Configurare una connessione VPN da punto a sito a una rete virtuale usando più tipi di autenticazione: portale di Azure

  • Articolo

Questo articolo illustra come connettere in modo sicuro singoli client che eseguono Windows, Linux o macOS a una rete virtuale di Azure. Le connessioni VPN da punto a sito sono utili quando si vuole connettersi alla rete virtuale da una posizione remota, ad esempio quando si esegue il telelavoro da casa o una conferenza. È anche possibile usare una VPN da punto a sito al posto di una VPN da sito a sito quando solo pochi client devono connettersi a una rete virtuale. Le connessioni da punto a sito non richiedono un dispositivo VPN o un indirizzo IP pubblico. La modalità da punto a sito crea la connessione VPN tramite SSTP (Secure Sockets Tunneling Protocol) o IKEv2. Per altre informazioni sulla VPN da punto a sito, vedere Informazioni sulla VPN da punto a sito.

Connect from a computer to an Azure VNet - point-to-site connection diagram

Per altre informazioni sulla VPN da punto a sito, vedere Informazioni sulla VPN da punto a sito. Per creare questa configurazione usando Azure PowerShell, vedere Configurare una VPN da punto a sito con Azure PowerShell.

Prerequisiti

Verificare di possedere una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, è possibile attivare i vantaggi per i sottoscrittori di MSDN oppure iscriversi per ottenere un account gratuito.

Più tipi di autenticazione nello stesso gateway VPN sono supportati solo con il tipo di tunnel OpenVPN.

Valori di esempio

È possibile usare i valori seguenti per creare un ambiente di test o fare riferimento a questi valori per comprendere meglio gli esempi di questo articolo:

  • Nome della rete virtuale: VNet1
  • Spazio indirizzi: 10.1.0.0/16
    Per questo esempio, viene usato un solo spazio indirizzi. È possibile avere più di uno spazio indirizzi per la rete virtuale.
  • Nome subnet: FrontEnd
  • Intervallo di indirizzi subnet: 10.1.0.0/24
  • Sottoscrizione: se si hanno più sottoscrizioni, verificare di usare quella corretta.
  • Gruppo di risorse: TestRG1
  • Località: Stati Uniti orientali
  • GatewaySubnet: 10.1.255.0/27
  • SKU: VpnGw2
  • Generazione: Generazione 2
  • Tipo di gateway: VPN
  • Tipo VPN: Basato su route
  • Nome indirizzo IP pubblico: VNet1GWpip
  • Tipo di connessione: Da punto a sito
  • Pool di indirizzi client: 172.16.201.0/24
    I client VPN che si connettono alla rete virtuale usando questa connessione da punto a sito ricevono un indirizzo IP dal pool di indirizzi client.

Creare una rete virtuale

Prima di iniziare, verificare di possedere una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, è possibile attivare i vantaggi per i sottoscrittori di MSDN oppure iscriversi per ottenere un account gratuito.

Nota

Quando si usa una rete virtuale come parte di un'architettura cross-premise, assicurarsi di coordinarsi con l'amministratore di rete locale per ritagliare un intervallo di indirizzi IP che è possibile usare in modo specifico per questa rete virtuale. Se su entrambi i lati della connessione VPN è presente un intervallo di indirizzi duplicato, il traffico verrà indirizzato in modo imprevisto. Inoltre, se si vuole connettere questa rete virtuale a un'altra rete virtuale, lo spazio indirizzi non può sovrapporsi all'altra rete virtuale. Pianificare la configurazione di rete di conseguenza.

  1. Accedere al portale di Azure.

  2. In Cerca risorse, servizio e documentazione (G+/) nella parte superiore della pagina del portale immettere la rete virtuale. Selezionare Rete virtuale nei risultati della ricerca del Marketplace per aprire la pagina Rete virtuale.

