è comunque possibile usarlo per generare i certificati. È possibile installare i certificati generati in qualsiasi client con connessione da punto a sito supportato.
Linux: vedere le istruzioni per strongSwan o OpenSSL.
Aggiungere il pool di indirizzi
La pagina Configurazione da punto a sito contiene le informazioni di configurazione necessarie per la VPN da punto a sito. Dopo aver configurato tutte le impostazioni di connessione da punto a sito e aver aggiornato il gateway, verrà usata la pagina Configurazione da punto a sito per visualizzare o modificare le impostazioni della VPN da punto a sito.
- Passare al gateway creato nella sezione precedente.
- Nel riquadro sinistro selezionare Configurazione da punto a sito.
- Fare clic su Configura ora nella parte superiore, per aprire la pagina di configurazione.
Il pool di indirizzi client è un intervallo di indirizzi IP privati specificati dall'utente. I client che si connettono dinamicamente tramite VPN da punto a sito ricevono un indirizzo IP da questo intervallo. Usare un intervallo di indirizzi IP privati che non si sovrapponga con la posizione locale da cui viene effettuata la connessione o con la rete virtuale a cui ci si vuole connettere. Se si configurano più protocolli e SSTP è uno dei protocolli, il pool di indirizzi configurato viene suddiviso equamente tra i protocolli configurati.
- Nella pagina Configurazione da punto a sito aggiungere nella casella Pool di indirizzi l'intervallo di indirizzi IP privati da usare. I client VPN ricevono dinamicamente un indirizzo IP dall'intervallo specificato. La subnet mask minima è a 29 bit per la configurazione attiva/passiva e a 28 bit per la configurazione attiva/attiva.
Se il gateway VPN è configurato con uno SKU della zona di disponibilità (AZ) ed è in modalità attiva-attiva, le configurazioni VPN da punto a sito richiedono tre indirizzi IP pubblici. Puoi usare il valore di esempio VNet1GWpip3.
Specificare il tipo di tunnel e di autenticazione
Nota
Se non viene visualizzato il tipo di tunnel o il tipo di autenticazione nella pagina Configurazione da punto a sito, il gateway usa lo SKU Basic. Lo SKU Basic non supporta l'autenticazione IKEv2 o RADIUS. Se si vogliono usare queste impostazioni, è necessario eliminare e ricreare il gateway usando uno SKU del gateway diverso.
In questa sezione si specificano il tipo di tunnel e il tipo di autenticazione. Queste impostazioni possono diventare complesse, a seconda del tipo di tunnel necessario e del software client VPN usato per stabilire la connessione dal sistema operativo dell'utente. I passaggi descritti in questo articolo illustrano le impostazioni e le scelte di configurazione di base.
È possibile selezionare opzioni che contengono più tipi di tunnel dall'elenco a discesa, ad esempio IKEv2 e OpenVPN(SSL) o IKEv2 e SSTP (SSL), ma sono supportate solo determinate combinazioni di tipi di tunnel e tipi di autenticazione. Ad esempio, l'autenticazione di Microsoft Entra può essere usata solo quando si seleziona OpenVPN (SSL) dall'elenco a discesa del tipo di tunnel, e non IKEv2 e OpenVPN(SSL).
Inoltre, il tipo di tunnel e il tipo di autenticazione corrispondono al software client VPN che può essere usato per connettersi ad Azure. Ad esempio, un'applicazione software client VPN potrebbe essere in grado di connettersi solo tramite IKEv2, mentre un'altra app potrebbe connettersi solo tramite OpenVPN. E un software client, sebbene supporti un determinato tipo di tunnel, potrebbe non supportare il tipo di autenticazione scelto.
È evidente che la pianificazione del tipo di tunnel e del tipo di autenticazione è di fondamentale importanza quando sono presenti diversi client VPN che si connettono da sistemi operativi diversi. Quando si sceglie il tipo di tunnel in combinazione con l'autenticazione del certificato di Azure, prendere in considerazione i criteri seguenti. Altri tipi di autenticazione prevedono considerazioni diverse.
Windows:
- I computer Windows che si connettono tramite il client VPN nativo già installato nel sistema operativo fanno un primo tentativo con IKEv2 e, se la connessione ha esito negativo, eseguono il fallback a SSTP (se sono selezionati sia IKEv2 che SSTP dall'elenco a discesa del tipo di tunnel).
- Se si seleziona il tipo di tunnel OpenVPN, è possibile connettersi usando un client OpenVPN o il client VPN di Azure.
