Lavoro remoto con Azure Gateway VPN da punto a sito

Nota

Questo articolo descrive come sfruttare Azure Gateway VPN, Azure, rete Microsoft e l'ecosistema partner di Azure per lavorare in remoto e attenuare i problemi di rete riscontrati a causa di una crisi covid-19.

Questo articolo descrive le opzioni disponibili per le organizzazioni per configurare l'accesso remoto per gli utenti o per integrare le proprie soluzioni esistenti con capacità aggiuntiva durante l'epidemia di COVID-19.

La soluzione da punto a sito di Azure è basata sul cloud ed è possibile effettuarne rapidamente il provisioning per soddisfare le richieste, sempre più frequenti, di utenti che devono lavorare da casa. Consente di aumentare le risorse in modo semplice e di disattivarle altrettanto facilmente e rapidamente quando non è più necessaria una maggiore capacità.

Informazioni sulla VPN da punto a sito

Una connessione gateway VPN da punto a sito (P2S) consente di creare una connessione sicura alla rete virtuale da un singolo computer client. Una connessione da punto a sito viene stabilita avviandola dal computer client. Questa soluzione è utile per i telelavoratori che vogliono connettersi alle reti virtuali di Azure o ai data center locali da una posizione remota, ad esempio da casa o da una conferenza. Questo articolo descrive come consentire agli utenti di lavorare in modalità remota in base a vari scenari.

La tabella seguente illustra i sistemi operativi client e le opzioni di autenticazione disponibili. Sarebbe utile selezionare il metodo di autenticazione in base al sistema operativo client già in uso. Ad esempio, selezionare OpenVPN con autenticazione basata su certificato se si dispone di una combinazione di sistemi operativi client che devono connettersi. Si noti anche che la VPN da punto a sito è supportata solo nei gateway VPN basati su route.

Scenario 1: gli utenti devono accedere solo alle risorse in Azure

In questo scenario, gli utenti remoti devono accedere solo alle risorse presenti in Azure.

A livello generale, per consentire agli utenti di connettersi alle risorse di Azure in modo sicuro sono necessari i passaggi seguenti:

1. Creare un gateway di rete virtuale (se non esiste).

2. Configurare la VPN da punto a sito nel gateway.

   • Per l'autenticazione del certificato, seguire questo collegamento.
   • Per OpenVPN, seguire questo collegamento.
   • Per l'autenticazione di Microsoft Entra, seguire questo collegamento.
   • Per la risoluzione dei problemi relativi alle connessioni da punto a sito, seguire questo collegamento.

3. Scaricare e distribuire la configurazione del client VPN.

4. Distribuire i certificati (se è selezionata l'autenticazione del certificato) ai client.

5. Connessione alla VPN di Azure.

Scenario 2: gli utenti devono accedere alle risorse in Azure e/o alle risorse locali

In questo scenario, gli utenti remoti devono accedere alle risorse presenti in Azure e nei data center locali.

A livello generale, per consentire agli utenti di connettersi alle risorse di Azure in modo sicuro sono necessari i passaggi seguenti:

1. Creare un gateway di rete virtuale (se non esiste).
2. Configurare una VPN da punto a sito nel gateway (vedere Scenario 1).
3. Configurare un tunnel da sito a sito nel gateway di rete virtuale di Azure con il protocollo BGP abilitato.
4. Configurare il dispositivo locale per connettersi al gateway di rete virtuale di Azure.
5. Scaricare il profilo da punto a sito dal portale di Azure e distribuirlo ai client

Per informazioni su come configurare un tunnel VPN da sito a sito, vedere questo collegamento.

Domande frequenti per l'autenticazione del certificato di Azure nativo

Quanti endpoint client VPN è possibile avere nella configurazione da punto a sito?

Dipende dallo SKU del gateway. Per altre informazioni sul numero di connessioni supportate, vedere SKU del gateway.

Quali sistemi operativi client è possibile usare con point-to-site?

Sono supportati i sistemi operativi client seguenti:

• Windows Server 2008 R2 (solo a 64 bit)
• Windows 8.1 (a 32 e 64 bit)
• Windows Server 2012 (solo a 64 bit)
• Windows Server 2012 R2 (solo a 64 bit)
• Windows Server 2016 (solo a 64 bit)
• Windows Server 2019 (solo a 64 bit)
• Windows Server 2022 (solo a 64 bit)
• Windows 10
• Windows 11
• macOS versione 10.11 o successiva
• Linux (StrongSwan)
• iOS

È possibile attraversare proxy e firewall usando la funzionalità da punto a sito?