  3. Nella pagina Rete virtuale selezionare Crea per aprire la pagina Crea rete virtuale.

  4. Nella scheda Informazioni di base configurare le impostazioni della rete virtuale per Dettagli progetto e Dettagli istanza. Quando vengono convalidati i valori immessi, viene visualizzato un segno di spunta verde. È possibile modificare i valori visualizzati nell'esempio in base alle impostazioni necessarie.

    Screenshot that shows the Basics tab.

    • Sottoscrizione: verificare che la sottoscrizione elencata sia corretta. È possibile modificare le sottoscrizioni usando la casella di riepilogo a discesa.
    • Gruppo di risorse: selezionare un gruppo di risorse esistente o selezionare Crea nuovo per crearne uno nuovo. Per altre informazioni sui gruppi di risorse, vedere Panoramica di Azure Resource Manager.
    • Nome: immettere un nome per la rete virtuale.
    • Area: selezionare il percorso per la rete virtuale. Il percorso determina dove si trovano le risorse distribuite in questa rete virtuale.

  5. Selezionare Avanti o Sicurezza per passare alla scheda Sicurezza. Per questo esercizio, lasciare i valori predefiniti per tutti i servizi in questa pagina.

  6. Selezionare Indirizzi IP per passare alla scheda Indirizzi IP. Nella scheda Indirizzi IP configurare le impostazioni.

    • Spazio indirizzi IPv4: per impostazione predefinita, viene creato automaticamente uno spazio indirizzi. È possibile selezionare lo spazio indirizzi e modificarlo in modo da riflettere i propri valori. È anche possibile aggiungere uno spazio indirizzi diverso e rimuovere l'impostazione predefinita creata automaticamente. Ad esempio, è possibile specificare l'indirizzo iniziale come 10.1.0.0 e specificare le dimensioni dello spazio degli indirizzi come /16. Selezionare quindi Aggiungi per aggiungere tale spazio indirizzi.

    • + Aggiungi subnet: se si usa lo spazio indirizzi predefinito, viene creata automaticamente una subnet predefinita. Se si modifica lo spazio indirizzi, aggiungere una nuova subnet all'interno di tale spazio indirizzi. Selezionare + Aggiungi subnet per aprire la finestra Aggiungi subnet. Configurare le impostazioni seguenti e quindi selezionare Aggiungi nella parte inferiore della pagina per aggiungere i valori.

      • Nome subnet: un esempio è FrontEnd.
      • Intervallo di indirizzi subnet: intervallo di indirizzi per questa subnet. Gli esempi sono 10.1.0.0 e /24.

  7. Esaminare la pagina Indirizzi IP e rimuovere eventuali spazi di indirizzi o subnet non necessari.

  8. Selezionare Rivedi e crea per convalidare le impostazioni della rete virtuale.

  9. Dopo aver convalidato le impostazioni, selezionare Crea per creare la rete virtuale.

Gateway di rete virtuale

Questo passaggio illustra come creare il gateway di rete virtuale per la rete virtuale. La creazione di un gateway spesso richiede anche più di 45 minuti di tempo a seconda dello SKU gateway selezionato.

Nota

Lo SKU del gateway Basic non supporta il tipo di tunnel OpenVPN.

Il gateway di rete virtuale richiede una subnet specifica denominata GatewaySubnet. La subnet del gateway fa parte dell'intervallo di indirizzi IP per la rete virtuale e contiene gli indirizzi IP usati dalle risorse e dai servizi del gateway di rete virtuale.

Quando si crea la subnet del gateway, si specifica il numero di indirizzi IP inclusi nella subnet. Il numero di indirizzi IP necessari dipende alla configurazione di gateway VPN che si vuole creare. Alcune configurazioni richiedono più indirizzi IP di altre. È consigliabile specificare /27 o superiore (/26, /25 e così via) per la subnet del gateway.

