Domande frequenti sul gateway VPN

Connessione a reti virtuali

È possibile connettere reti virtuali in diverse aree di Azure?

Sì. Non esiste alcun vincolo di area. Una rete virtuale può connettersi a un'altra rete virtuale nella stessa area o in un'area diversa di Azure.

È possibile connettere reti virtuali in diverse sottoscrizioni?

Sì.

È possibile specificare server DNS privati nella rete virtuale durante la configurazione di un gateway VPN?

Se è stato specificato un server DNS o un server quando è stata creata la rete virtuale, Gateway VPN userà i server DNS specificati. Se si specifica un server DNS, verificare che il server DNS possa risolvere i nomi di dominio necessari per Azure.

È possibile connettersi a più siti da una singola rete virtuale?

È possibile connettersi a più siti tramite Windows PowerShell e le API REST di Azure. Vedere la sezione delle domande frequenti relative alla connettività multisito e tra reti virtuali .

Sono previsti costi aggiuntivi per la configurazione di un gateway VPN come attivo/attivo?

No.

Quali sono le opzioni di connessione cross-premise?

Sono supportate le connessioni gateway di rete virtuale cross-premise seguenti:

  • Da sito a sito: Connessione VPN tramite IPsec (IKE v1 e IKE v2). Per questo tipo di connessione è necessario un dispositivo VPN o RRAS. Per altre informazioni, vedere Da sito a sito.
  • Da punto a sito: Connessione VPN tramite SSTP (Secure Socket Tunneling Protocol) o IKE v2. Questa connessione non richiede un dispositivo VPN. Per altre informazioni, vedere Da punto a sito.
  • Da rete virtuale a rete virtuale: Questo tipo di connessione corrisponde a una configurazione da sito a sito. La connessione tra reti virtuali è una connessione VPN tramite IPsec (IKE v1 e IKE v2). Non richiede un dispositivo VPN. Per altre informazioni, vedere Da rete virtuale a rete virtuale.
  • Multisito: Si tratta di una variante di una configurazione da sito a sito che consente di connettere più siti locali a una rete virtuale. Per altre informazioni, vedere Multisito.
  • ExpressRoute: ExpressRoute è una connessione privata ad Azure dalla rete WAN, non una connessione VPN tramite Internet pubblico. Per altre informazioni, vedere la Panoramica tecnica relativa a ExpressRoute e le Domande frequenti su ExpressRoute.

Per altre informazioni sulle connessioni Gateway VPN, vedere Informazioni sui Gateway VPN.

Qual è la differenza tra una connessione da sito a sito e da punto a sito?

Le configurazioni da sito a sito (tunnel VPN IPsec/IKE) si trovano tra la posizione locale e Azure. È quindi possibile connettersi da qualsiasi computer disponibile in locale a qualsiasi macchina virtuale o istanza del ruolo nella rete virtuale, in base alla configurazione scelta per il routing e le autorizzazioni. È un'ottima opzione per una connessione cross-premise sempre disponibile ed è ideale per le configurazioni ibride. Questo tipo di connessione si basa su un dispositivo VPN IPSec (dispositivo hardware o software) che è necessario distribuire in corrispondenza del perimetro della rete. Per creare questo tipo di connessione, è necessario disporre di un indirizzo IPv4 esterno.

Le configurazioni da punto a sito (VPN tramite SSTP) consentono di connettersi da un singolo computer da qualsiasi posizione a qualsiasi posizione nella rete virtuale. Questo tipo di connessione usa il client VPN incorporato di Windows. La configurazione da punto a sito prevede l'installazione di un certificato e di un pacchetto di configurazione client VPN che contiene le impostazioni che consentono al computer di connettersi a qualsiasi macchina virtuale o istanza del ruolo all'interno della rete virtuale. Si tratta di un'ottima opzione quando si desidera connettersi a una rete virtuale ma non ci si trova nella sede locale. È anche una buona opzione quando non si ha accesso all'hardware VPN o a un indirizzo IPv4 esterno, entrambi necessari per una connessione da sito a sito.

È possibile configurare la rete virtuale per l'uso simultaneo da sito a sito e da punto a sito, purché si crei la connessione da sito a sito usando un tipo VPN basato su route per il gateway. I tipi di VPN basati su route sono detti gateway dinamici nel modello di distribuzione classica.

Privacy

Il servizio VPN archivia o elabora i dati dei clienti?

No.

Gateway di rete virtuale

Un gateway VPN corrisponde a un gateway di rete virtuale?

Un gateway VPN è un tipo di gateway di rete virtuale, che invia traffico crittografato tra la rete virtuale e la posizione locale tramite una connessione pubblica. È possibile usare il gateway VPN anche per inviare il traffico tra reti virtuali. Quando si crea un gateway VPN, si usa il valore 'Vpn' per -GatewayType. Per altre informazioni, Informazioni sulle impostazioni del gateway VPN.

Cos'è un gateway basato su criteri (con routing statico)?

I gateway basati su criteri implementano VPN basate su criteri. Le VPN basate su criteri crittografano e reindirizzano i pacchetti tramite tunnel IPsec basati su combinazioni di prefissi di indirizzo tra la rete locale e la rete virtuale di Azure. I criteri (o selettore di traffico) vengono in genere definiti come un elenco di accesso nella configurazione VPN.

Cos'è un gateway basato su route (con routing dinamico)?

I gateway basati su route implementano VPN basate su route. Le VPN basate su route usano "route" nella tabella di inoltro IP o di routing per reindirizzare i pacchetti nelle interfacce tunnel corrispondenti. Le interfacce tunnel consentono quindi di crittografare o decrittografare i pacchetti all'interno e all'esterno dei tunnel. I criteri o i selettori di traffico per le VPN basate su route sono configurati come any-to-any (o caratteri jolly).

È possibile specificare selettori di traffico basati su criteri?

Sì, i selettori di traffico possono essere definiti tramite l'attributo trafficSelectorPolicies su una connessione tramite il comando New-AzIpsecTrafficSelectorPolicy di PowerShell. Per rendere effettivo il selettore di traffico specificato, assicurarsi che l'opzione Usa selettori di traffico basati su criteri sia abilitata.

I selettori di traffico configurati personalizzati verranno proposti solo quando un gateway VPN di Azure avvia la connessione. Un gateway VPN accetterà tutti i selettori di traffico proposti da un gateway remoto (dispositivo VPN locale). Questo comportamento è coerente tra tutte le modalità di connessione (Default, InitiatorOnly e ResponderOnly).

È possibile aggiornare il gateway VPN basato su criteri in base alla route?

No. Non è possibile modificare un tipo di gateway da basato su criteri a basato su route o da basato su route a basato su criteri. Per modificare un tipo di gateway, il gateway deve essere eliminato e ricreato. Questo processo richiede circa 60 minuti. Quando si crea il nuovo gateway, non è possibile conservare l'indirizzo IP del gateway originale.

  1. Eliminare tutte le connessioni associate al gateway.

  2. Eliminare il gateway usando uno degli articoli seguenti:

  3. Creare un nuovo gateway usando il tipo di gateway desiderato e quindi completare la configurazione VPN. Per la procedura, vedere l'esercitazione da sito a sito.

Il valore 'GatewaySubnet' è necessario?

Sì. La subnet del gateway contiene gli indirizzi IP usati dai servizi del gateway di rete virtuale. È necessario creare una subnet del gateway per la rete virtuale per configurare un gateway di rete virtuale. Per poter funzionare correttamente, tutte le subnet del gateway devono essere denominate 'GatewaySubnet'. Non assegnare un nome diverso alla subnet del gateway. Non distribuire VM o altri elementi alla subnet del gateway.

Quando si crea la subnet del gateway, si specifica il numero di indirizzi IP inclusi nella subnet. Gli indirizzi IP inclusi nella subnet del gateway sono allocati al servizio del gateway. Alcune configurazioni necessitano dell'allocazione di più indirizzi IP ai servizi del gateway rispetto ad altre. È consigliabile assicurarsi che la subnet del gateway contenga una quantità di indirizzi IP sufficiente per supportare la crescita futura e per possibili nuove configurazioni aggiuntive per la connessione. Anche se è possibile creare una subnet del gateway con dimensioni pari a /29, è consigliabile crearne una con dimensioni pari a /27 o superiori, ad esempio /27, /26, /25 e così via. Esaminare i requisiti per la configurazione da creare e verificare che la subnet del gateway disponibile rispetti tali requisiti.

È possibile distribuire macchine virtuali o istanze del ruolo alla subnet del gateway?

No.

È possibile ottenere l'indirizzo IP del gateway VPN prima di crearlo?

I gateway con ridondanza della zona e di zona (SKU del gateway con AZ nel nome) si basano entrambi su una risorsa IP pubblica di Azure CON SKU Standard . Le risorse IP pubbliche dello SKU Standard di Azure devono usare un metodo di allocazione statico. Di conseguenza, si avrà l'indirizzo IP pubblico per il gateway VPN non appena si crea la risorsa IP pubblica SKU Standard che si intende usare per tale gateway.

Per i gateway non con ridondanza della zona e non di zona (SKU del gateway che non hanno az nel nome), non è possibile ottenere l'indirizzo IP del gateway VPN prima della creazione. L'indirizzo IP cambia solo se si elimina e si ricrea il gateway VPN.