Azure supporta tre tipi di opzioni VPN da punto a sito:

• SSTP (Secure Socket Tunneling Protocol). SSTP è una soluzione proprietaria Microsoft basata su SSL che può penetrare i firewall perché la porta TCP 443 in uscita usata da SSL viene aperta dalla maggior parte dei firewall.

• OpenVPN. OpenVPN è una soluzione basata su SSL che può penetrare i firewall perché la porta TCP 443 in uscita usata da SSL viene aperta dalla maggior parte dei firewall.

• VPN IKEv2. IKEv2 VPN è una soluzione VPN IPsec basata su standard che usa le porte UDP in uscita 500 e 4500 e il protocollo IP n. 50. I firewall non aprono sempre queste porte, quindi è possibile che la VPN IKEv2 non sia in grado di attraversare proxy e firewall.

Se si riavvia un computer client configurato per la connessione da punto a sito, la VPN verrà riconnessa automaticamente?

La riconnessione automatica è una funzione del client in uso. Windows supporta la riconnessione automatica configurando la funzionalità client VPN Always On.

Il servizio DDNS è supportato da punto a sito nei client VPN?

DDNS non è attualmente supportato nelle VPN da punto a sito.

È possibile avere configurazioni da sito a sito e da punto a sito coesistere per la stessa rete virtuale?

Sì. Per il modello di distribuzione Resource Manager, è necessario un gateway di tipo VPN RouteBased. Per il modello di distribuzione classica è necessario un gateway dinamico. Non è supportato da punto a sito per gateway VPN di routing statico o gateway VPN basati su criteri.

È possibile configurare un client da punto a sito per la connessione a più gateway di rete virtuale contemporaneamente?

A seconda del software client VPN usato, è possibile connettersi a più gateway Rete virtuale, purché le reti virtuali connesse non abbiano spazi di indirizzi in conflitto tra di essi o la rete da con il client si connette. Anche se il client VPN di Azure supporta molte connessioni VPN, è possibile stabilire una sola connessione alla volta.

È possibile configurare un client da punto a sito per connettersi contemporaneamente a più reti virtuali?

Sì, le connessioni client da punto a sito a un gateway di rete virtuale distribuito in una rete virtuale con peering con altre reti virtuali possono avere accesso ad altre reti virtuali con peering. I client da punto a sito potranno connettersi alle reti virtuali con peering, purché le reti virtuali con peering usino le funzionalità UseRemoteGateway/AllowGatewayTransit. Per altre informazioni, vedere Informazioni sul routing da punto a sito.

Qual è la velocità effettiva prevista tramite connessioni da sito a sito o da punto a sito?

È difficile mantenere esattamente la velocità effettiva tramite i tunnel VPN. IPSec e SSTP sono protocolli VPN con un elevato livello di crittografia. La velocità effettiva è limitata inoltre dalla latenza e dalla larghezza di banda tra le sedi locali e Internet. Per un Gateway VPN con solo connessioni VPN da punto a sito IKEv2, la velocità effettiva totale prevista dipende dallo SKU del gateway. Per altre informazioni sulla velocità effettiva, vedere SKU del gateway.

È possibile usare qualsiasi client VPN software per il punto a sito che supporta SSTP e/o IKEv2?

No. È possibile usare solo il client VPN nativo in Windows per SSTP e il client VPN nativo in Mac per IKEv2. È tuttavia possibile usare il client OpenVPN su tutte le piattaforme per connettersi tramite il protocollo OpenVPN. Fare riferimento all'elenco dei sistemi operativi client supportati.

È possibile modificare il tipo di autenticazione per una connessione da punto a sito?

Sì. Nel portale passare alla pagina di configurazione del gateway VPN -> Da punto a sito. Per Tipo di autenticazione selezionare i tipi di autenticazione da usare. Si noti che dopo aver apportato una modifica a un tipo di autenticazione, i client correnti potrebbero non essere in grado di connettersi fino a quando non viene generato, scaricato e applicato un nuovo profilo di configurazione client VPN a ogni client VPN.

Azure supporta VPN IKEv2 con Windows?

