Lavoro remoto con Gateway VPN di Azure da punto a sito
Nota
Questo articolo descrive come sfruttare Gateway VPN di Azure, Azure, la rete Microsoft e l'ecosistema partner di Azure per lavorare in remoto e attenuare i problemi di rete che si verificano a causa della crisi da COVID-19.
Questo articolo descrive le opzioni disponibili alle organizzazioni per configurare l'accesso remoto per gli utenti o per integrare le proprie soluzioni esistenti con capacità aggiuntiva durante la pandemia da COVID-19.
La soluzione da punto a sito di Azure è basata sul cloud ed è possibile effettuarne rapidamente il provisioning per soddisfare le richieste, sempre più frequenti, di utenti che devono lavorare da casa. Consente di aumentare le risorse in modo semplice e di disattivarle altrettanto facilmente e rapidamente quando non è più necessaria una maggiore capacità.
Informazioni sulla VPN da punto a sito
Una connessione gateway VPN da punto a sito (P2S) consente di creare una connessione sicura alla rete virtuale da un singolo computer client. Una connessione da punto a sito viene stabilita avviandola dal computer client. Questa soluzione è utile per i telelavoratori che intendono connettersi alle reti virtuali di Azure o a data center locali da una posizione remota, ad esempio da casa o durante una riunione. Questo articolo descrive come consentire agli utenti di lavorare in modalità remota in base a vari scenari.
La tabella seguente illustra i sistemi operativi client e le opzioni di autenticazione disponibili. Sarebbe utile selezionare il metodo di autenticazione in base al sistema operativo client già in uso. Ad esempio, selezionare OpenVPN con autenticazione basata su certificato se si dispone di una combinazione di sistemi operativi client che devono connettersi. Si noti anche che la VPN da punto a sito è supportata solo nei gateway VPN basati su route.
Scenario 1: gli utenti devono accedere solo alle risorse in Azure
In questo scenario, gli utenti remoti devono accedere solo alle risorse presenti in Azure.
A livello generale, per consentire agli utenti di connettersi alle risorse di Azure in modo sicuro sono necessari i passaggi seguenti:
Creare un gateway di rete virtuale (se non esiste).
Configurare la VPN da punto a sito nel gateway.
- Per l'autenticazione del certificato, seguire questo collegamento.
- Per OpenVPN, seguire questo collegamento.
- Per l'autenticazione di Microsoft Entra, seguire questo collegamento.
- Per la risoluzione dei problemi relativi alle connessioni da punto a sito, seguire questo collegamento.
Scaricare e distribuire la configurazione del client VPN.
Distribuire i certificati (se è selezionata l'autenticazione del certificato) ai client.
Connettersi alla VPN di Azure.
Scenario 2: gli utenti devono accedere solo alle risorse in Azure e/o a quelle locali
In questo scenario, gli utenti remoti devono accedere alle risorse presenti in Azure e nei data center locali.
A livello generale, per consentire agli utenti di connettersi alle risorse di Azure in modo sicuro sono necessari i passaggi seguenti:
- Creare un gateway di rete virtuale (se non esiste).
- Configurare la VPN da punto a sito nel gateway (vedere Scenario 1).
- Configurare un tunnel da sito a sito nel gateway di rete virtuale di Azure con il protocollo BGP abilitato.
- Configurare il dispositivo locale per connettersi al gateway di rete virtuale di Azure.
- Scaricare il profilo da punto a sito dal portale di Azure e distribuirlo ai client
Per informazioni su come configurare un tunnel VPN da sito a sito, vedere questo collegamento.
Domande frequenti per l'autenticazione del certificato di Azure nativo
Quanti endpoint client VPN è possibile includere nella configurazione da punto sito?
Dipende dallo SKU del gateway. Per altre informazioni sul numero di connessioni supportate, vedere SKU del gateway.
Quali sistemi operativi client è possibile usare con la connettività da punto a sito?