È possibile richiedere un indirizzo IP pubblico statico per il gateway VPN?

I gateway con ridondanza della zona e di zona (SKU del gateway con AZ nel nome) si basano entrambi su una risorsa IP pubblica di Azure CON SKU Standard . Le risorse IP pubbliche dello SKU Standard di Azure devono usare un metodo di allocazione statico.

Per i gateway non con ridondanza della zona e non di zona (SKU del gateway che non dispongono di AZ nel nome), è supportata solo l'assegnazione di indirizzi IP dinamici. Tuttavia, ciò non significa che l'indirizzo IP cambia dopo che è stato assegnato al gateway VPN. L'unica volta che l'indirizzo IP del gateway VPN cambia è quando il gateway viene eliminato e quindi ricreato. L'indirizzo IP pubblico del gateway VPN non cambia quando si ridimensiona, si reimposta o si completano altre operazioni di manutenzione e aggiornamenti interni del gateway VPN.

Come si ottiene l'autenticazione del tunnel VPN?

Il tunnel VPN di Azure usa chiavi precondivise (PSK) per l'autenticazione. È possibile generare una chiave precondivisa (PSK) quando si crea il tunnel VPN. È possibile modificare la chiave PSK generata automaticamente in modo personalizzato con il cmdlet Imposta chiave precondivisa di PowerShell o l'API REST.

È possibile usare l'API di impostazione della chiave precondivisa per configurare la VPN gateway con routing statico basata su criteri?

Sì, è possibile usare l'API di impostazione della chiave precondivisa e il cmdlet di PowerShell per configurare sia le VPN basate su criteri con routing statico sia le VPN basate su route con routing dinamico di Azure.

È possibile usare altre opzioni di autenticazione?

È possibile usare chiavi precondivise (PSK) per l'autenticazione.

In che modo è possibile specificare il traffico che può passare attraverso il gateway VPN?

Modello di distribuzione di Gestione risorse

  • PowerShell: usare "AddressPrefix" per specificare il traffico per il gateway di rete locale.
  • portale di Azure: passare al gateway > di rete locale Spazio indirizzi di configurazione>.

Modello di distribuzione classica

  • portale di Azure: passare alla rete > virtuale classica Connessioni VPN Connessioni VPN Da >> sito a sito Nome > sito locale Spazio indirizzi client del sito > locale.

È possibile usare NAT-T nelle connessioni VPN?

Sì, l'attraversamento NAT (NAT-T) è supportato. Azure Gateway VPN NON eseguirà alcuna funzionalità simile a NAT nei pacchetti interni da/verso i tunnel IPsec. In questa configurazione verificare che il dispositivo locale avvii il tunnel IPSec.

È possibile configurare il server VPN in Azure e usarlo per connettersi alla rete locale?

Sì, è possibile distribuire i gateway o i server VPN in Azure da Azure Marketplace o tramite la creazione dei propri router VPN. È necessario configurare route definite dall'utente nella rete virtuale per assicurarsi che il traffico venga instradato correttamente tra le reti locali e le subnet della rete virtuale.

Perché determinate porte sono aperte nel gateway di rete virtuale?

Sono necessari per la comunicazione dell'infrastruttura di Azure. Sono protetti (bloccati) dai certificati di Azure. Senza certificati appropriati, le entità esterne, inclusi i clienti di tali gateway, non saranno in grado di causare alcun effetto su tali endpoint.

Un gateway di rete virtuale è fondamentalmente un dispositivo multihomed con una scheda di interfaccia di rete che si collega alla rete privata del cliente e una scheda di interfaccia di rete con connessione alla rete pubblica. Le entità dell'infrastruttura di Azure non possono accedere alle reti private dei clienti per motivi di conformità, quindi devono usare gli endpoint pubblici per la comunicazione dell'infrastruttura. Gli endpoint pubblici vengono analizzati periodicamente dal controllo di sicurezza di Azure.

Altre informazioni sui tipi di gateway, i requisiti e la velocità effettiva

Per altre informazioni, Informazioni sulle impostazioni del gateway VPN.

Connessioni da sito a sito e dispositivi VPN

Quali sono gli aspetti di cui tenere conto nella scelta di un dispositivo VPN?

È stato convalidato un set di dispositivi VPN da sito a sito standard in collaborazione con i fornitori di dispositivi. Per un elenco dei dispositivi VPN sicuramente compatibili, gli esempi o le istruzioni di configurazione corrispondenti e le relative specifiche, vedere l'articolo relativo ai dispositivi VPN. Tutti i dispositivi appartenenti ai gruppi di dispositivi di cui è indicata la compatibilità nota dovrebbero funzionare con Rete virtuale. Per agevolare la configurazione del dispositivo VPN, fare riferimento al collegamento o all'esempio di configurazione del dispositivo corrispondente al gruppo di dispositivi appropriato.

Dove è possibile reperire le impostazioni di configurazione per i dispositivi VPN?

Per scaricare gli script di configurazione del dispositivo VPN:

A seconda del dispositivo VPN usato, potrebbe essere possibile scaricare un apposito script di configurazione. Per altre informazioni, vedere Scaricare gli script di configurazione del dispositivo VPN.

Per altre informazioni sulla configurazione, vedere i collegamenti seguenti:

Come è possibile modificare gli esempi di configurazione del dispositivo VPN?

Per informazioni sulla modifica degli esempi, vedere Modifica degli esempi di configurazione di dispositivo.

Dove è possibile reperire i parametri IPsec e IKE?

Per informazioni sui parametri IPsec/IKE, vedere Parametri.

Perché il tunnel VPN basato su criteri si arresta quando il traffico è inattivo?

Questo comportamento è previsto per gateway VPN basate su criteri (anche note come routing statico). Quando il traffico attraverso il tunnel è inattivo per più di 5 minuti, il tunnel verrà arrestato. Quando il traffico inizierà a scorrere in entrambe le direzioni, il tunnel verrà ripristinato immediatamente.

È possibile usare soluzioni software VPN per connettersi ad Azure?

Sono supportati server RRAS (Routing e Accesso remoto) in Windows Server 2012 per la configurazione da sito a sito per la connettività tra più sedi locali.

Con il gateway dovrebbero funzionare anche altre soluzioni software VPN, purché siano conformi alle implementazioni di IPSec standard del settore. Per istruzioni sulla configurazione e sull'assistenza, contattare il fornitore del software.

È possibile connettersi a un gateway VPN tramite punto a sito quando si trova in un sito con una connessione da sito a sito attiva?

Sì, ma l'indirizzo IP pubblico del client da punto a sito deve essere diverso dall'indirizzo IP pubblico usato dal dispositivo VPN da sito a sito oppure la connessione da punto a sito non funzionerà. Le connessioni da punto a sito con IKEv2 non possono essere avviate dallo stesso indirizzo IP pubblico in cui è configurata una connessione VPN da sito a sito nello stesso gateway VPN di Azure.

Da punto a sito - Autenticazione del certificato

Questa sezione si applica al modello di distribuzione Resource Manager.

Di quanti endpoint client VPN è possibile disporre nella configurazione da punto a sito?

Dipende dallo SKU del gateway. Per altre informazioni sul numero di connessioni supportate, vedere SKU del gateway.

Quali sistemi operativi client è possibile usare con point-to-site?

Sono supportati i sistemi operativi client seguenti:

  • Windows Server 2008 R2 (solo a 64 bit)
  • Windows 8.1 (a 32 e 64 bit)
  • Windows Server 2012 (solo a 64 bit)
  • Windows Server 2012 R2 (solo a 64 bit)
  • Windows Server 2016 (solo a 64 bit)
  • Windows Server 2019 (solo a 64 bit)
  • Windows Server 2022 (solo a 64 bit)
  • Windows 10
  • Windows 11
  • macOS versione 10.11 o successiva
  • Linux (StrongSwan)
  • iOS

È possibile attraversare proxy e firewall con la funzionalità da punto a sito?

Azure supporta tre tipi di opzioni VPN da punto a sito:

  • SSTP (Secure Socket Tunneling Protocol). SSTP è una soluzione proprietaria Microsoft basata su SSL che può penetrare i firewall perché la porta TCP 443 in uscita usata da SSL viene aperta dalla maggior parte dei firewall.

  • OpenVPN. OpenVPN è una soluzione basata su SSL che può penetrare i firewall perché la porta TCP 443 in uscita usata da SSL viene aperta dalla maggior parte dei firewall.

  • VPN IKEv2. La VPN IKEv2 è una soluzione VPN basata su standard che usa porte UDP in uscita 500 e 4500 e protocollo IP no. 50. I firewall non aprono sempre queste porte, quindi è possibile che la VPN IKEv2 non sia in grado di attraversare proxy e firewall.

Se si riavvia un computer client configurato per la funzionalità da punto a sito, la VPN verrà riconnessa automaticamente?

La riconnessione automatica è una funzione del client in uso. Windows supporta la riconnessione automatica configurando la funzionalità client VPN Always On.

Il servizio DDNS è supportato da punto a sito nei client VPN?

DDNS non è attualmente supportato nelle VPN da punto a sito.

È possibile disporre di configurazioni da sito a sito e da punto a sito coesistono per la stessa rete virtuale?