IKEv2 è supportato in Windows 10 e Server 2016. Tuttavia, per usare IKEv2 in determinate versioni del sistema operativo, è necessario installare gli aggiornamenti e impostare un valore della chiave del Registro di sistema in locale. Le versioni del sistema operativo precedenti a Windows 10 non sono supportate e possono usare solo SSTP o OpenVPN® Protocol.

Nota

Le build del sistema operativo Windows più recenti di Windows 10 versione 1709 e Windows Server 2016 versione 1607 non richiedono questi passaggi.

Per preparare Windows 10 o Server 2016 per IKEv2:

1. Installare l'aggiornamento in base alla versione del sistema operativo:

   Versione sistema operativo	Data	Numero/collegamento
   Windows Server 2016 Windows 10 versione 1607	17 gennaio 2018	KB4057142
   Windows 10 versione 1703	17 gennaio 2018	KB4057144
   Windows 10 versione 1709	22 marzo 2018	KB4089848

2. Impostare il valore della chiave del Registro di sistema. Creare o impostare su 1 la chiave REG_DWORD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" del Registro di sistema.

Qual è il limite del selettore di traffico IKEv2 per le connessioni da punto a sito?

Windows 10 versione 2004 (rilasciata a settembre 2021) ha aumentato il limite del selettore di traffico a 255. Le versioni di Windows precedenti a questa hanno un limite di selettore di traffico pari a 25.

Il limite dei selettori di traffico in Windows determina il numero massimo di spazi di indirizzi nella rete virtuale e la somma massima delle reti locali, delle connessioni da rete virtuale a rete virtuale e delle reti virtuali con peering connesse al gateway. I client da punto a sito basati su Windows non riusciranno a connettersi tramite IKEv2 se superano questo limite.

Cosa accade quando configurano sia SSTP che IKEv2 per le connessioni VPN P2S?

Quando si configurano sia SSTP che IKEv2 in un ambiente misto (costituito da dispositivi Windows e Mac), il client VPN Windows proverà sempre prima il tunnel IKEv2, ma eseguirà il fallback a SSTP se la connessione IKEv2 non riesce. MacOSX si connetterà solo tramite IKEv2.

Quando nel gateway sono abilitati sia SSTP che IKEv2, il pool di indirizzi da punto a sito verrà suddiviso in modo statico tra i due, quindi ai client che usano protocolli diversi verranno assegnati indirizzi IP da uno dei due intervalli secondari. Si noti che la quantità massima di client SSTP è sempre 128 anche se l'intervallo di indirizzi è maggiore di /24, con conseguente maggiore quantità di indirizzi disponibili per i client IKEv2. Per intervalli più piccoli, il pool sarà ugualmente dimezzato. I selettori di traffico usati dal gateway potrebbero non includere il CIDR dell'intervallo di indirizzi da punto a sito, ma i due CIDR di intervallo secondario.

Oltre a Windows e Mac, quali altre piattaforme supporta Azure per VPN P2S?

supporto tecnico di Azure Windows, Mac e Linux per VPN da sito a sito.

Si dispone già di un Gateway VPN di Azure distribuito. È possibile attivare RADIUS e/o VPN IKEv2 su di esso?

Sì, se lo SKU del gateway usato supporta RADIUS e/o IKEv2, è possibile abilitare queste funzionalità nei gateway già distribuiti usando PowerShell o il portale di Azure. Lo SKU Basic non supporta RADIUS o IKEv2.

Come si rimuove la configurazione di una connessione da punto a sito?

Per rimuovere una configurazione di una connessione da punto a sito nell'interfaccia della riga di comando di Azure e PowerShell, è possibile usare i comandi seguenti:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Interfaccia della riga di comando di Azure

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Che cosa è necessario fare se si verifica una mancata corrispondenza del certificato quando si effettua la connessione tramite autenticazione del certificato?

Deselezionare "Verificare l'identità del server convalidando il certificato" oppure aggiungere il nome di dominio completo del server insieme al certificato durante la creazione manuale di un profilo. Per eseguire questa operazione, è possibile eseguire rasphone da un prompt dei comandi e selezionare il profilo dall'elenco a discesa.

Il bypass della convalida dell'identità del server non è consigliato in generale, ma con l'autenticazione del certificato di Azure lo stesso certificato viene usato per la convalida del server nel protocollo di tunneling VPN (IKEv2/SSTP) e nel protocollo EAP. Poiché il certificato del server e il nome di dominio completo sono già convalidati dal protocollo di tunneling VPN, è ridondante convalidare lo stesso in EAP.

