Informazioni sulle impostazioni di configurazione del gateway VPN
L'architettura di connessione al gateway VPN si basa sulla configurazione di più risorse, ognuna delle quali contiene impostazioni configurabili. Le sezioni di questo articolo descrivono le risorse e le impostazioni correlate a un gateway VPN per una rete virtuale creata nel modello di distribuzione Resource Manager. È possibile trovare descrizioni e diagrammi di topologia per ogni soluzione di connessione nell'articolo Gateway VPN topologia e progettazione.
I valori di questo articolo si applicano in modo specifico ai gateway VPN (gateway di rete virtuale che usano la vpn -GatewayType). Per informazioni sui tipi di gateway seguenti, vedere gli articoli seguenti:
- Per i valori applicabili a -GatewayType 'ExpressRoute', vedere Gateway di rete virtuale per ExpressRoute.
- Per i gateway con ridondanza della zona, vedere le informazioni sui gateway con ridondanza della zona.
- Per i gateway attivi, vedere Informazioni sulla connettività a disponibilità elevata.
- Per rete WAN virtuale gateway, vedere Informazioni sulle rete WAN virtuale.
Gateway e tipi di gateway
Un gateway di rete virtuale è costituito da due o più macchine virtuali gestite da Azure configurate e distribuite automaticamente in una subnet specifica creata denominata subnet del gateway. Le macchine virtuali di un gateway contengono tabelle di routing ed eseguono servizi gateway specifici.
Quando si crea un gateway di rete virtuale, le macchine virtuali del gateway vengono distribuite automaticamente nella subnet del gateway (sempre denominata GatwaySubnet) e configurate con le impostazioni specificate. Il completamento di questo processo può richiedere almeno 45 minuti, a seconda dello SKU del gateway selezionato.
Una delle impostazioni specificate durante la creazione di un gateway di rete virtuale è il tipo di gateway. Il tipo di gateway determina il modo in cui viene usato il gateway di rete virtuale e le azioni eseguite dal gateway. In una rete virtuale possono coesistere due gateway di rete virtuale, un gateway VPN e un gateway ExpressRoute. Il tipo di gateway 'Vpn' specifica che il tipo di gateway di rete virtuale creato è un gateway VPN. Questo lo distingue da un gateway ExpressRoute, che usa un tipo di gateway diverso.
Quando si crea un gateway di rete virtuale, è necessario assicurarsi che il tipo di gateway sia corretto per la configurazione. I valori disponibili per GatewayType sono:
- VPN
- ExpressRoute
Un gateway VPN richiede il valore -GatewayTypeVpn per.
Esempio:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
SKU e prestazioni del gateway
Vedere l'articolo Informazioni sugli SKU del gateway per informazioni aggiornate sugli SKU, sulle prestazioni e sulle funzionalità supportate del gateway.
Tipi di VPN
supporto tecnico di Azure due tipi di VPN diversi per i gateway VPN: basati su criteri e basati su route. I gateway VPN basati su route sono basati su una piattaforma diversa rispetto ai gateway VPN basati su criteri. Ciò comporta diverse specifiche del gateway. Nella maggior parte dei casi si creerà un gateway VPN basato su route.
In precedenza, gli SKU del gateway meno recenti non supportano IKEv1 per i gateway basati su route. Ora, la maggior parte degli SKU del gateway corrente supporta sia IKEv1 che IKEv2. A partire dal 1° ottobre 2023, non è possibile creare un gateway VPN basato su criteri tramite il portale di Azure, sono disponibili solo i gateway basati su route. Se si vuole creare un gateway basato su criteri, usare PowerShell o l'interfaccia della riga di comando.
Se si dispone già di un gateway basato su criteri, non è necessario modificare il gateway in base alla route, a meno che non si voglia usare una configurazione che richiede un gateway basato su route, ad esempio da punto a sito. Non è possibile convertire un gateway basato su criteri in base alle route. È necessario eliminare il gateway esistente e quindi creare un nuovo gateway come basato su route.
| Tipo di gateway VPN | SKU del gateway | Versioni di IKE supportate |
|---|---|---|
| Gateway basato su criteri | Di base | IKEv1 |
| Gateway basato su route | Di base | IKEv2 |
| Gateway basato su route | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 e IKEv2 |
| Gateway basato su route | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 e IKEv2 |
Tipi di connessioni
Nel modello di distribuzione Resource Manager ogni configurazione richiede un tipo di connessione gateway di rete virtuale specifico. I valori di PowerShell per Resource Manager disponibili per -ConnectionType sono:
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
L'esempio PowerShell seguente crea una connessione S2S che richiede il tipo di connessione IPsec.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'
Modalità di connessione
La proprietà Connessione mode si applica solo ai gateway VPN basati su route che usano connessioni IKEv2. Connessione modalità di avvio della connessione definiscono la direzione di avvio della connessione e si applicano solo alla definizione iniziale della connessione IKE. Qualsiasi parte può avviare richiavi e altri messaggi. InitiatorOnly indica che la connessione deve essere avviata da Azure. ResponderOnly indica che la connessione deve essere avviata dal dispositivo locale. Il comportamento predefinito consiste nell'accettare e comporre qualsiasi connessione.