Sì. Per il modello di distribuzione Resource Manager, è necessario un gateway di tipo VPN RouteBased. Per il modello di distribuzione classica è necessario un gateway dinamico. Non è supportato il punto a sito per i gateway VPN statici o i gateway VPN PolicyBased.

È possibile configurare un client da punto a sito per connettersi a più gateway di rete virtuale contemporaneamente?

A seconda del software client VPN usato, è possibile connettersi a più gateway Rete virtuale forniti che le reti virtuali connesse non hanno spazi di indirizzi in conflitto tra loro o la rete da con il client si connette. Anche se il client VPN di Azure supporta molte connessioni VPN, è possibile stabilire una sola connessione alla volta.

È possibile configurare un client da punto a sito per la connessione a più reti virtuali contemporaneamente?

Sì, le connessioni client da punto a sito a un gateway di rete virtuale distribuito in una rete virtuale con peering con altre reti virtuali possono avere accesso ad altre reti virtuali con peering. i client da punto a sito potranno connettersi alle reti virtuali con peering purché le reti virtuali peerate usino le funzionalità UseRemoteGateway/AllowGatewayTransit. Per altre informazioni, vedere Informazioni sul routing da punto a sito.

Quanto velocità effettiva è possibile prevedere tramite connessioni da sito a sito o da punto a sito?

È difficile mantenere esattamente la velocità effettiva tramite i tunnel VPN. IPSec e SSTP sono protocolli VPN con un elevato livello di crittografia. La velocità effettiva è limitata inoltre dalla latenza e dalla larghezza di banda tra le sedi locali e Internet. Per un Gateway VPN con solo connessioni VPN da punto a sito IKEv2, la velocità effettiva totale prevista dipende dallo SKU del gateway. Per altre informazioni sulla velocità effettiva, vedere SKU del gateway.

È possibile usare qualsiasi client VPN software per il punto a sito che supporta SSTP e/o IKEv2?

No. È possibile usare solo il client VPN nativo in Windows per SSTP e il client VPN nativo in Mac per IKEv2. È tuttavia possibile usare il client OpenVPN su tutte le piattaforme per connettersi tramite il protocollo OpenVPN. Fare riferimento all'elenco dei sistemi operativi client supportati.

È possibile modificare il tipo di autenticazione per una connessione da punto a sito?

Sì. Nel portale passare alla pagina di configurazione del gateway VPN -> Da punto a sito . Per Tipo di autenticazione selezionare i tipi di autenticazione da usare. Si noti che dopo aver apportato una modifica a un tipo di autenticazione, i client correnti potrebbero non essere in grado di connettersi fino a quando non è stato generato un nuovo profilo di configurazione client VPN, scaricato e applicato a ogni client VPN.

Azure supporta VPN IKEv2 con Windows?

IKEv2 è supportato in Windows 10 e Server 2016. Tuttavia, per usare IKEv2 in alcune versioni del sistema operativo, è necessario installare gli aggiornamenti e impostare un valore di chiave del Registro di sistema in locale. Le versioni del sistema operativo precedenti alla Windows 10 non sono supportate e possono usare solo SSTP o OpenVPN® Protocol.

Nota

Le build del sistema operativo Windows più recenti di Windows 10 versione 1709 e Windows Server 2016 versione 1607 non richiedono questi passaggi.

Per preparare Windows 10 o Server 2016 per IKEv2:

  1. Installare l'aggiornamento in base alla versione del sistema operativo:

    Versione del sistema operativo Data Numero/collegamento
    Windows Server 2016
    Windows 10 versione 1607
    17 gennaio 2018 KB4057142
    Windows 10 versione 1703 17 gennaio 2018 KB4057144
    Windows 10 versione 1709 22 marzo 2018 KB4089848
  2. Impostare il valore della chiave del Registro di sistema. Creare o impostare su 1 la chiave REG_DWORD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" del Registro di sistema.

Qual è il limite del selettore di traffico IKEv2 per le connessioni da punto a sito?

Windows 10 versione 2004 (rilasciata a settembre 2021) aumenta il limite del selettore di traffico a 255. Le versioni di Windows precedenti a questa hanno un limite di selettore di traffico pari a 25.

Il limite dei selettore di traffico in Windows determina il numero massimo di spazi indirizzi nella rete virtuale e la somma massima delle reti locali, delle connessioni da rete virtuale a rete virtuale e delle reti virtuali con peering connesse al gateway. I client da punto a sito basati su Windows non riusciranno a connettersi tramite IKEv2 se superano questo limite.

Cosa accade quando configurano sia SSTP che IKEv2 per le connessioni VPN P2S?

Quando si configurano sia SSTP che IKEv2 in un ambiente misto (costituito da dispositivi Windows e Mac), il client VPN Windows tenterà sempre prima il tunnel IKEv2, ma verrà restituito a SSTP se la connessione IKEv2 non ha esito positivo. MacOSX si connetterà solo tramite IKEv2.

Oltre a Windows e Mac, quali altre piattaforme supporta Azure per VPN P2S?

Azure supporta Windows, Mac e Linux per vpn P2S.

Si dispone già di un Gateway VPN di Azure distribuito. È possibile attivare RADIUS e/o VPN IKEv2 su di esso?

Sì, se lo SKU del gateway usato supporta RADIUS e/o IKEv2, è possibile abilitare queste funzionalità nei gateway già distribuiti usando PowerShell o il portale di Azure. Lo SKU Basic non supporta RADIUS o IKEv2.

Come si rimuove la configurazione di una connessione da punto a sito?

Per rimuovere una configurazione di una connessione da punto a sito nell'interfaccia della riga di comando di Azure e PowerShell, è possibile usare i comandi seguenti:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Interfaccia della riga di comando di Azure

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Che cosa è necessario fare se si verifica una mancata corrispondenza del certificato quando si effettua la connessione tramite autenticazione del certificato?

Deselezionare "Verifica l'identità del server mediante convalida del certificato" o aggiungere il nome di dominio completo del server insieme al certificato quando si crea un profilo manualmente. Per eseguire questa operazione, è possibile eseguire rasphone da un prompt dei comandi e selezionare il profilo dall'elenco a discesa.

Non è consigliabile ignorare la convalida dell'identità del server, ma con l'autenticazione del certificato di Azure, lo stesso certificato viene usato per la convalida del server nel protocollo di tunneling VPN (IKEv2/SSTP) e il protocollo EAP. Poiché il certificato server e il nome di dominio completo sono già convalidati dal protocollo di tunneling VPN, è ridondante per convalidare nuovamente lo stesso in EAP.

Certificato del server

È possibile usare la CA radice della PKI interna per generare i certificati per la connettività da punto a sito?

Sì. In precedenza, era possibile utilizzare solo certificati radice autofirmati. È ancora possibile caricare 20 certificati radice.

È possibile usare i certificati di Azure Key Vault?

No.

Quali strumenti è possibile usare per creare certificati?

È possibile usare la propria soluzione di infrastruttura a chiave pubblica aziendale (PKI interna), Azure PowerShell, MakeCert e OpenSSL.

Sono disponibili istruzioni per le impostazioni e i parametri dei certificati?

  • Soluzione PKI aziendale/PKI interna: vedere la procedura per generare i certificati.

  • Azure PowerShell: per la procedura, vedere l'articolo relativo ad Azure PowerShell.

  • MakeCert: per la procedura, vedere l'articolo relativo a MakeCert.

  • OpenSSL:

    • Quando si esportano certificati, assicurarsi di convertire il certificato radice in Base64.

    • Per il certificato client:

      • Quando si crea la chiave privata, specificare una lunghezza di 4096.
      • Quando si crea il certificato, per il parametro -extensions specificare usr_cert.

Da punto a sito - Autenticazione RADIUS

Questa sezione si applica al modello di distribuzione Resource Manager.

Di quanti endpoint client VPN è possibile disporre nella configurazione da punto a sito?

Dipende dallo SKU del gateway. Per altre informazioni sul numero di connessioni supportate, vedere SKU del gateway.

Quali sistemi operativi client è possibile usare con point-to-site?

Sono supportati i sistemi operativi client seguenti:

  • Windows Server 2008 R2 (solo a 64 bit)
  • Windows 8.1 (a 32 e 64 bit)
  • Windows Server 2012 (solo a 64 bit)
  • Windows Server 2012 R2 (solo a 64 bit)
  • Windows Server 2016 (solo a 64 bit)
  • Windows Server 2019 (solo a 64 bit)
  • Windows Server 2022 (solo a 64 bit)
  • Windows 10
  • Windows 11
  • macOS versione 10.11 o successiva
  • Linux (StrongSwan)
  • iOS

È possibile attraversare proxy e firewall con la funzionalità da punto a sito?

Azure supporta tre tipi di opzioni VPN da punto a sito:

  • SSTP (Secure Socket Tunneling Protocol). SSTP è una soluzione proprietaria Microsoft basata su SSL che può penetrare i firewall perché la porta TCP 443 in uscita usata da SSL viene aperta dalla maggior parte dei firewall.

  • OpenVPN. OpenVPN è una soluzione basata su SSL che può penetrare i firewall perché la porta TCP 443 in uscita usata da SSL viene aperta dalla maggior parte dei firewall.