Se viene visualizzato un errore che specifica che lo spazio indirizzi si sovrappone a una subnet o che la subnet non è contenuta nello spazio indirizzi per la rete virtuale, controllare l'intervallo di indirizzi della rete virtuale. Potrebbe non essere disponibile un numero sufficiente di indirizzi IP nell'intervallo di indirizzi creato per la rete virtuale. Ad esempio, se la subnet predefinita include l'intero intervallo di indirizzi, non sono stati lasciati indirizzi IP per creare più subnet. È possibile modificare le subnet all'interno dello spazio indirizzi esistente per liberare gli indirizzi IP o specificare un altro intervallo di indirizzi e creare la subnet del gateway.

  1. In Cerca risorse, servizi e documentazione (G+/) immettere il gateway di rete virtuale. Individuare Gateway di rete virtuale nei risultati della ricerca del Marketplace e selezionarlo per aprire la pagina Crea gateway di rete virtuale.

    Screenshot that shows the Search field.

  2. Nella scheda Informazioni di base immettere i valori per Dettagli progetto e Dettagli istanza.

    Screenshot that shows the Instance fields.

    • Sottoscrizione: selezionare la sottoscrizione da usare nell'elenco a discesa.

    • Gruppo di risorse: questa impostazione viene compilata automaticamente quando si seleziona la rete virtuale in questa pagina.

    • Nome: assegnare un nome al gateway. La denominazione del gateway non equivale alla denominazione di una subnet del gateway. ma il nome dell'oggetto gateway da creare.

    • Area: selezionare l'area in cui si vuole creare questa risorsa. L'area del gateway deve essere uguale a quella della rete virtuale.

    • Tipo di gateway: selezionare VPN. I gateway VPN usano il gateway di rete virtuale di tipo VPN.

    • SKU: nell'elenco a discesa selezionare lo SKU del gateway che supporta le funzionalità da usare. Vedere SKU del gateway. Nel portale gli SKU disponibili nell'elenco a discesa dipendono dall'opzione VPN type selezionata. Lo SKU Basic può essere configurato solo tramite l'interfaccia della riga di comando di Azure o PowerShell. Non è possibile configurare lo SKU Basic nel portale di Azure.

    • Generazione: selezionare la generazione da usare. È consigliabile usare uno SKU Generation2. Per altre informazioni, vedere SKU del gateway.

    • Rete virtuale: dall'elenco a discesa selezionare la rete virtuale a cui si vuole aggiungere il gateway. Se non è possibile visualizzare la rete virtuale per cui si vuole creare un gateway, assicurarsi di aver selezionato la sottoscrizione e l'area corrette nelle impostazioni precedenti.

    • Intervallo di indirizzi della subnet del gateway o Subnet: la subnet del gateway è necessaria per creare un gateway VPN.

      A questo punto, questo campo presenta un paio di comportamenti diversi, a seconda dello spazio degli indirizzi della rete virtuale e se è già stata creata una subnet denominata GatewaySubnet per la rete virtuale.

      Se non si ha una subnet del gateway e non viene visualizzata l'opzione per crearne una in questa pagina, tornare alla rete virtuale e creare la subnet del gateway. Tornare quindi a questa pagina e configurare il gateway VPN.

  1. Specificare i valori per Indirizzo IP pubblico. Queste impostazioni specificano l'oggetto indirizzo IP pubblico associato al gateway VPN. L'indirizzo IP pubblico viene assegnato a questo oggetto quando viene creato il gateway VPN. L'unica volta che l'indirizzo IP pubblico primario cambia è quando il gateway viene eliminato e ricreato. Non viene modificato in caso di ridimensionamento, reimpostazione o altre manutenzioni/aggiornamenti del gateway VPN.

    Screenshot that shows the Public IP address field.