- Il client VPN di Azure può supportare impostazioni di configurazione facoltative, ad esempio route personalizzate e tunneling forzato.
macOS e iOS:
- il client VPN nativo per iOS e macOS può usare solo il tipo di tunnel IKEv2 per connettersi ad Azure.
- Il client VPN di Azure non è attualmente supportato per l'autenticazione del certificato, anche se si seleziona il tipo di tunnel OpenVPN.
- Se si vuole usare il tipo di tunnel OpenVPN con autenticazione del certificato, è possibile usare un client OpenVPN.
- Per macOS, è possibile usare il client VPN di Azure con il tipo di tunnel OpenVPN e l'autenticazione di Microsoft Entra ID (non l'autenticazione del certificato).
Linux:
- Il client VPN di Azure per Linux supporta il tipo di tunnel OpenVPN.
- Il client strongSwan in Android e Linux può usare solo il tipo di tunnel IKEv2 per connettersi.
Tipo di tunneling e autenticazione
Per Tipo di tunnel selezionare il tipo di tunnel che si vuole usare. Per questo esercizio, selezionare nell'elenco a discesa IKEv2 e OpenVPN(SSL).
In Tipo di autenticazione selezionare i tipi di autenticazione che si vuole usare. Per questo esercizio, nell'elenco a discesa selezionare Certificato di Azure. Se si è interessati ad altri tipi di autenticazione, vedere gli articoli relativi a Microsoft Entra ID e RADIUS.
Indirizzo IP aggiuntivo
Se si dispone di un gateway in modalità attiva che usa uno SKU della zona di disponibilità (SKU AZ), è necessario un terzo indirizzo IP pubblico. Se questa impostazione non si applica al gateway, non è necessario aggiungere un indirizzo IP aggiuntivo.
Caricare le informazioni sulla chiave pubblica del certificato radice
In questa sezione si caricheranno i dati del certificato radice pubblico in Azure. Al termine del caricamento dei dati del certificato pubblico, Azure li può usare per autenticare i client che hanno installato un certificato client generato dal certificato radice attendibile.
Assicurarsi di aver esportato il certificato radice come file X.509 con codifica Base 64 (.CER) nei passaggi precedenti. È necessario esportare il certificato in questo formato per poterlo aprire con un editor di testo. Non è necessario esportare la chiave privata.
Aprire il certificato con un editor di testo, ad esempio il Blocco note. Quando si copiano i dati del certificato, assicurarsi di copiare il testo come una riga continua:
Passare alla pagina Di configurazione da punto a sito del gateway> di rete virtuale nella sezione Certificato radice. Questa sezione è visibile solo se è stato selezionato Certificato di Azure come tipo di autenticazione.
Nella sezione Certificato radice è possibile aggiungere fino a 20 certificati radice trusted.
- Incollare i dati del certificato nel campo Dati del certificato pubblico.
- Assegnare un Nome al certificato.
Per questo esercizio non sono necessarie route aggiuntive. Per altre informazioni sulla funzionalità di routing personalizzato, vedere Annunciare route personalizzate.
Selezionare Salva nella parte superiore della pagina per salvare tutte le impostazioni di configurazione.
Generare file di configurazione del profilo client VPN
Tutte le impostazioni di configurazione necessarie per i client VPN sono contenute in un file ZIP di configurazione del profilo client VPN. I file di configurazione del profilo client VPN sono specifici della configurazione del gateway VPN da punto a sito per la rete virtuale. Se vengono apportate modifiche alla configurazione VPN da punto a sito dopo la generazione dei file, ad esempio modifiche al tipo di autenticazione o al tipo di protocollo VPN, è necessario generare nuovi file di configurazione del profilo client VPN e applicare la nuova configurazione a tutti i client VPN da connettere. Per altre informazioni sulle connessioni da punto a sito, vedere Informazioni sulla VPN da punto a sito.
È possibile generare i file di configurazione del profilo client usando PowerShell oppure il portale di Azure. Negli esempi seguenti verranno illustrati entrambi i metodi. Entrambi i metodi restituiscono lo stesso file con estensione zip.
Azure portal
Nel portale di Azure passare al gateway di rete virtuale per la rete virtuale a cui si desidera connettersi.
Nella pagina del gateway di rete virtuale selezionare Configurazione da punto a sito per aprire la pagina corrispondente.
Nella parte superiore della pagina Configurazione da punto a sito selezionare Scarica client VPN. Questa opzione non scarica il software client VPN, ma genera il pacchetto di configurazione usato per configurare i client VPN. La generazione del pacchetto di configurazione client richiede qualche minuto. In questo periodo di tempo, potrebbero non essere visualizzate indicazioni finché il pacchetto non è stato generato.