Sono supportati i sistemi operativi client seguenti:
- Windows Server 2008 R2 (solo a 64 bit)
- Windows 8.1 (a 32 e 64 bit)
- Windows Server 2012 (solo a 64 bit)
- Windows Server 2012 R2 (solo a 64 bit)
- Windows Server 2016 (solo a 64 bit)
- Windows Server 2019 (solo a 64 bit)
- Windows Server 2022 (solo 64 bit)
- Windows 10
- Windows 11
- macOS versione 10.11 o successiva
- Linux (StrongSwan)
- iOS
È possibile attraversare proxy e firewall con la funzionalità Da punto a sito?
Azure supporta tre tipi di opzioni VPN da punto a sito:
SSTP (Secure Socket Tunneling Protocol). SSTP è una soluzione proprietaria Microsoft basata su SSL che può penetrare i firewall perché la porta TCP 443 in uscita usata da SSL viene aperta dalla maggior parte dei firewall.
OpenVPN. OpenVPN è una soluzione basata su SSL che può penetrare i firewall perché la porta TCP 443 in uscita usata da SSL viene aperta dalla maggior parte dei firewall.
VPN IKEv2. La VPN IKEv2 è una soluzione VPN IPsec basata sugli standard che usa le porte UDP 500 e 4500 in uscita e il protocollo IP numero 50. Non sempre queste porte vengono aperte dai firewall ed esiste quindi la possibilità che la VPN IKEv2 non riesca ad attraversare proxy e firewall.
Se si riavvia un computer client configurato per la funzionalità Da punto a sito, la VPN verrà riconnessa automaticamente?
La riconnessione automatica è una funzione del client in uso. Windows supporta la riconnessione automatica configurando la funzionalità client VPN Always On.
La funzionalità da punto a sito supporta DDNS nei client VPN?
DDNS non è attualmente supportato nelle VPN da punto a sito.
È possibile la coesistenza di configurazioni da sito a sito e punto a sito per la stessa rete virtuale?
Sì. Per il modello di distribuzione Resource Manager, è necessario un gateway di tipo VPN RouteBased. Per il modello di distribuzione classica è necessario un gateway dinamico. La configurazione da punto a sito non è supportata per gateway VPN con routing statico o PolicyBased.
È possibile configurare un client da punto a sito per connettersi contemporaneamente a più gateway di rete virtuale?
A seconda del software client VPN usato, potrebbe essere possibile connettersi a più gateway di rete virtuale purché nelle reti virtuali a cui si è connessi non siano presenti né spazi di indirizzi in conflitto tra loro né la rete da cui si connette il client. Anche se il client VPN di Azure supporta molte connessioni VPN, è possibile stabilire una sola connessione alla volta.
È possibile configurare un client da punto a sito per connettersi contempo a più reti virtuali?
Sì, le connessioni dei client da punto a sito a un gateway di rete virtuale distribuito in una rete virtuale con peering con altre reti virtuali possono avere accesso ad altre reti virtuali con peering. I client da punto a sito sono in grado di connettersi alle reti virtuali con peering, purché le reti virtuali con peering usino le funzionalità UseRemoteGateway/AllowGatewayTransit. Per altre informazioni, vedere Informazioni sul routing da punto a sito.
Che velocità effettiva è possibile prevedere usando connessioni da sito a sito o da punto a sito?
È difficile mantenere esattamente la velocità effettiva tramite i tunnel VPN. IPSec e SSTP sono protocolli VPN con un elevato livello di crittografia. La velocità effettiva è limitata inoltre dalla latenza e dalla larghezza di banda tra le sedi locali e Internet. Per un gateway VPN che ha solo connessioni VPN da punto a sito IKEv2, la velocità effettiva totale che è possibile prevedere dipende dallo SKU del gateway. Per altre informazioni sulla velocità effettiva, vedere SKU del gateway.
Per la connettività da punto a sito è possibile usare qualsiasi client VPN software che supporta SSTP e/o IKEv2?
No. È possibile usare solo il client VPN nativo in Windows per SSTP e il client VPN nativo in Mac per IKEv2. È tuttavia possibile usare il client OpenVPN su tutte le piattaforme per connettersi tramite il protocollo OpenVPN. Vedere l'elenco dei sistemi operativi client supportati.