  • VPN IKEv2. VPN IKEv2 è una soluzione VPN IPsec basata su standard che usa le porte UDP in uscita 500 e 4500 e il protocollo IP no. 50. I firewall non aprono sempre queste porte, quindi è possibile che la VPN IKEv2 non sia in grado di attraversare proxy e firewall.

Se si riavvia un computer client configurato per la funzionalità da punto a sito, la VPN verrà riconnessa automaticamente?

La riconnessione automatica è una funzione del client in uso. Windows supporta la riconnessione automatica configurando la funzionalità client VPN Always On.

Il servizio DDNS è supportato da punto a sito nei client VPN?

DDNS non è attualmente supportato nelle VPN da punto a sito.

È possibile avere configurazioni da sito a sito e da punto a sito coesistere per la stessa rete virtuale?

Sì. Per il modello di distribuzione Resource Manager, è necessario un gateway di tipo VPN RouteBased. Per il modello di distribuzione classica è necessario un gateway dinamico. Non è supportato il punto a sito per i gateway VPN di routing statico o i gateway VPN basati su criteri.

È possibile configurare un client da punto a sito per connettersi contemporaneamente a più gateway di rete virtuale?

A seconda del software client VPN usato, è possibile connettersi a più gateway Rete virtuale a condizione che le reti virtuali connesse a non abbiano spazi di indirizzi in conflitto tra di essi o la rete da cui il client si connette. Anche se il client VPN di Azure supporta molte connessioni VPN, è possibile stabilire una sola connessione alla volta.

È possibile configurare un client da punto a sito per la connessione a più reti virtuali contemporaneamente?

Sì, le connessioni client da punto a sito a un gateway di rete virtuale distribuito in una rete virtuale con peering con altre reti virtuali possono avere accesso ad altre reti virtuali con peering. I client da punto a sito potranno connettersi alle reti virtuali con peering purché le reti virtuali con peering usino le funzionalità UseRemoteGateway/AllowGatewayTransit. Per altre informazioni, vedere Informazioni sul routing da punto a sito.

Quanto velocità effettiva è possibile prevedere tramite connessioni da sito a sito o da punto a sito?

È difficile mantenere esattamente la velocità effettiva tramite i tunnel VPN. IPSec e SSTP sono protocolli VPN con un elevato livello di crittografia. La velocità effettiva è limitata inoltre dalla latenza e dalla larghezza di banda tra le sedi locali e Internet. Per un Gateway VPN con solo connessioni VPN da punto a sito IKEv2, la velocità effettiva totale prevista dipende dallo SKU del gateway. Per altre informazioni sulla velocità effettiva, vedere SKU del gateway.

È possibile usare qualsiasi client VPN software per da punto a sito che supporta SSTP e/o IKEv2?

No. È possibile usare solo il client VPN nativo in Windows per SSTP e il client VPN nativo in Mac per IKEv2. È tuttavia possibile usare il client OpenVPN su tutte le piattaforme per connettersi tramite il protocollo OpenVPN. Fare riferimento all'elenco dei sistemi operativi client supportati.

È possibile modificare il tipo di autenticazione per una connessione da punto a sito?

Sì. Nel portale passare alla pagina di configurazione da punto a sito del gateway> VPN . Per Tipo di autenticazione selezionare i tipi di autenticazione da usare. Si noti che dopo aver apportato una modifica a un tipo di autenticazione, i client correnti potrebbero non essere in grado di connettersi fino a quando non viene generato, scaricato e applicato un nuovo profilo di configurazione client VPN.

Azure supporta VPN IKEv2 con Windows?

IKEv2 è supportato in Windows 10 e Server 2016. Tuttavia, per usare IKEv2 in determinate versioni del sistema operativo, è necessario installare gli aggiornamenti e impostare un valore di chiave del Registro di sistema in locale. Le versioni del sistema operativo precedenti a Windows 10 non sono supportate e possono usare solo SSTP o OpenVPN® Protocol.

Nota

Le build del sistema operativo Windows più recenti di Windows 10 versione 1709 e Windows Server 2016 versione 1607 non richiedono questi passaggi.

Per preparare Windows 10 o Server 2016 per IKEv2:

  1. Installare l'aggiornamento in base alla versione del sistema operativo:

    Versione del sistema operativo Data Numero/collegamento
    Windows Server 2016
    Windows 10 versione 1607
    17 gennaio 2018 KB4057142
    Windows 10 versione 1703 17 gennaio 2018 KB4057144
    Windows 10 versione 1709 22 marzo 2018 KB4089848
  2. Impostare il valore della chiave del Registro di sistema. Creare o impostare su 1 la chiave REG_DWORD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" del Registro di sistema.

Qual è il limite del selettore di traffico IKEv2 per le connessioni da punto a sito?

Windows 10 versione 2004 (rilasciata a settembre 2021) ha aumentato il limite del selettore di traffico a 255. Le versioni di Windows precedenti a questa hanno un limite di selettore di traffico pari a 25.

Il limite dei selettori di traffico in Windows determina il numero massimo di spazi indirizzi nella rete virtuale e la somma massima delle reti locali, delle connessioni da rete virtuale a rete virtuale e delle reti virtuali con peering connesse al gateway. I client da punto a sito basati su Windows non riusciranno a connettersi tramite IKEv2 se superano questo limite.

Cosa accade quando configurano sia SSTP che IKEv2 per le connessioni VPN P2S?

Quando si configurano sia SSTP che IKEv2 in un ambiente misto (costituito da dispositivi Windows e Mac), il client VPN Windows proverà sempre prima il tunnel IKEv2, ma eseguirà il fallback a SSTP se la connessione IKEv2 non riesce. MacOSX si connetterà solo tramite IKEv2.

Oltre a Windows e Mac, quali altre piattaforme supporta Azure per VPN P2S?

Azure supporta Windows, Mac e Linux per vpn da sito a sito.

Si dispone già di un Gateway VPN di Azure distribuito. È possibile attivare RADIUS e/o VPN IKEv2 su di esso?

Sì, se lo SKU del gateway usato supporta RADIUS e/o IKEv2, è possibile abilitare queste funzionalità nei gateway già distribuiti usando PowerShell o il portale di Azure. Lo SKU Basic non supporta RADIUS o IKEv2.

Come si rimuove la configurazione di una connessione da punto a sito?

Per rimuovere una configurazione di una connessione da punto a sito nell'interfaccia della riga di comando di Azure e PowerShell, è possibile usare i comandi seguenti:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Interfaccia della riga di comando di Azure

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

L'autenticazione RADIUS è supportata in tutti gli SKU del gateway VPN di Azure?

L'autenticazione RADIUS è supportata per tutti gli SKU ad eccezione dello SKU Basic.

Per gli SKU legacy, l'autenticazione RADIUS è supportata in SKU Standard e Ad alte prestazioni. Non è supportato nello SKU del gateway Basic.

L'autenticazione RADIUS è supportata per il modello di distribuzione classica?

No. L'autenticazione RADIUS non è supportata per il modello di distribuzione classica.

Qual è il periodo di timeout per le richieste RADIUS inviate al server RADIUS?

Le richieste RADIUS vengono impostate su timeout dopo 30 secondi. I valori di timeout definiti dall'utente non sono attualmente supportati.

I server RADIUS di terze parti sono supportati?

Sì, i server RADIUS di terze parti sono supportati.

Quali sono i requisiti di connettività per assicurarsi che il gateway di Azure possa raggiungere un server RADIUS locale?

È necessaria una connessione VPN da sito a sito al sito locale, con le route appropriate configurate.

Il traffico a un server RADIUS locale (dal gateway VPN di Azure) può essere instradato tramite una connessione ExpressRoute?

No. Può essere instradato solo tramite una connessione da sito a sito.

Il numero di connessioni SSTP supportate con l'autenticazione RADIUS è stato modificato? Qual il numero massimo di connessioni SSTP e IKEv2 supportate?

Il numero massimo di connessioni SSTP supportate in un gateway con l'autenticazione RADIUS non è stato modificato. Rimane 128 per le connessioni SSTP, ma dipende dallo SKU del gateway per le connessioni IKEv2. Per altre informazioni sul numero di connessioni supportate, vedere SKU del gateway.

Qual è la differenza tra l'autenticazione del certificato usando un server RADIUS e l'uso dell'autenticazione del certificato nativo di Azure (caricando un certificato attendibile in Azure)?

Nell'autenticazione del certificato RADIUS la richiesta di autenticazione viene inoltrata a un server RADIUS che gestisce la convalida effettiva del certificato. Questa opzione è utile per l'integrazione con un'infrastruttura di autenticazione del certificato già disponibile tramite RADIUS.

Quando si usa Azure per l'autenticazione del certificato, il gateway VPN di Azure esegue la convalida del certificato. È necessario caricare la chiave pubblica del certificato nel gateway. È anche possibile specificare l'elenco di certificati revocati a cui non deve essere consentito connettersi.

L'autenticazione RADIUS funziona sia con IKEv2 che con SSTP VPN?

Sì, l'autenticazione RADIUS funziona sia con IKEv2 che con SSTP VPN.

L'autenticazione RADIUS funziona con il client OpenVPN?

L'autenticazione RADIUS è supportata per il protocollo OpenVPN.

Connessioni da rete virtuale a rete virtuale e multisito

Le domande frequenti sulla connessione tra reti virtuali si applicano alle connessioni gateway VPN. Per informazioni sul peering delle reti virtuali, vedere Peering di rete virtuale.