Subnet gateway
Prima di creare un gateway VPN, è necessario creare una subnet del gateway. La subnet del gateway contiene gli indirizzi IP usati dalle VM e dai servizi del gateway di rete virtuale. Quando si crea il gateway di rete virtuale, le VM del gateway vengono distribuite nella subnet del gateway e configurate con le impostazioni del gateway VPN necessarie. Non distribuire mai altre macchine virtuali (ad esempio, più macchine virtuali) nella subnet del gateway. Per poter funzionare correttamente, la subnet del gateway deve essere denominata "GatewaySubnet". La denominazione della subnet del gateway "GatewaySubnet" comunica ad Azure che si tratta della subnet in cui deve distribuire le macchine virtuali e i servizi del gateway di rete virtuale.
Quando si crea la subnet del gateway, si specifica il numero di indirizzi IP inclusi nella subnet. Gli indirizzi IP inclusi nella subnet del gateway sono allocati alle VM del gateway e ai servizi del gateway. Alcune configurazioni richiedono più indirizzi IP di altre.
Quando si pianificano le dimensioni della subnet del gateway, vedere la documentazione per la configurazione che si intende creare. La configurazione per la coesistenza di gateway ExpressRoute/VPN richiede una subnet del gateway di dimensioni maggiori di quelle della maggior parte delle altre configurazioni. Anche se è possibile creare una subnet del gateway di dimensioni pari a /29 (applicabile solo allo SKU Basic), tutti gli altri SKU richiedono una subnet del gateway di dimensioni /27 o superiori (/27, /26, /25 e così via). Potrebbe essere necessario creare una subnet del gateway di dimensioni superiori a /27 in modo che la subnet disponga di indirizzi IP sufficienti per supportare le possibili configurazioni future.
L'esempio seguente di PowerShell Resource Manager illustra una subnet del gateway denominata GatewaySubnet. La notazione CIDR specifica /27. Questa dimensione ammette un numero di indirizzi IP sufficiente per la maggior parte delle configurazioni attualmente esistenti.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Considerazioni:
Le route definite dall'utente con destinazione 0.0.0.0/0 e gruppi di sicurezza di rete in GatewaySubnet non sono supportate. La creazione dei gateway con questa configurazione viene bloccata. Per il corretto funzionamento è necessario che i gateway possano accedere ai controller di gestione. Per assicurare la disponibilità del gateway, l'opzione Propagazione route BGP deve essere impostata su "Abilitato" in GatewaySubnet. Se la propagazione della route BGP è impostata su disabilitata, il gateway non funzionerà.
La diagnostica, il percorso dati e il percorso di controllo possono essere interessati se una route definita dall'utente si sovrappone all'intervallo di subnet del gateway o all'intervallo ip pubblico del gateway.
Gateway di rete locali
Un gateway di rete locale è diverso da un gateway di rete virtuale. Quando si usa un'architettura da sito a sito del gateway VPN, il gateway di rete locale rappresenta in genere la rete locale e il dispositivo VPN corrispondente. Nel modello di distribuzione classica il gateway di rete locale viene definito sito locale.
Quando si configura un gateway di rete locale, si specifica il nome, l'indirizzo IP pubblico o il nome di dominio completo (FQDN) del dispositivo VPN locale e i prefissi di indirizzo che si trovano nel percorso locale. Azure esamina i prefissi degli indirizzi di destinazione per il traffico di rete, consulta la configurazione specificata per il gateway di rete locale e indirizza i pacchetti di conseguenza. Se si usa Border Gateway Protocol (BGP) nel dispositivo VPN, si specifica l'indirizzo IP peer BGP del dispositivo VPN e il numero di sistema autonomo (ASN) della rete locale. È anche possibile specificare i gateway di rete locale per le configurazioni da rete virtuale a rete virtuale che usano una connessione di gateway VPN.
L'esempio seguente di PowerShell consente di creare un nuovo gateway di rete locale:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Talvolta è necessario modificare le impostazioni di gateway di rete locale. Ad esempio, quando si aggiunge o si modifica l'intervallo di indirizzi oppure se viene modificato l'indirizzo IP del dispositivo VPN. Per altre informazioni, vedere Modificare le impostazioni del gateway di rete locale.
API REST, cmdlet di PowerShell e interfaccia della riga di comando
Per le risorse tecniche e requisiti di sintassi specifici quando si usano LE API REST, i cmdlet di PowerShell o l'interfaccia della riga di comando di Azure per le configurazioni di Gateway VPN, vedere le pagine seguenti:
| Classico | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
| Non supportato | Interfaccia della riga di comando di Azure |
Passaggi successivi
Per altre informazioni sulle configurazioni delle connessioni disponibili, vedere Informazioni sul gateway VPN.