È possibile modificare il tipo di autenticazione per una connessione da punto a sito?
Sì. Nel portale passare alla pagina Gateway VPN - > Configurazione da punto a sito. Per Tipo di autenticazione selezionare i tipi di autenticazione da usare. Dopo aver apportato una modifica a un tipo di autenticazione, i client correnti potrebbero non essere in grado di connettersi fino a quando non viene generato, scaricato e applicato un nuovo profilo di configurazione client VPN a ogni client VPN.
Quando è necessario generare un nuovo pacchetto di configurazione del profilo client VPN?
Quando si apportano modifiche alle impostazioni di configurazione del gateway VPN da sito a sito, ad esempio l'aggiunta di un tipo di tunnel o la modifica di un tipo di autenticazione, è necessario generare un nuovo pacchetto di configurazione del profilo client VPN. Il nuovo pacchetto include le impostazioni aggiornate necessarie ai client VPN per connettersi correttamente al gateway da sito a sito. Dopo aver generato il pacchetto, usare le impostazioni contenute nei file per aggiornare i client VPN.
Azure supporta VPN IKEv2 con Windows?
IKEv2 è supportato in Windows 10 e Server 2016. Per poter usare IKEv2 in determinate versioni di OS, è però necessario installare gli aggiornamenti e impostare in locale un valore della chiave del Registro di sistema. Le versioni del sistema operativo precedenti a Windows 10 non sono supportate e possono usare solo SSTP o il protocollo OpenVPN®.
Nota
Le build del sistema operativo Windows più recenti di Windows 10 versione 1709 e Windows Server 2016 versione 1607 non richiedono questi passaggi.
Per preparare Windows 10 o Server 2016 per IKEv2:
Installare l'aggiornamento in base alla versione del sistema operativo:
Versione sistema operativo Data Numero/collegamento Windows Server 2016
Windows 10 versione 160717 gennaio 2018 KB4057142 Windows 10 versione 1703 17 gennaio 2018 KB4057144 Windows 10 versione 1709 22 marzo 2018 KB4089848 Impostare il valore della chiave del Registro di sistema. Creare o impostare su 1 la chiave REG_DWORD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" del Registro di sistema.
Qual è il limite del selettore di traffico IKEv2 per le connessioni da punto a sito?
Windows 10 versione 2004 (rilasciata a settembre 2021) ha aumentato il limite del selettore di traffico a 255. Le versioni di Windows precedenti a questa hanno un limite di selettore di traffico pari a 25.
Il limite dei selettori di traffico in Windows determina il numero massimo di spazi di indirizzi nella rete virtuale e la somma massima delle reti locali, delle connessioni da rete virtuale a rete virtuale e delle reti virtuali con peering connesse al gateway. I client da punto a sito basati su Windows non riusciranno a connettersi tramite IKEv2 se superano questo limite.
Qual è il limite del selettore di traffico OpenVPN per le connessioni da punto a sito?
Il limite dei selettori di traffico per OpenVPN è di 1000 route.
Cosa accade quando configurano sia SSTP che IKEv2 per le connessioni VPN P2S?
Quando si configurano sia SSTP che IKEv2 in un ambiente misto (costituito da dispositivi Windows e Mac), il client VPN Windows proverà sempre prima ad accedere al tunnel IKEv2, ma eseguirà il fallback a SSTP se la connessione IKEv2 non riesce. MacOSX si connetterà solo tramite IKEv2.
Quando nel gateway sono abilitati sia SSTP che IKEv2, il pool di indirizzi da punto a sito verrà suddiviso in modo statico tra i due, quindi ai client che usano protocolli diversi verranno assegnati indirizzi IP da uno dei due intervalli secondari. Il numero massimo di client SSTP è sempre 128, anche se l'intervallo di indirizzi è maggiore di /24, cosa che determina un numero maggiore di indirizzi disponibili per i client IKEv2. Per intervalli più piccoli, il pool è ugualmente dimezzato. I selettori di traffico usati dal gateway potrebbero non includere il CIDR dell'intervallo di indirizzi da punto a sito, ma i due CIDR di intervallo secondario.