È previsto un addebito per il traffico tra le reti virtuali?

Il traffico da rete virtuale a rete virtuale nella stessa area è gratuito in entrambe le direzioni quando si usa una connessione gateway VPN. Per il traffico in uscita tra reti virtuali in aree diverse vengono applicate le tariffe di trasferimento dati in uscita tra reti virtuali in base alle aree di origine. Per altre informazioni, vedere la pagina Prezzi di Gateway VPN. Se si connettono le reti virtuali tramite peering di reti virtuali e non con il gateway VPN, vedere la pagina Prezzi di Rete virtuale.

Il traffico da rete virtuale a rete virtuale viene trasmesso attraverso Internet?

No. Il traffico da rete virtuale a rete virtuale passa attraverso il backbone di Microsoft Azure, non Internet.

È possibile stabilire una connessione da rete virtuale a rete virtuale tra tenant di Azure Active Directory?

Sì, le connessioni da rete virtuale a rete virtuale che usano i gateway VPN di Azure funzionano nei tenant di Azure AD.

Il traffico tra reti virtuali è sicuro?

Sì, è protetto con la crittografia IPsec/IKE.

È necessario un dispositivo VPN per connettere le reti virtuali?

No. Per il collegamento di più reti virtuali di Azure non è necessario un dispositivo VPN, a meno che non sia necessaria la connettività cross-premise.

Le reti virtuali devono trovarsi nella stessa area?

No. Le reti virtuali possono essere nelle sottoscrizioni uguale o diverse.

Se le reti virtuali non sono nella stessa sottoscrizione, è necessario che le sottoscrizioni siano associate allo stesso tenant di Active Directory?

No.

È possibile usare la connettività da rete virtuale a rete virtuale per connettere reti virtuali in istanze separate di Azure?

No. La connettività da rete virtuale a rete virtuale supporta la connessione di reti virtuali nella stessa istanza di Azure. Ad esempio, non è possibile creare una connessione tra istanze globali di Azure e cinese/tedesco/statunitense di Azure. Per questi scenari, considerare la possibilità di usare una connessione VPN da sito a sito.

È possibile usare la connessione da rete virtuale a rete virtuale insieme alle connessioni multisito?

Sì. La connettività di rete virtuale può essere usata contemporaneamente con VPN multisito,

A quanti siti locali e reti virtuali può connettersi una rete virtuale?

Vedere la tabella Requisiti del gateway.

È possibile usare la connessione da rete virtuale a rete virtuale per connettere macchine virtuali o servizi cloud esterni a una rete virtuale?

No. La connettività da VNet a VNet supporta la connessione di reti virtuali. Non supporta la connessione di macchine virtuali o servizi cloud non inclusi in una rete virtuale.

È possibile estendere un servizio cloud o un endpoint del servizio di bilanciamento del carico tra più reti virtuali?

No. Un servizio cloud o un endpoint del servizio di bilanciamento del carico non può essere esteso tra reti virtuali, anche se sono connesse tra loro.

È possibile usare una VPN di tipo PolicyBased per le connessioni da rete virtuale a rete virtuale o multisito?

No. La connettività tra reti virtuali e multisito richiede la presenza di gateway VPN di Azure con VPN di tipo RouteBased, denominato in precedenza routing dinamico.

È possibile connettere una rete virtuale con un tipo di VPN RouteBased a un'altra rete virtuale con un tipo di VPN PolicyBased?

No, entrambe le reti virtuali DEVONO usare VPN di tipo RouteBased, denominato in precedenza routing dinamico.

I tunnel VPN condividono la larghezza di banda?

Sì. Tutti i tunnel VPN della rete virtuale condividono la larghezza di banda disponibile sul gateway VPN di Azure e i tempi di servizio del gateway VPN dello stesso contratto di servizio in Azure.

Sono supportati i tunnel ridondanti?

I tunnel ridondanti tra una coppia di reti virtuali sono supportati quando un gateway di rete virtuale è configurato come attivo/attivo.

È consentita la sovrapposizione di spazi di indirizzi per configurazioni da rete virtuale a rete virtuale?

No. Gli intervalli di indirizzi IP non possono sovrapporsi.

Possono esistere spazi di indirizzi sovrapposti tra le reti virtuali connesse e i siti locali?

No. Gli intervalli di indirizzi IP non possono sovrapporsi.

Ricerca per categorie abilitare il routing tra la connessione VPN da sito a sito e ExpressRoute?

Se si vuole abilitare il routing tra il ramo connesso a ExpressRoute e il ramo connesso a una connessione VPN da sito a sito, è necessario configurare Il server di route di Azure.

È possibile usare un gateway VPN di Azure per il transito del traffico tra i siti locali o verso un'altra rete virtuale?

Modello di distribuzione di Gestione risorse
Sì. Per altre informazioni, vedere la sezione BGP.

Modello di distribuzione classica
Con il modello di distribuzione classica il transito del traffico attraverso il gateway VPN di Azure è possibile, ma si basa su spazi di indirizzi definiti in modo statico nel file di configurazione di rete. BGP non è ancora supportato con reti virtuali di Azure e gateway VPN usando il modello di distribuzione classica. Senza BGP la definizione manuale degli spazi di indirizzi in transito è soggetta a errori e non è consigliata.

Azure genera la stessa chiave precondivisa IPsec/IKE per tutte le connessioni VPN per una stessa rete virtuale?

No, per impostazione predefinita vengono generate chiavi precondivise diverse per connessioni VPN diverse. È tuttavia possibile usare l'API REST o il Set VPN Gateway Key cmdlet di PowerShell per impostare il valore della chiave preferito. La chiave DEVE contenere solo caratteri ASCII stampabili tranne spazio, trattino (-) o tilde (~).

Si ottiene una larghezza di banda maggiore con più VPN da sito a sito rispetto a una singola rete virtuale?

No, tutti i tunnel VPN, incluse le VPN da punto a sito, condividono lo stesso gateway VPN di Azure e la larghezza di banda disponibile.

È possibile configurare più tunnel tra una rete virtuale e un sito locale usando una VPN multisito?

Sì, ma è necessario configurare BGP in entrambi i tunnel per la stessa località.

Azure Gateway VPN rispetta il percorso AS in sospeso per influenzare le decisioni di routing tra più connessioni ai siti locali?

Sì, il gateway VPN di Azure rispetta il percorso AS in sospeso per prendere decisioni di routing quando BGP è abilitato. Un percorso AS più breve sarà preferito nella selezione del percorso BGP.

È possibile usare la proprietà RoutingWeight durante la creazione di una nuova connessione VPN VirtualNetworkGateway?

No, questa impostazione è riservata per le connessioni gateway ExpressRoute. Se si desidera influenzare le decisioni di routing tra più connessioni, è necessario usare il percorso AS in sospeso.

È possibile usare VPN da punto a sito con la rete virtuale con più tunnel VPN?

Sì, le VPN da punto a sito (P2S) possono essere usate con i gateway VPN che si connettono a più siti locali e ad altre reti virtuali.

È possibile connettere una rete virtuale con VPN IPsec a un circuito ExpressRoute?

Sì, è possibile. Per altre informazioni, vedere Configurare connessioni VPN da sito a sito e ExpressRoute che coesistono.

Criteri IPsec/IKE

I criteri IPsec/IKE personalizzati sono supportati in tutti gli SKU del gateway VPN di Azure?

I criteri IPsec/IKE personalizzati sono supportati in tutti gli SKU di Azure ad eccezione dello SKU Basic.

Quanti criteri è possibile specificare per una connessione?

È possibile specificare solo una combinazione di criteri per una determinata connessione.

Per una connessione è possibile specificare criteri parziali, ad esempio solo algoritmi IKE, ma non IPsec?

No. È necessario specificare tutti gli algoritmi e i parametri sia per IKE (modalità principale) che per IPsec (modalità rapida). Le specifiche dei criteri parziali non sono consentite.

Quali algoritmi e tipi di attendibilità della chiave sono supportati nei criteri personalizzati?

La tabella seguente riporta l'elenco degli algoritmi di crittografia e dei tipi di attendibilità della chiave supportati e configurabili dai clienti. È necessario selezionare un'opzione per ogni campo.

IPsec/IKEv2 Opzioni
Crittografia IKEv2 GCMAES256, GCMAES128, AES256, AES192, AES128, DES3, DES
Integrità IKEv2 GCMAES256, GCMAES128, SHA384, SHA256, SHA1, MD5
Gruppo DH DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, None
Crittografia IPsec GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
Integrità IPsec GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Gruppo PFS PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
Durata associazione di sicurezza in modalità rapida Secondi (intero; min. 300/valore predefinito di 27000 secondi)
Kilobyte (intero; min 1024/valore predefinito di 102400000 KB)
Selettore di traffico UsePolicyBasedTrafficSelectors ($True/$False; valore predefinito: $False)

Importante

  • DHGroup2048 PFS2048 & è uguale a Diffie-Hellman Group 14 in IKE e IPsec PFS. Per i mapping completi, vedere Gruppi Diffie-Hellman.
  • Per gli algoritmi GCMAES, è necessario specificare lo stesso algoritmo e la stessa lunghezza della chiave GCMAES sia per la crittografia che per l'integrità IPsec.
  • Nei gateway VPN di Azure la durata dell'associazione di sicurezza IKEv2 (modalità principale) è fissata a 28.800 secondi.
  • Le durate dell'associazione di sicurezza QM sono parametri facoltativi. Se non ne è stato specificato nessuno, vengono usati i valori predefiniti pari a 27.000 secondi (7,5 ore) e 102400000 KB (102 GB).
  • UsePolicyBasedTrafficSelector è un parametro facoltativo per la connessione. Vedere l'articolo delle domande frequenti successivo per "UsePolicyBasedTrafficSelectors".