È possibile usare la CA radice della PKI interna per generare i certificati per la connettività da punto a sito?

Sì. In precedenza, era possibile utilizzare solo certificati radice autofirmati. È ancora possibile caricare 20 certificati radice.

È possibile usare i certificati di Azure Key Vault?

No.

Quali strumenti è possibile usare per creare certificati?

È possibile usare la propria soluzione di infrastruttura a chiave pubblica aziendale (PKI interna), Azure PowerShell, MakeCert e OpenSSL.

Sono disponibili istruzioni per le impostazioni e i parametri dei certificati?

• Soluzione PKI aziendale/PKI interna: vedere la procedura per generare i certificati.

• Azure PowerShell: per la procedura, vedere l'articolo relativo ad Azure PowerShell.

• MakeCert: per la procedura, vedere l'articolo relativo a MakeCert.

• OpenSSL:

  • Quando si esportano certificati, assicurarsi di convertire il certificato radice in Base64.

  • Per il certificato client:

    • Quando si crea la chiave privata, specificare una lunghezza di 4096.
    • Quando si crea il certificato, per il parametro -extensions specificare usr_cert.

Domande frequenti per l'autenticazione RADIUS

Quanti endpoint client VPN è possibile avere nella configurazione da punto a sito?

Dipende dallo SKU del gateway. Per altre informazioni sul numero di connessioni supportate, vedere SKU del gateway.

Quali sistemi operativi client è possibile usare con point-to-site?

Sono supportati i sistemi operativi client seguenti:

• Windows Server 2008 R2 (solo a 64 bit)
• Windows 8.1 (a 32 e 64 bit)
• Windows Server 2012 (solo a 64 bit)
• Windows Server 2012 R2 (solo a 64 bit)
• Windows Server 2016 (solo a 64 bit)
• Windows Server 2019 (solo a 64 bit)
• Windows Server 2022 (solo a 64 bit)
• Windows 10
• Windows 11
• macOS versione 10.11 o successiva
• Linux (StrongSwan)
• iOS

È possibile attraversare proxy e firewall usando la funzionalità da punto a sito?

Azure supporta tre tipi di opzioni VPN da punto a sito:

• SSTP (Secure Socket Tunneling Protocol). SSTP è una soluzione proprietaria Microsoft basata su SSL che può penetrare i firewall perché la porta TCP 443 in uscita usata da SSL viene aperta dalla maggior parte dei firewall.

• OpenVPN. OpenVPN è una soluzione basata su SSL che può penetrare i firewall perché la porta TCP 443 in uscita usata da SSL viene aperta dalla maggior parte dei firewall.

• VPN IKEv2. IKEv2 VPN è una soluzione VPN IPsec basata su standard che usa le porte UDP in uscita 500 e 4500 e il protocollo IP n. 50. I firewall non aprono sempre queste porte, quindi è possibile che la VPN IKEv2 non sia in grado di attraversare proxy e firewall.

Se si riavvia un computer client configurato per la connessione da punto a sito, la VPN verrà riconnessa automaticamente?

La riconnessione automatica è una funzione del client in uso. Windows supporta la riconnessione automatica configurando la funzionalità client VPN Always On.

Il servizio DDNS è supportato da punto a sito nei client VPN?

DDNS non è attualmente supportato nelle VPN da punto a sito.

È possibile avere configurazioni da sito a sito e da punto a sito coesistere per la stessa rete virtuale?

Sì. Per il modello di distribuzione Resource Manager, è necessario un gateway di tipo VPN RouteBased. Per il modello di distribuzione classica è necessario un gateway dinamico. Non è supportato da punto a sito per gateway VPN di routing statico o gateway VPN basati su criteri.

È possibile configurare un client da punto a sito per la connessione a più gateway di rete virtuale contemporaneamente?

A seconda del software client VPN usato, è possibile connettersi a più gateway Rete virtuale, purché le reti virtuali connesse non abbiano spazi di indirizzi in conflitto tra di essi o la rete da con il client si connette. Anche se il client VPN di Azure supporta molte connessioni VPN, è possibile stabilire una sola connessione alla volta.

È possibile configurare un client da punto a sito per connettersi contemporaneamente a più reti virtuali?