Oltre a Windows e Mac, quali altre piattaforme supporta Azure per VPN P2S?
Per VPN da punto a sito Azure supporta Windows, Mac e Linux.
Si dispone già di un Gateway VPN di Azure distribuito. È possibile attivare RADIUS e/o VPN IKEv2 su di esso?
Sì, se l'SKU del gateway usato supporta RADIUS e/o IKEv2, è possibile abilitare queste funzionalità nei gateway già distribuiti usando PowerShell o il portale di Azure. L'SKU Basic non supporta RADIUS o IKEv2.
Come si rimuove la configurazione di una connessione da punto a sito?
Per rimuovere una configurazione di una connessione da punto a sito nell'interfaccia della riga di comando di Azure e PowerShell, è possibile usare i comandi seguenti:
Azure PowerShell
$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`
$gw.VPNClientConfiguration = $null`
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`
Interfaccia della riga di comando di Azure
az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"
Che cosa è necessario fare se si verifica una mancata corrispondenza del certificato quando si effettua la connessione tramite autenticazione del certificato?
Deselezionare "Verifica l'identità del server mediante convalida del certificato" o aggiungere il nome di dominio completo del server insieme al certificato quando si crea un profilo manualmente. Per eseguire questa operazione, è possibile eseguire rasphone da un prompt dei comandi e selezionare il profilo dall'elenco a discesa.
Ignorare la convalida dell'identità del server non è consigliabile in generale, ma con l'autenticazione del certificato di Azure lo stesso certificato viene usato per la convalida del server nel protocollo di tunneling VPN (IKEv2/SSTP) e nel protocollo EAP. Poiché il certificato del server e il nome di dominio completo sono già convalidati dal protocollo di tunneling VPN, è ridondante convalidarli nuovamente in EAP.
È possibile usare la CA radice della PKI interna per generare i certificati per la connettività da punto a sito?
Sì. In precedenza, era possibile utilizzare solo certificati radice autofirmati. È ancora possibile caricare 20 certificati radice.
È possibile usare i certificati di Azure Key Vault?
No.
Quali strumenti è possibile usare per creare certificati?
È possibile usare la propria soluzione di infrastruttura a chiave pubblica aziendale (PKI interna), Azure PowerShell, MakeCert e OpenSSL.
Sono disponibili istruzioni per le impostazioni e i parametri dei certificati?
Soluzione PKI aziendale/PKI interna: vedere la procedura per generare i certificati.
Azure PowerShell: per la procedura, vedere l'articolo relativo ad Azure PowerShell.
MakeCert: per la procedura, vedere l'articolo relativo a MakeCert.
OpenSSL:
Quando si esportano certificati, assicurarsi di convertire il certificato radice in Base64.
Per il certificato client:
- Quando si crea la chiave privata, specificare una lunghezza di 4096.
- Quando si crea il certificato, per il parametro -extensions specificare usr_cert.
Domande frequenti per l'autenticazione RADIUS
Quanti endpoint client VPN è possibile includere nella configurazione da punto sito?
Dipende dallo SKU del gateway. Per altre informazioni sul numero di connessioni supportate, vedere SKU del gateway.
Quali sistemi operativi client è possibile usare con la connettività da punto a sito?
Sono supportati i sistemi operativi client seguenti:
- Windows Server 2008 R2 (solo a 64 bit)
- Windows 8.1 (a 32 e 64 bit)
- Windows Server 2012 (solo a 64 bit)
- Windows Server 2012 R2 (solo a 64 bit)
- Windows Server 2016 (solo a 64 bit)
- Windows Server 2019 (solo a 64 bit)
- Windows Server 2022 (solo 64 bit)
- Windows 10
- Windows 11
- macOS versione 10.11 o successiva
- Linux (StrongSwan)
- iOS
È possibile attraversare proxy e firewall con la funzionalità Da punto a sito?