È necessaria la corrispondenza di tutti gli elementi tra i criteri del gateway VPN di Azure e le configurazioni dei dispositivi VPN locali?

La configurazione del dispositivo VPN locale deve contenere o corrispondere agli algoritmi e ai parametri seguenti specificati nei criteri IPsec/IKE di Azure:

  • Algoritmo di crittografia IKE
  • Algoritmo di integrità IKE
  • Gruppo DH
  • Algoritmo di crittografia IPsec
  • Algoritmo di integrità IPsec
  • Gruppo PFS
  • Selettore di traffico (*)

Le durata sa sono solo specifiche locali, non devono corrispondere.

Se si abilita UsePolicyBasedTrafficSelectors, è necessario verificare che i selettori di traffico corrispondenti siano definiti nel dispositivo VPN con tutte le combinazioni dei prefissi della rete locale (gateway di rete locale) da/verso i prefissi della rete virtuale di Azure, anziché any-to-any. Se i prefissi della rete locale sono 10.1.0.0/16 e 10.2.0.0/16 e i prefissi della rete virtuale sono 192.168.0.0/16 e 172.16.0.0/16, ad esempio, è necessario specificare i selettori di traffico seguenti:

  • 10.1.0.0/16 <===> 192.168.0.0/16
  • 10.1.0.0/16 ===> 172.16.0.0</16
  • 10.2.0.0/16 <===> 192.168.0.0/16
  • 10.2.0.0/16 ===> 172.16.0.0</16

Per altre informazioni, vedere Connettere più dispositivi VPN basati su criteri locali.

Quali gruppi Diffie-Hellman sono supportati?

La tabella seguente elenca i gruppi Diffie-Hellman supportati per IKE (DHGroup) e IPsec (PFSGroup):

Gruppo Diffie-Hellman DHGroup PFSGroup Lunghezza chiave
1 DHGroup1 PFS1 MODP a 768 bit
2 DHGroup2 PFS2 MODP a 1024 bit
14 DHGroup14
DHGroup2048
PFS2048 MODP a 2048 bit
19 ECP256 ECP256 ECP a 256 bit
20 ECP384 ECP384 ECP a 384 bit
24 DHGroup24 PFS24 MODP a 2048 bit

Per altre informazioni, vedere RFC3526 e RFC5114.

I criteri personalizzati sostituiscono i set di criteri IPsec/IKE predefiniti per i gateway VPN di Azure?

Sì. Quando per una connessione vengono specificati criteri personalizzati, il gateway VPN di Azure userà solo tali criteri per la connessione, sia come iniziatore IKE che come risponditore IKE.

Se si rimuovono i criteri IPsec/IKE personalizzati, la connessione diventa non protetta?

No. La connessione sarà comunque protetta tramite IPsec/IKE. Dopo la rimozione dei criteri personalizzati da una connessione, il gateway VPN di Azure ripristina l'elenco predefinito delle proposte IPsec/IKE e riavvia nuovamente l'handshake IKE con il dispositivo VPN locale.

L'aggiunta o l'aggiornamento di criteri IPsec/IKE determinerà un'interruzione della connessione VPN?

Sì. Potrebbe causare una breve interruzione di alcuni secondi perché il gateway VPN di Azure chiude la connessione esistente e riavvia l'handshake IKE per ristabilire il tunnel IPsec con i nuovi algoritmi di crittografia e i nuovi parametri. Per ridurre al minimo l'interruzione, verificare che il dispositivo VPN locale sia configurato anche con gli algoritmi e i tipi di attendibilità della chiave corrispondenti.

È possibile usare criteri diversi per connessioni diverse?

Sì. I criteri personalizzati vengono applicati in base alla connessione. È possibile creare e applicare criteri IPsec/IKE diversi per connessioni diverse. Si possono anche applicare criteri personalizzati a un sottoinsieme di connessioni. Le connessioni rimanenti usano i set di criteri IPsec/IKE predefiniti di Azure.

È possibile usare criteri personalizzati anche per una connessione da rete virtuale a rete virtuale?

Sì. È possibile applicare criteri personalizzati sia a connessioni cross-premise IPsec che a connessioni da rete virtuale a rete virtuale.

È necessario specificare gli stessi criteri per entrambe le risorse di connessione da rete virtuale a rete virtuale?

Sì. Un tunnel da rete virtuale a rete virtuale è costituito da due risorse di connessione di Azure, una per ogni direzione. Verificare che entrambe le risorse di connessione abbiano gli stessi criteri. In caso contrario, la connessione da rete virtuale a rete virtuale non verrà stabilita.

Qual è il valore predefinito di timeout DPD? È possibile specificare un timeout DPD diverso?

Il timeout DPD predefinito è di 45 secondi. È possibile specificare un valore di timeout DPD diverso per ogni connessione IPsec o da rete virtuale a rete virtuale tra 9 secondi e 3600 secondi.

I criteri IPsec/IKE personalizzati funzionano in una connessione ExpressRoute?

No. I criteri IPsec/IKE funzionano solo in connessioni VPN da sito a sito e da rete virtuale a rete virtuale tramite gateway VPN di Azure.

Come si creano le connessioni con il tipo di protocollo IKEv1 o IKEv2?

Le connessioni IKEv1 possono essere create in tutti gli SKU di tipo VPN RouteBased, ad eccezione dello SKU Basic, dello SKU Standard e di altri SKU legacy. È possibile specificare un tipo di protocollo di connessione IKEv1 o IKEv2 durante la creazione delle connessioni. Se non si specifica un tipo di protocollo di connessione, IKEv2 viene usato come opzione predefinita, se applicabile. Per altre informazioni, vedere la documentazione sui cmdlet di PowerShell. Per i tipi di SKU e il supporto di IKEv1/IKEv2, vedere Connettere gateway a dispositivi VPN basati su criteri.

Il transito tra le connessioni IKEv1 e IKEv2 è consentito?

Sì. Il transito tra le connessioni IKEv1 e IKEv2 è supportato.

È possibile avere connessioni IKEv1 da sito a sito per gli SKU Basic di tipo VPN RouteBased?

No. Lo SKU Basic non supporta questa operazione.

È possibile modificare il tipo di protocollo di connessione dopo la creazione della connessione (da IKEv1 a IKEv2 e viceversa)?

No. Dopo aver creato la connessione, i protocolli IKEv1/IKEv2 non possono essere modificati. È necessario eliminare la connessione e ricrearne una nuova con il tipo di protocollo desiderato.

Perché la connessione IKEv1 viene riconnessa di frequente?

Se la connessione IKEv1 basata su routing statico o route si disconnette a intervalli di routine, è probabile che i gateway VPN non supportino le chiavi sul posto. Quando la modalità Principale viene reimpostata, i tunnel IKEv1 si disconnettono e richiedono fino a 5 secondi per riconnettersi. Il valore di timeout della negoziazione in modalità principale determinerà la frequenza delle chiavi. Per evitare la riconnessione, è possibile passare all'uso di IKEv2, che supporta le chiavi sul posto.

Se la connessione viene riconnessa in momenti casuali, seguire la guida alla risoluzione dei problemi.

Dove sono reperibili altre informazioni di configurazione per IPSec?

Vedere Configurare i criteri IPsec/IKE per connessioni da sito a sito o da rete virtuale a rete virtuale.

BGP e routing

BGP è supportato in tutti gli SKU del gateway VPN di Azure?

BGP è supportato in tutti gli SKU del gateway VPN ad eccezione dello SKU Basic.

È possibile usare BGP con i gateway VPN di Criteri di Azure?

No, BGP è supportato unicamente nei gateway VPN basati su route.

Quali numeri ASN (Autonomous System Number) è possibile usare?

È possibile usare i propri numeri ASN pubblici o quelli privati sia per le reti locali che per le reti virtuali di Azure. Non è possibile usare gli intervalli riservati da Azure o IANA.

I seguenti numeri ASN sono riservati da Azure o da IANA:

  • Numeri ASN riservati da Azure:

    • ASN pubblici: 8074, 8075, 12076
    • ASN privati: 65515, 65517, 65518, 65519, 65520
  • ASN riservati da IANA:

    • 23456, 64496-64511, 65535-65551 e 429496729

Non è possibile specificare questi numeri ASN per connettere i dispositivi VPN locali ai gateway VPN di Azure.

È possibile usare numeri ASN a 32 bit (4 byte)?

Sì, il gateway VPN ora supporta ASN a 32 bit (4 byte). Per configurare l'uso di ASN in formato decimale, usare PowerShell, l'interfaccia della riga di comando di Azure o Azure SDK.

Quali numeri ASN privati è possibile usare?

