Scaricare i profili VPN globali e hub per i client VPN utente

  • Articolo

Azure rete WAN virtuale offre due tipi di profili di connessione per i client VPN utente: profili globali e profili hub. Il tipo di profilo scelto dipende dal fatto che si voglia che il client VPN si connetta a un profilo a livello di rete WAN con bilanciamento del carico geografico (profilo globale) o si voglia limitare la connessione del client VPN solo a un determinato hub (profilo hub). Questo articolo illustra come generare file di configurazione del client VPN per entrambi i tipi di profili.

Profili globali

Il profilo globale associato a una configurazione VPN utente punta a un Gestione traffico globale. L'Gestione traffico globale include tutti gli hub VPN utente attivi che usano la configurazione VPN utente. Tuttavia, è possibile scegliere di escludere hub dal Gestione traffico globale, se necessario. Un utente connesso al profilo globale viene indirizzato all'hub più vicino alla posizione geografica dell'utente. Ciò è particolarmente utile se si hanno utenti che viaggiano tra più posizioni di frequente.

Ad esempio, una configurazione VPN utente è associata a due hub diversi per la stessa rete WAN virtuale, una negli Stati Uniti occidentali e una nell'Asia sud-orientale. Se un utente si connette al profilo globale associato alla configurazione VPN utente, si connetterà all'hub di rete WAN virtuale più vicino in base alla propria posizione.

Importante

Se una configurazione VPN da punto a sito usata per un profilo globale è configurata per autenticare gli utenti usando il protocollo RADIUS, assicurarsi che "Usare il server RADIUS remoto/locale" sia attivato per tutti i gateway VPN da punto a sito che usano tale configurazione. Assicurarsi inoltre che il server RADIUS sia configurato per accettare le richieste di autenticazione dagli indirizzi IP proxy RADIUS di tutti i gateway VPN da punto a sito usando questa configurazione VPN.

Scaricare un profilo VPN globale

Per generare e scaricare i file di configurazione del profilo client VPN, seguire questa procedura:

  1. Passare al rete WAN virtuale.

  2. Nel riquadro sinistro selezionare Configurazioni VPN utente.

  3. Nella pagina Configurazioni VPN utente verranno visualizzate tutte le configurazioni VPN utente create per la rete WAN virtuale. Nella colonna Hub verranno visualizzati gli hub associati a ogni configurazione VPN utente. Fare clic su > per espandere e visualizzare i nomi dell'hub.

    Screenshot that shows hubs list expanded.

  4. Nell'esempio seguente vengono visualizzate più righe con hub che usano la stessa configurazione VPN utente. In un profilo globale, quando gli hub usano la stessa configurazione VPN utente, è possibile fare clic su qualsiasi riga dell'hub con configurazione VPN utente desiderata. I file di profilo generati da questa pagina sono allineati alla configurazione VPN utente, non a un particolare hub. Se si vuole limitare gli utenti VPN a connettersi a un solo hub (non si vuole usare un profilo globale), usare invece i passaggi del profilo hub.

    Screenshot that shows selections for downloading a global profile.

    Nell'esempio è stata selezionata la riga con Hub2, ma selezionando Hub3 o Hub1 verranno generati gli stessi file di configurazione del profilo. Tuttavia, se è stata selezionata la riga con Hub6, i file di configurazione del profilo sono diversi perché Hub6 usa una configurazione VPN utente diversa.

    Fare clic su una riga contenente la configurazione VPN utente che si vuole usare. In questo modo viene evidenziata l'intera riga. Fare quindi clic su Download virtual WAN user VPN profile (Scarica profilo VPN utente della rete WAN virtuale).

  5. Nella pagina Download virtual WAN user VPN (Scarica VPN utente della rete WAN virtuale) selezionare EAPTLS e quindi fare clic su Generate and download profile (Genera e scarica profilo). Un pacchetto di profilo (file ZIP) contenente le impostazioni di configurazione del client VPN viene generato e scaricato nel computer. Il contenuto del pacchetto dipende dagli hub e dalle scelte relative all'autenticazione e al tipo di tunnel per la configurazione selezionata.

    Screenshot the authentication type and generate and download profile.

Includere o escludere un hub da un profilo globale

Per impostazione predefinita, ogni hub che usa la stessa configurazione VPN utente è incluso nel profilo VPN globale generato e scaricato. Tuttavia, è possibile scegliere di escludere un hub dal profilo VPN globale. In questo caso, il client VPN non verrà bilanciato per connettersi al gateway dell'hub.