Azure supporta tre tipi di opzioni VPN da punto a sito:
SSTP (Secure Socket Tunneling Protocol). SSTP è una soluzione proprietaria Microsoft basata su SSL che può penetrare i firewall perché la porta TCP 443 in uscita usata da SSL viene aperta dalla maggior parte dei firewall.
OpenVPN. OpenVPN è una soluzione basata su SSL che può penetrare i firewall perché la porta TCP 443 in uscita usata da SSL viene aperta dalla maggior parte dei firewall.
VPN IKEv2. La VPN IKEv2 è una soluzione VPN IPsec basata sugli standard che usa le porte UDP 500 e 4500 in uscita e il protocollo IP numero 50. Non sempre queste porte vengono aperte dai firewall ed esiste quindi la possibilità che la VPN IKEv2 non riesca ad attraversare proxy e firewall.
Se si riavvia un computer client configurato per la funzionalità Da punto a sito, la VPN verrà riconnessa automaticamente?
La riconnessione automatica è una funzione del client in uso. Windows supporta la riconnessione automatica configurando la funzionalità client VPN Always On.
La funzionalità da punto a sito supporta DDNS nei client VPN?
DDNS non è attualmente supportato nelle VPN da punto a sito.
È possibile la coesistenza di configurazioni da sito a sito e punto a sito per la stessa rete virtuale?
Sì. Per il modello di distribuzione Resource Manager, è necessario un gateway di tipo VPN RouteBased. Per il modello di distribuzione classica è necessario un gateway dinamico. La configurazione da punto a sito non è supportata per gateway VPN con routing statico o PolicyBased.
È possibile configurare un client da punto a sito per connettersi contemporaneamente a più gateway di rete virtuale?
A seconda del software client VPN usato, potrebbe essere possibile connettersi a più gateway di rete virtuale purché nelle reti virtuali a cui si è connessi non siano presenti né spazi di indirizzi in conflitto tra loro né la rete da cui si connette il client. Anche se il client VPN di Azure supporta molte connessioni VPN, è possibile stabilire una sola connessione alla volta.
È possibile configurare un client da punto a sito per connettersi contempo a più reti virtuali?
Sì, le connessioni dei client da punto a sito a un gateway di rete virtuale distribuito in una rete virtuale con peering con altre reti virtuali possono avere accesso ad altre reti virtuali con peering. I client da punto a sito sono in grado di connettersi alle reti virtuali con peering, purché le reti virtuali con peering usino le funzionalità UseRemoteGateway/AllowGatewayTransit. Per altre informazioni, vedere Informazioni sul routing da punto a sito.
Che velocità effettiva è possibile prevedere usando connessioni da sito a sito o da punto a sito?
È difficile mantenere esattamente la velocità effettiva tramite i tunnel VPN. IPSec e SSTP sono protocolli VPN con un elevato livello di crittografia. La velocità effettiva è limitata inoltre dalla latenza e dalla larghezza di banda tra le sedi locali e Internet. Per un gateway VPN che ha solo connessioni VPN da punto a sito IKEv2, la velocità effettiva totale che è possibile prevedere dipende dallo SKU del gateway. Per altre informazioni sulla velocità effettiva, vedere SKU del gateway.
Per la connettività da punto a sito è possibile usare qualsiasi client VPN software che supporta SSTP e/o IKEv2?
No. È possibile usare solo il client VPN nativo in Windows per SSTP e il client VPN nativo in Mac per IKEv2. È tuttavia possibile usare il client OpenVPN su tutte le piattaforme per connettersi tramite il protocollo OpenVPN. Vedere l'elenco dei sistemi operativi client supportati.
È possibile modificare il tipo di autenticazione per una connessione da punto a sito?
Sì. Nel portale passare alla pagina Gateway VPN - > Configurazione da punto a sito. Per Tipo di autenticazione selezionare i tipi di autenticazione da usare. Dopo aver apportato una modifica a un tipo di autenticazione, i client correnti potrebbero non essere in grado di connettersi fino a quando non viene generato, scaricato e applicato un nuovo profilo di configurazione client VPN a ogni client VPN.
Quando è necessario generare un nuovo pacchetto di configurazione del profilo client VPN?