Dopo aver generato il pacchetto di configurazione, il browser indica che è disponibile un file ZIP di configurazione client. Ha lo stesso nome del gateway.
Decomprimere il file per visualizzare le cartelle. Alcuni o tutti questi file verranno usati per configurare il client VPN. I file generati corrispondono alle impostazioni del tipo di autenticazione e tunnel configurate nel server di connessione da punto a sito.
PowerShell
Quando si generano i file di configurazione del client VPN, il valore di '-AuthenticationMethod' è 'EapTls'. Generare i file di configurazione del client VPN con il comando seguente:
$profile=New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls"
$profile.VPNProfileSASUrl
Copiare l'URL nel browser per scaricare il file ZIP.
Configurare i client VPN e connettersi ad Azure
Per la procedura per configurare i client VPN e connettersi ad Azure, vedere gli articoli seguenti:
Autenticazione | Tipo di tunnel | Sistema operativo client | Client VPN |
---|---|---|---|
Certificate | |||
IKEv2, SSTP | Finestre | Client VPN nativo | |
IKEv2 | macOS | Client VPN nativo | |
IKEv2 | Linux | strongSwan | |
OpenVPN | Finestre | Client VPN di Azure Client OpenVPN versione 2.x Client OpenVPN versione 3.x |
|
OpenVPN | macOS | Client OpenVPN | |
OpenVPN | iOS | Client OpenVPN | |
OpenVPN | Linux | Client VPN di Azure Client OpenVPN |
|
Microsoft Entra ID | |||
OpenVPN | Finestre | Client VPN di Azure | |
OpenVPN | macOS | Client VPN di Azure | |
OpenVPN | Linux | Client VPN di Azure |
Verificare la connessione
Queste istruzioni si applicano ai client Windows.
Per verificare che la connessione VPN è attiva, aprire un prompt dei comandi con privilegi elevati ed eseguire ipconfig/all.
Visualizzare i risultati. Si noti che l'indirizzo IP ricevuto è uno degli indirizzi compresi nel pool di indirizzi del client VPN da punto a sito specificato al momento della configurazione. I risultati sono simili a questo esempio:
PPP adapter VNet1: Connection-specific DNS Suffix .: Description.....................: VNet1 Physical Address................: DHCP Enabled....................: No Autoconfiguration Enabled.......: Yes IPv4 Address....................: 172.16.201.3(Preferred) Subnet Mask.....................: 255.255.255.255 Default Gateway.................: NetBIOS over Tcpip..............: Enabled
Connettersi a una macchina virtuale
Queste istruzioni si applicano ai client Windows.
È possibile connettersi a una macchina virtuale distribuita nella rete virtuale creando una connessione Desktop remoto alla macchina virtuale. Il modo migliore per verificare inizialmente che è possibile connettersi alla VM consiste nel connettersi usando il rispettivo indirizzo IP privato, invece del nome del computer. Ciò consente di verificare se è possibile connettersi, non se la risoluzione dei nomi è configurata correttamente.
Individuare l'indirizzo IP privato. È possibile trovare l'indirizzo IP privato di una macchina virtuale esaminando le proprietà per la macchina virtuale nel portale di Azure oppure usando PowerShell.
Portale di Azure: individuare la macchina virtuale nel portale di Azure. Visualizzare le proprietà per la VM. Viene elencato l'indirizzo IP.
PowerShell: usare l'esempio per visualizzare un elenco di macchine virtuali e di indirizzi IP privati dai gruppi di risorse. Non è necessario modificare questo esempio prima di usarlo.
$VMs = Get-AzVM $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null foreach ($Nic in $Nics) { $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod Write-Output "$($VM.Name): $Prv,$Alloc" }
Verificare di essere connessi alla rete virtuale.
Aprire Connessione Desktop remoto digitando RDP o Connessione Desktop remoto nella casella di ricerca sulla barra delle applicazioni. Selezionare quindi Connessione Desktop remoto. È anche possibile aprire Connessione Desktop remoto usando il comando
mstsc
in PowerShell.In Connessione Desktop remoto immettere l'indirizzo IP privato della macchina virtuale. Selezionare Mostra opzioni per modificare altre impostazioni e quindi connettersi.
Se dovessero verificarsi problemi di connessione a una macchina virtuale con la connessione VPN, controllare quanto segue:
- Verificare che la connessione VPN sia attiva.
- Verificare che venga effettuata la connessione all'indirizzo IP privato per la macchina virtuale.