Sì, le connessioni client da punto a sito a un gateway di rete virtuale distribuito in una rete virtuale con peering con altre reti virtuali possono avere accesso ad altre reti virtuali con peering. I client da punto a sito potranno connettersi alle reti virtuali con peering, purché le reti virtuali con peering usino le funzionalità UseRemoteGateway/AllowGatewayTransit. Per altre informazioni, vedere Informazioni sul routing da punto a sito.

Qual è la velocità effettiva prevista tramite connessioni da sito a sito o da punto a sito?

È difficile mantenere esattamente la velocità effettiva tramite i tunnel VPN. IPSec e SSTP sono protocolli VPN con un elevato livello di crittografia. La velocità effettiva è limitata inoltre dalla latenza e dalla larghezza di banda tra le sedi locali e Internet. Per un Gateway VPN con solo connessioni VPN da punto a sito IKEv2, la velocità effettiva totale prevista dipende dallo SKU del gateway. Per altre informazioni sulla velocità effettiva, vedere SKU del gateway.

È possibile usare qualsiasi client VPN software per il punto a sito che supporta SSTP e/o IKEv2?

No. È possibile usare solo il client VPN nativo in Windows per SSTP e il client VPN nativo in Mac per IKEv2. È tuttavia possibile usare il client OpenVPN su tutte le piattaforme per connettersi tramite il protocollo OpenVPN. Fare riferimento all'elenco dei sistemi operativi client supportati.

È possibile modificare il tipo di autenticazione per una connessione da punto a sito?

Sì. Nel portale passare alla pagina di configurazione del gateway VPN -> Da punto a sito. Per Tipo di autenticazione selezionare i tipi di autenticazione da usare. Si noti che dopo aver apportato una modifica a un tipo di autenticazione, i client correnti potrebbero non essere in grado di connettersi fino a quando non viene generato, scaricato e applicato un nuovo profilo di configurazione client VPN a ogni client VPN.

Azure supporta VPN IKEv2 con Windows?

IKEv2 è supportato in Windows 10 e Server 2016. Tuttavia, per usare IKEv2 in determinate versioni del sistema operativo, è necessario installare gli aggiornamenti e impostare un valore della chiave del Registro di sistema in locale. Le versioni del sistema operativo precedenti a Windows 10 non sono supportate e possono usare solo SSTP o OpenVPN® Protocol.

Nota

Le build del sistema operativo Windows più recenti di Windows 10 versione 1709 e Windows Server 2016 versione 1607 non richiedono questi passaggi.

Per preparare Windows 10 o Server 2016 per IKEv2:

1. Installare l'aggiornamento in base alla versione del sistema operativo:

   Versione sistema operativo	Data	Numero/collegamento
   Windows Server 2016 Windows 10 versione 1607	17 gennaio 2018	KB4057142
   Windows 10 versione 1703	17 gennaio 2018	KB4057144
   Windows 10 versione 1709	22 marzo 2018	KB4089848

2. Impostare il valore della chiave del Registro di sistema. Creare o impostare su 1 la chiave REG_DWORD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" del Registro di sistema.

Qual è il limite del selettore di traffico IKEv2 per le connessioni da punto a sito?

Windows 10 versione 2004 (rilasciata a settembre 2021) ha aumentato il limite del selettore di traffico a 255. Le versioni di Windows precedenti a questa hanno un limite di selettore di traffico pari a 25.

Il limite dei selettori di traffico in Windows determina il numero massimo di spazi di indirizzi nella rete virtuale e la somma massima delle reti locali, delle connessioni da rete virtuale a rete virtuale e delle reti virtuali con peering connesse al gateway. I client da punto a sito basati su Windows non riusciranno a connettersi tramite IKEv2 se superano questo limite.

Cosa accade quando configurano sia SSTP che IKEv2 per le connessioni VPN P2S?

Quando si configurano sia SSTP che IKEv2 in un ambiente misto (costituito da dispositivi Windows e Mac), il client VPN Windows proverà sempre prima il tunnel IKEv2, ma eseguirà il fallback a SSTP se la connessione IKEv2 non riesce. MacOSX si connetterà solo tramite IKEv2.