Quando si apportano modifiche alle impostazioni di configurazione del gateway VPN da sito a sito, ad esempio l'aggiunta di un tipo di tunnel o la modifica di un tipo di autenticazione, è necessario generare un nuovo pacchetto di configurazione del profilo client VPN. Il nuovo pacchetto include le impostazioni aggiornate necessarie ai client VPN per connettersi correttamente al gateway da sito a sito. Dopo aver generato il pacchetto, usare le impostazioni contenute nei file per aggiornare i client VPN.
Azure supporta VPN IKEv2 con Windows?
IKEv2 è supportato in Windows 10 e Server 2016. Per poter usare IKEv2 in determinate versioni di OS, è però necessario installare gli aggiornamenti e impostare in locale un valore della chiave del Registro di sistema. Le versioni del sistema operativo precedenti a Windows 10 non sono supportate e possono usare solo SSTP o il protocollo OpenVPN®.
Nota
Le build del sistema operativo Windows più recenti di Windows 10 versione 1709 e Windows Server 2016 versione 1607 non richiedono questi passaggi.
Per preparare Windows 10 o Server 2016 per IKEv2:
Installare l'aggiornamento in base alla versione del sistema operativo:
Versione sistema operativo Data Numero/collegamento Windows Server 2016
Windows 10 versione 160717 gennaio 2018 KB4057142 Windows 10 versione 1703 17 gennaio 2018 KB4057144 Windows 10 versione 1709 22 marzo 2018 KB4089848 Impostare il valore della chiave del Registro di sistema. Creare o impostare su 1 la chiave REG_DWORD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" del Registro di sistema.
Qual è il limite del selettore di traffico IKEv2 per le connessioni da punto a sito?
Windows 10 versione 2004 (rilasciata a settembre 2021) ha aumentato il limite del selettore di traffico a 255. Le versioni di Windows precedenti a questa hanno un limite di selettore di traffico pari a 25.
Il limite dei selettori di traffico in Windows determina il numero massimo di spazi di indirizzi nella rete virtuale e la somma massima delle reti locali, delle connessioni da rete virtuale a rete virtuale e delle reti virtuali con peering connesse al gateway. I client da punto a sito basati su Windows non riusciranno a connettersi tramite IKEv2 se superano questo limite.
Qual è il limite del selettore di traffico OpenVPN per le connessioni da punto a sito?
Il limite dei selettori di traffico per OpenVPN è di 1000 route.
Cosa accade quando configurano sia SSTP che IKEv2 per le connessioni VPN P2S?
Quando si configurano sia SSTP che IKEv2 in un ambiente misto (costituito da dispositivi Windows e Mac), il client VPN Windows proverà sempre prima ad accedere al tunnel IKEv2, ma eseguirà il fallback a SSTP se la connessione IKEv2 non riesce. MacOSX si connetterà solo tramite IKEv2.
Quando nel gateway sono abilitati sia SSTP che IKEv2, il pool di indirizzi da punto a sito verrà suddiviso in modo statico tra i due, quindi ai client che usano protocolli diversi verranno assegnati indirizzi IP da uno dei due intervalli secondari. Il numero massimo di client SSTP è sempre 128, anche se l'intervallo di indirizzi è maggiore di /24, cosa che determina un numero maggiore di indirizzi disponibili per i client IKEv2. Per intervalli più piccoli, il pool è ugualmente dimezzato. I selettori di traffico usati dal gateway potrebbero non includere il CIDR dell'intervallo di indirizzi da punto a sito, ma i due CIDR di intervallo secondario.
Oltre a Windows e Mac, quali altre piattaforme supporta Azure per VPN P2S?
Per VPN da punto a sito Azure supporta Windows, Mac e Linux.
Si dispone già di un Gateway VPN di Azure distribuito. È possibile attivare RADIUS e/o VPN IKEv2 su di esso?
Sì, se l'SKU del gateway usato supporta RADIUS e/o IKEv2, è possibile abilitare queste funzionalità nei gateway già distribuiti usando PowerShell o il portale di Azure. L'SKU Basic non supporta RADIUS o IKEv2.