Gli intervalli utilizzabili di ASN privati sono:

  • 64512-65514 e 65521-65534

Questi ASN non sono riservati per l'uso in IANA o Azure e possono quindi essere assegnati al gateway VPN di Azure.

Quale indirizzo viene usato dal gateway VPN per l'indirizzo IP del peer BGP?

Per impostazione predefinita, il gateway VPN alloca un singolo indirizzo IP dall'intervallo di GatewaySubnet per i gateway VPN di tipo attivo-standby oppure due indirizzi IP per i gateway VPN di tipo attivo-attivo. Questi indirizzi vengono allocati automaticamente durante la creazione del gateway VPN. È possibile ottenere l'indirizzo IP BGP effettivo allocato usando PowerShell o individuarlo nel portale di Azure. In PowerShell usare Get-AzVirtualNetworkGateway e cercare la proprietà bgpPeeringAddress. Nel portale di Azure, nella pagina Configurazione gateway, controllare la proprietà Configura ASN BGP.

Se i router VPN locali usano indirizzi IP APIPA (169.254.x.x) come indirizzi IP BGP, è necessario specificare uno o più indirizzi IP BGP DELL'API di Azure nel gateway VPN di Azure. Azure Gateway VPN seleziona gli indirizzi APIPA da usare con il peer BGP APIPA locale specificato nel gateway di rete locale o l'indirizzo IP privato per un peer BGP non APIPA locale. Per altre informazioni, vedere Configurare BGP.

Quali sono i requisiti per gli indirizzi IP dei peer BGP nel dispositivo VPN?

L'indirizzo del peer BGP locale non deve essere uguale all'indirizzo IP pubblico del dispositivo VPN né essere incluso nello spazio indirizzi della rete virtuale del gateway VPN. Usare un indirizzo IP diverso nel dispositivo VPN per il peer BGP. Può essere un indirizzo assegnato all'interfaccia di loopback nel dispositivo, ossia un normale indirizzo IP o un indirizzo APIPA. Se il dispositivo usa un indirizzo APIPA per BGP, è necessario specificare uno o più indirizzi IP BGP APIPA nel gateway VPN di Azure, come descritto in Configurare BGP. Specificare questi indirizzi nel gateway di rete locale corrispondente che rappresenta il percorso.

Cosa occorre specificare come prefissi di indirizzo per il gateway di rete locale quando si usa BGP?

Importante

Si tratta di una modifica rispetto al requisito precedentemente documentato. Se si usa BGP per una connessione, lasciare il campo Spazio indirizzi vuoto per la risorsa gateway di rete locale corrispondente. Il gateway VPN di Azure aggiunge internamente una route host all'indirizzo IP del peer BGP locale tramite il tunnel IPsec. Non aggiungere la route /32 nel campo Spazio indirizzi. È ridondante e se si usa un indirizzo APIPA come indirizzo IP di BGP del dispositivo VPN locale, non è possibile aggiungerlo a questo campo. Se si aggiungono altri prefissi nel campo Spazio indirizzi, verranno aggiunti come route statiche sul gateway VPN di Azure, in aggiunta alle route acquisite tramite BGP.

È possibile usare lo stesso numero ASN sia per le reti VPN locali che per le reti virtuali di Azure?

No, è necessario assegnare ASN diversi alle reti locali e alle reti virtuali di Azure, se vengono connesse insieme tramite BGP. Ai gateway VPN di Azure è assegnato un ASN predefinito 65515, sia che BGP sia abilitato o meno per la connettività cross-premise. È possibile sostituire questo valore predefinito assegnando un ASN diverso durante la creazione del gateway VPN. In alternativa è possibile cambiarlo dopo aver creato il gateway. È necessario assegnare gli ASN locali ai gateway di rete locali di Azure corrispondenti.

Quali prefissi di indirizzo vengono segnalati all'utente dai gateway VPN di Azure?

I gateway annunciano le route seguenti ai dispositivi BGP locali:

  • I prefissi degli indirizzi di rete virtuale.
  • I prefissi degli indirizzi per ogni gateway di rete locale connesso al gateway VPN di Azure.
  • Le route ottenute da altre sessioni di peering BGP connesse al gateway VPN di Azure, ad eccezione delle route predefinite o sovrapposte a qualsiasi prefisso di rete virtuale.

Quanti prefissi è possibile annunciare al gateway VPN di Azure?

Il gateway VPN di Azure supporta fino a 4000 prefissi. La sessione BGP viene eliminata se il numero di prefissi supera il limite.

È possibile segnalare la route predefinita (0.0.0.0/0) ai gateway VPN di Azure?

Sì. Si noti che in questo modo tutto il traffico in ingresso nella rete virtuale viene forzato verso il sito locale. Si impedisce inoltre alle VM della rete virtuale di accettare comunicazioni pubbliche provenienti direttamente da Internet, come RDP o SSH da Internet alle VM.

È possibile annunciare gli stessi prefissi della propria rete virtuale?

No, l'annuncio degli stessi prefissi degli indirizzi della rete virtuale verrà bloccato o filtrato da Azure. È tuttavia possibile annunciare un prefisso che rappresenta un superset di quello interno alla rete virtuale.

Ad esempio, se la rete virtuale usa lo spazio di indirizzi 10.0.0.0/16, è possibile annunciare 10.0.0.0/8, ma non 10.0.0.0/16 o 10.0.0.0/24.

È possibile usare BGP con le connessioni tra reti virtuali?

Sì, è possibile usare BGP sia per connessioni cross-premise che per connessioni tra reti virtuali.

È possibile combinare connessioni BGP con connessioni non BGP per i gateway VPN di Azure?

Sì, è possibile combinare connessioni BGP e connessioni non BGP per lo stesso gateway VPN di Azure.

Il gateway VPN di Azure supporta il routing di transito BGP?

Sì, il routing di transito BGP è supportato, con l'eccezione che i gateway VPN di Azure non annunciano le route predefinite ad altri peer BGP. Per abilitare il routing di transito tra più gateway VPN di Azure, è necessario abilitare BGP in tutte le connessioni intermedie tra reti virtuali. Per altre informazioni, vedere About BGP (Informazioni su BGP).

È possibile stabilire più di un tunnel tra il gateway VPN di Azure e la rete locale?

Sì, è possibile stabilire più di un tunnel VPN da sito a sito tra un gateway VPN di Azure e la rete locale. Si noti che tutti questi tunnel verranno conteggiati rispetto al numero totale di tunnel per i gateway VPN di Azure ed è necessario abilitare BGP in tutti.

Ad esempio, se sono presenti due tunnel ridondanti tra il gateway VPN di Azure e una delle reti locali, verranno consumati 2 tunnel della quota totale disponibile per il gateway VPN di Azure.

È possibile stabilire più tunnel tra due reti virtuali di Azure con BGP?

Sì, ma almeno uno dei gateway di rete virtuale deve avere la configurazione attiva/attiva.

È possibile usare BGP per una VPN da sito a sito in una configurazione di coesistenza VPN da sito a sito e Azure ExpressRoute?

Sì.

Cosa è necessario aggiungere al dispositivo VPN locale per la sessione di peering BGP?

Aggiungere una route host dell'indirizzo IP del peer BGP di Azure nel dispositivo VPN. Questa route punta al tunnel VPN da sito a sito IPsec. Ad esempio, se l'indirizzo IP del peer VPN di Azure è 10.12.255.30, è necessario aggiungere una route host per 10.12.255.30 con un'interfaccia per hop successivo dell'interfaccia del tunnel IPsec corrispondente nel dispositivo VPN.

Il gateway di rete virtuale supporta BFD per le connessioni da sito a sito con BGP?

No. Rilevamento inoltro bidirezionale (BFD) è un protocollo che è possibile usare con BGP per rilevare tempi di inattività adiacenti più rapidi rispetto a quelli che è possibile usare "keepalives" standard BGP. BFD usa timer subsecondi progettati per funzionare in ambienti LAN, ma non tra le connessioni Internet pubbliche o Wide Area Network.

Per le connessioni tramite Internet pubblico, la presenza di alcuni pacchetti ritardati o anche eliminati non è insolita, di conseguenza l'introduzione di questi timer aggressivi potrebbe aggiungere instabilità che potrebbero causare la conseguente attenuazione delle route da parte di BGP. In alternativa, è possibile configurare il dispositivo locale con timer di durata inferiore all'intervallo di attesa di "keepalive" predefinito di 60 secondi e il timer di attesa di 180 secondi. In questo modo si ottiene un tempo di convergenza più rapido.

I gateway VPN di Azure avviano sessioni di peering BGP o connessioni?

Il gateway avvierà sessioni di peering BGP agli indirizzi IP peer BGP locali specificati nelle risorse del gateway di rete locale usando gli indirizzi IP privati nei gateway VPN. Ciò è indipendentemente dal fatto che gli indirizzi IP BGP locali si trovino nell'intervallo APIPA o negli indirizzi IP privati regolari. Se i dispositivi VPN locali usano indirizzi APIPA come IP BGP, è necessario configurare l'altoparlante BGP per avviare le connessioni.

È possibile configurare il tunneling forzato?

Sì. Vedere Configurare il tunneling forzato.

NAT

NAT è supportato in tutti gli SKU di Gateway VPN di Azure?

NAT è supportato in VpnGw2~5 e VpnGw2AZ~5AZ.