Quando nel gateway sono abilitati sia SSTP che IKEv2, il pool di indirizzi da punto a sito verrà suddiviso in modo statico tra i due, quindi ai client che usano protocolli diversi verranno assegnati indirizzi IP da uno dei due intervalli secondari. Si noti che la quantità massima di client SSTP è sempre 128 anche se l'intervallo di indirizzi è maggiore di /24, con conseguente maggiore quantità di indirizzi disponibili per i client IKEv2. Per intervalli più piccoli, il pool sarà ugualmente dimezzato. I selettori di traffico usati dal gateway potrebbero non includere il CIDR dell'intervallo di indirizzi da punto a sito, ma i due CIDR di intervallo secondario.

Oltre a Windows e Mac, quali altre piattaforme supporta Azure per VPN P2S?

supporto tecnico di Azure Windows, Mac e Linux per VPN da sito a sito.

Si dispone già di un Gateway VPN di Azure distribuito. È possibile attivare RADIUS e/o VPN IKEv2 su di esso?

Sì, se lo SKU del gateway usato supporta RADIUS e/o IKEv2, è possibile abilitare queste funzionalità nei gateway già distribuiti usando PowerShell o il portale di Azure. Lo SKU Basic non supporta RADIUS o IKEv2.

Come si rimuove la configurazione di una connessione da punto a sito?

Per rimuovere una configurazione di una connessione da punto a sito nell'interfaccia della riga di comando di Azure e PowerShell, è possibile usare i comandi seguenti:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Interfaccia della riga di comando di Azure

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

L'autenticazione RADIUS è supportata in tutti gli SKU del gateway VPN di Azure?

L'autenticazione RADIUS è supportata per tutti gli SKU, ad eccezione dello SKU Basic.

Per gli SKU legacy, l'autenticazione RADIUS è supportata in SKU Standard e a prestazioni elevate. Non è supportato nello SKU del gateway Basic.

L'autenticazione RADIUS è supportata per il modello di distribuzione classica?

No. L'autenticazione RADIUS non è supportata per il modello di distribuzione classica.

Qual è il periodo di timeout per le richieste RADIUS inviate al server RADIUS?

Le richieste RADIUS vengono impostate su timeout dopo 30 secondi. I valori di timeout definiti dall'utente non sono attualmente supportati.

I server RADIUS di terze parti sono supportati?

Sì, i server RADIUS di terze parti sono supportati.

Quali sono i requisiti di connettività per assicurarsi che il gateway di Azure possa raggiungere un server RADIUS locale?

È necessaria una connessione VPN da sito a sito al sito locale, con le route corrette configurate.

Il traffico a un server RADIUS locale (dal gateway VPN di Azure) può essere instradato tramite una connessione ExpressRoute?

No. Può essere instradato solo tramite una connessione da sito a sito.

Il numero di connessioni SSTP supportate con l'autenticazione RADIUS è stato modificato? Qual il numero massimo di connessioni SSTP e IKEv2 supportate?

Non sono state apportate modifiche al numero massimo di connessioni SSTP supportate in un gateway con l'autenticazione RADIUS. Rimane 128 per le connessioni SSTP, ma dipende dallo SKU del gateway per le connessioni IKEv2. Per altre informazioni sul numero di connessioni supportate, vedere SKU del gateway.

Qual è la differenza tra l'autenticazione del certificato usando un server RADIUS e l'uso dell'autenticazione del certificato nativo di Azure (caricando un certificato attendibile in Azure)?

Nell'autenticazione del certificato RADIUS la richiesta di autenticazione viene inoltrata a un server RADIUS che gestisce la convalida effettiva del certificato. Questa opzione è utile per l'integrazione con un'infrastruttura di autenticazione del certificato già disponibile tramite RADIUS.

Quando si usa Azure per l'autenticazione del certificato, il gateway VPN di Azure esegue la convalida del certificato. È necessario caricare la chiave pubblica del certificato nel gateway. È anche possibile specificare l'elenco di certificati revocati a cui non deve essere consentito connettersi.

L'autenticazione RADIUS funziona sia con IKEv2 che con SSTP VPN?

Sì, l'autenticazione RADIUS funziona sia con IKEv2 che con SSTP VPN.

L'autenticazione RADIUS funziona con il client OpenVPN?

L'autenticazione RADIUS è supportata per il protocollo OpenVPN.

Passaggi successivi

• Configurare una connessione da sito a sito - Autenticazione di Microsoft Entra

• Configurare una connessione da punto a sito usando l'autenticazione RADIUS

• Configurare una connessione da punto a sito usando l'autenticazione del certificato nativa di Azure

"OpenVPN" è un marchio di OpenVPN Inc.