  1. Per verificare se un hub è incluso nel profilo VPN globale, passare alla rete WAN virtuale.

  2. Nella pagina Panoramica selezionare Hub.

  3. Nella pagina Hub fare clic sull'hub.

  4. Nel riquadro sinistro della pagina Hub virtuale selezionare VPN utente (da punto a sito).

  5. Nella pagina VPN utente (da punto a sito) vedere Stato degli allegati del gateway per determinare se questo hub è incluso nel profilo VPN globale. Se lo stato è collegato, viene incluso l'hub. Se lo stato è scollegato, l'hub non è incluso.

    Screenshot that shows the attachment state of a gateway.

  6. Per includere o escludere (collegare o scollegare) l'hub dal profilo VPN globale, selezionare Includi/Escludi gateway dal profilo globale.

  7. Nella pagina Includi/Escludi effettuare una delle opzioni seguenti.

    • Fare clic su Escludi se si vuole rimuovere il gateway dell'hub dal profilo VPN utente globale rete WAN virtuale. Gli utenti che usano il profilo hub potranno comunque connettersi al gateway dell'hub. Gli utenti che usano questo profilo globale non potranno connettersi al gateway dell'hub.

    • Fare clic su Includi se si vuole includere il gateway dell'hub nel profilo VPN utente globale rete WAN virtuale. Gli utenti che usano questo profilo globale potranno connettersi al gateway dell'hub.

Procedure consigliate per il profilo globale

Aggiungere più certificati di convalida server

Questa sezione riguarda le connessioni usando il tipo di tunnel OpenVPN e il client VPN di Azure versione 2.1963.44.0 o successiva.

Quando si configura un gateway da punto a sito dell'hub, Azure assegna un certificato interno al gateway. Questa operazione è diversa dalle informazioni sul certificato radice specificate quando si vuole usare l'autenticazione del certificato come metodo di autenticazione. Il certificato interno assegnato all'hub viene usato per tutti i tipi di autenticazione. Questo valore è rappresentato nei file di configurazione del profilo generati come servervalidation/cert/hash. Il client VPN usa questo valore come parte del processo di connessione.

Se sono presenti più hub in aree geografiche diverse, ogni hub può usare un certificato di convalida del server a livello di Azure diverso. Il profilo globale contiene il valore hash del certificato di convalida server per tutti gli hub. Ciò significa che se il certificato per tale hub non funziona correttamente per qualsiasi motivo, il client avrà comunque il valore hash del certificato di convalida server necessario per gli altri hub.

Importante

La configurazione del client VPN di Azure con il valore hash del certificato di tutti gli hub è necessaria solo se gli hub hanno autorità emittenti radice del server diverse.

Come procedura consigliata, è consigliabile aggiornare il file di configurazione del profilo client VPN per includere il valore hash del certificato di tutti gli hub collegati al profilo globale e quindi configurare il client VPN di Azure usando il file aggiornato.

  1. Generare e scaricare i file di profilo globali. Usare un editor di testo per aprire il file azurevpnconfig.xml .

  2. Dato l'esempio xml seguente, configurare il client VPN di Azure usando il file di configurazione del profilo globale che contiene l'hash del certificato di convalida server per ogni hub.

      </protocolconfig>
  <serverlist>
    <ServerEntry>
      <displayname
        i:nil="true" />
      <fqdn>wan.kycyz81dpw483xnf3fg62v24f.vpn.azure.com</fqdn>
    </ServerEntry>
  </serverlist>
  <servervalidation>
    <cert>
      <hash>A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436</hash>
      <issuer
        i:nil="true" />
    </cert>
    <cert>
      <hash>59470697201baejC4B2D7D66D40C6DD2FB19C5436</hash>
      <issuer
        i:nil="true" />
    </cert>
    <cert>
      <hash>cab20a7f63f00f2bae76202gdfe36db3a03a9cb9</hash>
      <issuer
        i:nil="true" />
    </cert>

Profili hub

Usare questo tipo di profilo quando si vuole che gli utenti VPN possano connettersi solo a un singolo hub specificato. I file generati e scaricati a livello di hub contengono impostazioni diverse rispetto ai file generati e scaricati nel profilo globale a livello di rete WAN.

Scaricare un profilo VPN hub

Per generare e scaricare i file di configurazione del profilo client VPN, seguire questa procedura:

  1. Passare all'hub virtuale.

  2. Nel riquadro sinistro selezionare VPN utente (da punto a sito).

  3. Selezionare Download virtual Hub User VPN profile (Scarica profilo VPN utente hub virtuale).

    Screenshot that shows how to download a hub profile.

  4. Nella pagina di download selezionare EAPTLS, quindi Genera e scarica profilo. Un pacchetto di profilo (file ZIP) contenente le impostazioni di configurazione client viene generato e scaricato nel computer. Il contenuto del pacchetto dipende dall'hub e dalle scelte relative all'autenticazione e al tipo di tunnel per la configurazione.

Passaggi successivi

Per altre informazioni sulle VPN utente, vedere Creare connessioni VPN da punto a sito dell'utente.