- Se è possibile connettersi alla macchina virtuale usando l'indirizzo IP privato, ma non il nome computer, verificare di avere configurato correttamente il DNS. Per altre informazioni sul funzionamento della risoluzione dei nomi per le macchine virtuali, vedere Risoluzione dei nomi per le macchine virtuali.
Per altre informazioni sulle connessioni RDP, vedere Risolvere i problemi delle connessioni Desktop remoto a una macchina virtuale.
Verificare che il pacchetto di configurazione del client VPN sia stato generato dopo che sono stati specificati gli indirizzi IP del server DNS per la rete virtuale. Se gli indirizzi IP del server DNS sono stati aggiornati, generare e installare un nuovo pacchetto di configurazione del client VPN.
Usare 'ipconfig' per controllare l'indirizzo IPv4 assegnato alla scheda Ethernet nel computer da cui viene effettuata la connessione. Se l'indirizzo IP è compreso nell'intervallo di indirizzi della rete virtuale a cui ci si sta connettendo o nell'intervallo di indirizzi del pool di indirizzi del client VPN, si verifica la cosiddetta sovrapposizione dello spazio indirizzi. Con questo tipo di sovrapposizione, il traffico di rete non raggiunge Azure e rimane nella rete locale.
Aggiungere o rimuovere certificati radice attendibili
È possibile aggiungere e rimuovere certificati radice attendibili da Azure. Quando si rimuove un certificato radice, i client con un certificato generato da tale radice non potranno eseguire l'autenticazione e quindi non potranno connettersi. Per consentire ai client di eseguire l'autenticazione e connettersi, è necessario installare un nuovo certificato client generato da un certificato radice considerato attendibile (caricato) in Azure.
In Azure è possibile aggiungere fino a 20 file CER di certificato radice trusted. Per istruzioni, vedere la sezione Caricare un certificato radice trusted.
Per rimuovere un certificato radice trusted:
- Passare alla pagina Configurazione da punto a sito per il gateway di rete virtuale.
- Nella sezione Certificato radice della pagina individuare il certificato che si vuole rimuovere.
- Selezionare i puntini di sospensione accanto al certificato e quindi selezionare Rimuovi.
Revocare un certificato client
È possibile revocare i certificati client. L'elenco di revoche di certificati consente di negare in modo selettivo la connettività da punto a sito in base a singoli certificati client. Questa operazione è diversa rispetto alla rimozione di un certificato radice attendibile. Se si rimuove un file con estensione cer del certificato radice attendibile da Azure, viene revocato l'accesso per tutti i certificati client generati o firmati dal certificato radice revocato. La revoca di un certificato client, anziché del certificato radice, consente di continuare a usare gli altri certificati generati dal certificato radice per l'autenticazione.
La regola generale è quella di usare il certificato radice per gestire l'accesso a livello di team o organizzazione, usando i certificati client revocati per il controllo di accesso con granularità fine su singoli utenti.
È possibile revocare un certificato client aggiungendo l'identificazione personale all'elenco di revoche di certificati.
- Ottenere l'identificazione personale del certificato client. Per altre informazioni, vedere Procedura: recuperare l'identificazione personale di un certificato.
- Copiare le informazioni in un editor di testo e rimuovere tutti gli spazi in modo da ottenere una stringa continua.
- Passare al gateway di rete virtuale nella pagina Configurazione da punto a sito che è stata usata anche per caricare un certificato radice attendibile.
- Nella sezione Certificati revocati immettere un nome descrittivo per il certificato (non deve corrispondere necessariamente alle credenziali del certificato).
- Copiare e incollare la stringa di identificazione personale nel campo Identificazione personale.
- L'identificazione personale viene convalidata e aggiunta automaticamente all'elenco di revoche. Verrà visualizzato un messaggio che segnala che è in corso l'aggiornamento dell'elenco.
- Dopo aver completato l'aggiornamento, il certificato non può più essere usato per la connessione. Ai client che provano a connettersi con questo certificato verrà visualizzato un messaggio che informa che il certificato non è più valido.
Domande frequenti sulla connettività da punto a sito
Per le domande frequenti, vedere Domande frequenti.
Passaggi successivi
Dopo aver completato la connessione, è possibile aggiungere macchine virtuali alle reti virtuali. Per altre informazioni, vedere Macchine virtuali. Per altre informazioni sulla rete e sulle macchine virtuali, vedere Panoramica di rete delle macchine virtuali Linux e Azure.
Per informazioni sulla risoluzione dei problemi della connessione da punto a sito, vedere Risoluzione dei problemi di connessione da punto a sito di Azure.