È possibile usare NAT nelle connessioni da rete virtuale a rete virtuale o da P2S?

No, NAT è supportato solo nelle connessioni cross-premise IPsec .

Quante regole NAT è possibile usare in un gateway VPN?

È possibile creare fino a 100 regole NAT (regole in ingresso e uscita combinate) in un gateway VPN.

NAT viene applicato a tutte le connessioni in un gateway VPN?

NAT viene applicato alle connessioni con regole NAT. Se una connessione non ha una regola NAT, NAT non avrà effetto su tale connessione. Nello stesso gateway VPN è possibile avere alcune connessioni con NAT e altre connessioni senza lavorare con NAT.

Quali tipi di NAT sono supportati nei gateway VPN di Azure?

Sono supportati solo NAT statici 1:1 e NAT dinamico. NAT64 non è supportato.

NAT funziona nei gateway VPN attivi?

Sì. NAT funziona sia nei gateway VPN attivi che attivi.

NAT funziona con le connessioni BGP?

Sì, è possibile usare BGP con NAT. Ecco alcune considerazioni importanti:

  • Selezionare Abilita traduzione route BGP nella pagina di configurazione regole NAT per assicurarsi che le route apprese e le route annunciate vengano tradotte in prefissi di indirizzi POST NAT (Mapping esterni) in base alle regole NAT associate alle connessioni. È necessario assicurarsi che i router BGP locali pubblicizzino i prefissi esatti, come definito nelle regole IngressSNAT.

  • Se il router VPN locale usa APIPA (169.254.x.x) come ip di altoparlante/peer BGP, usare l'indirizzo APIPA direttamente nel campo indirizzo IP peer BGP del gateway di rete locale. Se il router VPN locale usa l'indirizzo VPN normale e non APIPA e si scontra con lo spazio indirizzi della rete virtuale o con altri spazi di rete locali, assicurarsi che la regola IngressSNAT traduca l'INDIRIZZO peer BGP in un indirizzo ip univoco, non sovrapposto e inserisca l'indirizzo POST NAT nel campo indirizzo IP peer BGP del gateway di rete locale.

È necessario creare le regole DNAT corrispondenti per la regola SNAT?

No. Una singola regola SNAT definisce la traduzione per entrambe le direzioni di una determinata rete:

  • Una regola IngressSNAT definisce la traduzione degli indirizzi IP di origine provenienti dal gateway VPN di Azure dalla rete locale. Gestisce anche la traduzione degli indirizzi IP di destinazione che escono dalla rete virtuale alla stessa rete locale.

  • Una regola EgressSNAT definisce la conversione degli indirizzi IP di origine della rete virtuale che lasciano il gateway VPN di Azure alle reti locali. Gestisce anche la conversione degli indirizzi IP di destinazione per i pacchetti in ingresso nella rete virtuale tramite tali connessioni con la regola EgressSNAT.

  • In entrambi i casi, non sono necessarie regole DNAT .

Cosa fare se la rete virtuale o lo spazio indirizzi del gateway di rete locale ha due o più prefissi? È possibile applicare NAT a tutti? O solo un subset?

È necessario creare una regola NAT per ogni prefisso necessario per NAT perché ogni regola NAT può includere un solo prefisso di indirizzo per NAT. Ad esempio, se lo spazio indirizzi del gateway di rete locale è costituito da 10.0.1.0/24 e 10.0.2.0/25, è possibile creare due regole come illustrato di seguito:

  • Regola in ingressoSNAT 1: Mappa 10.0.1.0/24 a 100.0.1.0/24
  • Regola in ingressoSNAT 2: Mappa 10.0.2.0/25 a 100.0.2.0/25

Le due regole devono corrispondere alle lunghezze del prefisso dei prefissi degli indirizzi corrispondenti. Lo stesso vale per le regole EgressSNAT per lo spazio indirizzi della rete virtuale.

Importante

Se si collega una sola regola alla connessione precedente, l'altro spazio indirizzi NON verrà convertito.

Quali intervalli IP è possibile usare per il mapping esterno?

È possibile usare qualsiasi intervallo IP appropriato per il mapping esterno, inclusi gli indirizzi IP pubblici e privati.

È possibile usare regole EgressSNAT diverse per convertire lo spazio indirizzi della rete virtuale in prefissi diversi in reti locali diverse?

Sì, è possibile creare più regole EgressSNAT per lo stesso spazio indirizzi della rete virtuale e applicare le regole EgressSNAT a connessioni diverse. Per le connessioni senza una regola EgressSNAT,

È possibile usare la stessa regola IngressSNAT in connessioni diverse?

Sì, questo viene in genere usato quando le connessioni si trovano per la stessa rete locale per garantire la ridondanza. Non è possibile usare la stessa regola di ingresso se le connessioni si trovano per reti locali diverse.

Sono necessarie sia regole di ingresso che di uscita su una connessione NAT?

Sono necessarie sia regole di ingresso che di uscita nella stessa connessione quando lo spazio indirizzi di rete locale si sovrappone allo spazio indirizzi della rete virtuale. Se lo spazio indirizzi della rete virtuale è univoco tra tutte le reti connesse, non è necessaria la regola EgressSNAT per tali connessioni. È possibile usare le regole di ingresso per evitare sovrapposizioni di indirizzi tra le reti locali.

Cosa si sceglie come "ID configurazione IP" ?

"ID configurazione IP" è semplicemente il nome dell'oggetto di configurazione IP che si vuole usare la regola NAT. Con questa impostazione, è sufficiente scegliere quale indirizzo IP pubblico del gateway si applica alla regola NAT. Se al momento della creazione del gateway non è stato specificato alcun nome personalizzato, l'indirizzo IP primario del gateway viene assegnato all'IPconfiguration "default" e l'INDIRIZZO IP secondario viene assegnato all'IPconfiguration "activeActive".

Connettività cross-premise e macchine virtuali

Se la macchina virtuale si trova in una rete virtuale e si dispone di una connessione cross-premise, in che modo è possibile connettersi alla macchina virtuale?

Sono disponibili diverse opzioni. Se RDP è abilitato per la macchina virtuale, è possibile connettersi alla macchina virtuale usando l'indirizzo IP privato. In tal caso, specificare l'indirizzo IP privato e la porta a cui si vuole connettersi, in genere la porta 3389. Sarà necessario configurare la porta sulla macchina virtuale per il traffico.

È possibile connettersi alla macchina virtuale anche usando l'indirizzo IP privato di un'altra macchina virtuale presente nella stessa rete virtuale. Non è possibile connettersi tramite RDP alla macchina virtuale usando l'indirizzo IP privato se ci si connette da una posizione esterna alla rete virtuale. Ad esempio, se è configurata una rete virtuale da punto a sito e non si stabilisce una connessione dal computer, non è possibile connettersi alla macchina virtuale tramite indirizzo IP privato.

Se la macchina virtuale si trova in una rete virtuale con connettività cross-premise, il traffico dalla macchina virtuale passa tutto attraverso tale connessione?

No. Attraverso il gateway della rete virtuale passerà solo il traffico con un IP di destinazione incluso negli intervalli di indirizzi IP di rete locale specificati per la rete virtuale. Il traffico che ha un indirizzo IP di destinazione nella rete virtuale rimane all'interno della rete virtuale. Il restante traffico verrà inviato alle reti pubbliche tramite il bilanciamento del carico o, se si usa il tunneling forzato, tramite il gateway VPN di Azure.

Come risolvere i problemi di una connessione RDP a una VM

Se si verificano problemi di connessione a una macchina virtuale tramite la connessione VPN, controllare gli elementi seguenti:

  • Verificare che la connessione VPN sia attiva.
  • Verificare che venga effettuata la connessione all'indirizzo IP privato per la VM.
  • Se è possibile connettersi alla VM usando l'indirizzo IP privato, ma non il nome del computer, verificare di avere configurato correttamente il valore per DNS. Per altre informazioni sul funzionamento della risoluzione dei nomi per le macchine virtuali, vedere Risoluzione dei nomi per le macchine virtuali.

Quando ci si connette tramite connessione da punto a sito, controllare gli elementi seguenti:

  • Usare "ipconfig" per controllare l'indirizzo IPv4 assegnato alla scheda Ethernet nel computer da cui viene effettuata la connessione. Se l'indirizzo IP è compreso nell'intervallo di indirizzi della rete virtuale a cui ci si connette o nell'intervallo di indirizzi del pool di indirizzi del client VPN, si verifica la cosiddetta sovrapposizione dello spazio indirizzi. Con questo tipo di sovrapposizione, il traffico di rete non raggiunge Azure e rimane nella rete locale.
  • Verificare che il pacchetto di configurazione del client VPN sia stato generato dopo che sono stati specificati gli indirizzi IP del server DNS per la rete virtuale. Se gli indirizzi IP del server DNS sono stati aggiornati, generare e installare un nuovo pacchetto di configurazione del client VPN.

Per altre informazioni sulla risoluzione dei problemi di una connessione RDP, vedere Risolvere i problemi delle connessioni Desktop remoto a una macchina virtuale.

Domande frequenti su Rete virtuale

È possibile visualizzare informazioni aggiuntive sulla rete virtuale nelle domande frequenti Rete virtuale.

Passaggi successivi

"OpenVPN" è un marchio di OpenVPN Inc.