Come si rimuove la configurazione di una connessione da punto a sito?
Per rimuovere una configurazione di una connessione da punto a sito nell'interfaccia della riga di comando di Azure e PowerShell, è possibile usare i comandi seguenti:
Azure PowerShell
$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`
$gw.VPNClientConfiguration = $null`
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`
Interfaccia della riga di comando di Azure
az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"
L'autenticazione RADIUS è supportata in tutti gli SKU del gateway VPN di Azure?
L'autenticazione RADIUS è supportata per tutti gli SKU, ad eccezione dell'SKU Basic.
Per gli SKU legacy, l'autenticazione RADIUS è supportata negli SKU Standard e Prestazioni elevate. Non è supportata nell'SKU del gateway Basic.
L'autenticazione RADIUS è supportata per il modello di distribuzione classica?
No. L'autenticazione RADIUS non è supportata per il modello di distribuzione classica.
Qual è il periodo di timeout per le richieste RADIUS inviate al server RADIUS?
Le richieste RADIUS vengono impostate per raggiugere il timeout dopo 30 secondi. I valori di timeout definiti dall'utente non sono attualmente supportati.
I server RADIUS di terze parti sono supportati?
Sì, i server RADIUS di terze parti sono supportati.
Quali sono i requisiti di connettività per assicurarsi che il gateway di Azure possa raggiungere un server RADIUS locale?
È necessaria una connessione VPN da sito a sito al sito locale, con le route corrette configurate.
Il traffico a un server RADIUS locale (dal gateway VPN di Azure) può essere instradato tramite una connessione ExpressRoute?
No. Può essere instradato solo tramite una connessione da sito a sito.
Il numero di connessioni SSTP supportate con l'autenticazione RADIUS è stato modificato? Qual il numero massimo di connessioni SSTP e IKEv2 supportate?
Il numero massimo di connessioni SSTP supportate in un gateway con l'autenticazione RADIUS non è stato modificato. Rimane 128 per le connessioni SSTP, ma dipende dallo SKU del gateway per le connessioni IKEv2. Per altre informazioni sul numero di connessioni supportate, vedere SKU del gateway.
Qual è la differenza tra eseguire l'autenticazione del certificato usando un server RADIUS o usando l'autenticazione del certificato nativo di Azure (caricando un certificato attendibile in Azure)?
Nell'autenticazione del certificato RADIUS la richiesta di autenticazione viene inoltrata a un server RADIUS che gestisce la convalida effettiva del certificato. Questa opzione è utile per l'integrazione con un'infrastruttura di autenticazione del certificato già disponibile tramite RADIUS.
Quando si usa Azure per l'autenticazione del certificato, il gateway VPN di Azure esegue la convalida del certificato. È necessario caricare la chiave pubblica del certificato nel gateway. È anche possibile specificare l'elenco di certificati revocati a cui non deve essere consentito connettersi.
L'autenticazione Radius supporta l'integrazione del server dei criteri di rete (NPS) per l'autorizzazione a più fattori (MFA)?
Se l'autenticazione a più fattori è basata su testo (SMS, codice di verifica dell'app per dispositivi mobili e così via) e richiede all'utente di immettere un codice o un testo nell'interfaccia utente del client VPN, l'autenticazione non riesce e questo non è uno scenario supportato. Vedere Integrare l'autenticazione RADIUS del gateway VPN di Azure con server NPS per l'autenticazione a più fattori
L'autenticazione RADIUS funziona sia con IKEv2 che con SSTP VPN?
Sì, l'autenticazione RADIUS funziona sia con IKEv2 che con SSTP VPN.
L'autenticazione RADIUS funziona con il client OpenVPN?
Per il protocollo OpenVPN l'autenticazione RADIUS è supportata.
Passaggi successivi
Configurare una connessione da sito a sito - Autenticazione di Microsoft Entra
Configurare una connessione da punto a sito usando l'autenticazione RADIUS
Configurare una connessione da punto a sito usando l'autenticazione del certificato nativa di Azure
"OpenVPN" è un marchio di OpenVPN Inc.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per