    • Tipo di indirizzo IP pubblico: per questo esercizio, se è possibile scegliere il tipo di indirizzo, selezionare Standard.
    • Indirizzo IP pubblico: lasciare selezionata l'opzione Crea nuovo .
    • Nome indirizzo IP pubblico: nella casella di testo immettere un nome per l'istanza dell'indirizzo IP pubblico.
    • SKU indirizzo IP pubblico: l'impostazione è selezionata automaticamente.
    • Assegnazione: l'assegnazione viene in genere selezionata automaticamente e può essere dinamica o statica.
    • Abilita la modalità attiva-attiva: selezionare Disabilitato. Abilitare questa impostazione solo se si sta creando una configurazione del gateway attivo-attivo.
    • Configura BGP: selezionare Disabilitato, a meno che la configurazione non richieda specificamente questa impostazione. Se è necessaria questa impostazione, l'ASN predefinito è 65515, anche se questo valore può essere modificato.

  2. Selezionare Rivedi e crea per eseguire la convalida.

  3. Al termine della convalida, selezionare Crea per distribuire il gateway VPN.

È possibile visualizzare lo stato della distribuzione nella pagina Panoramica per il gateway. Un gateway può richiedere spesso più di 45 minuti per creare e distribuire completamente. Dopo la creazione del gateway, è possibile visualizzare l'indirizzo IP assegnato esaminando la rete virtuale nel portale. Il gateway viene visualizzato come un dispositivo connesso.

Importante

Quando si lavora con le subnet del gateway, evitare di associare un gruppo di sicurezza di rete (NSG) alla subnet del gateway. L'associazione di un gruppo di sicurezza di rete a questa subnet potrebbe causare l'arresto del gateway di rete virtuale (VPN ed ExpressRoute) come previsto. Per altre informazioni sui gruppi di sicurezza di rete, vedere Che cos'è un gruppo di sicurezza di rete?.

Pool di indirizzi client

Il pool di indirizzi client è un intervallo di indirizzi IP privati specificati dall'utente. I client che si connettono tramite una VPN da punto a sito ricevono dinamicamente un indirizzo IP da questo intervallo. Usare un intervallo di indirizzi IP privati che non si sovrapponga con la posizione locale da cui viene effettuata la connessione o con la rete virtuale a cui ci si vuole connettere. Se si configurano più protocolli e SSTP è uno dei protocolli, il pool di indirizzi configurato viene suddiviso equamente tra i protocolli configurati.

  1. Dopo avere creato il gateway di rete virtuale, andare alla sezione Impostazioni della pagina della rete virtuale. In Impostazioni selezionare Configurazione da punto a sito. Selezionare Configura ora per aprire la pagina di configurazione.

    Screenshot of point-to-site configuration page.

  2. Nella pagina configurazione da punto a sito è possibile configurare un'ampia gamma di impostazioni. Nella casella Pool di indirizzi aggiungere l'intervallo di indirizzi IP privato da usare. I client VPN ricevono dinamicamente un indirizzo IP dall'intervallo specificato. La subnet mask minima è a 29 bit per la configurazione attiva/passiva e a 28 bit per la configurazione attiva/attiva.

    Screenshot of client address pool.

  3. Passare alla sezione successiva per configurare i tipi di autenticazione e tunnel.

Autenticazione e tipi di tunnel

In questa sezione viene configurato il tipo di autenticazione e il tipo di tunnel. Nella pagina configurazione da punto a sito, se non viene visualizzato tipo di tunnel o tipo di autenticazione, il gateway usa lo SKU Basic. Lo SKU Basic non supporta l'autenticazione IKEv2 o RADIUS. Se si vogliono usare queste impostazioni, è necessario eliminare e ricreare il gateway usando uno SKU del gateway diverso.

Importante

Il portale di Azure è in corso di aggiornamento dei campi di Azure Active Directory a Entra. Se viene visualizzato microsoft Entra ID a cui si fa riferimento e non vengono ancora visualizzati i valori nel portale, è possibile selezionare i valori di Azure Active Directory.

Screenshot of authentication types and tunnel type.

Tipo di tunnel

Nella pagina Configurazione da punto a sito selezionare i tipi desiderati. Le opzioni sono:

  • OpenVPN (SSL)
  • SSTP (SSL)
  • IKEv2
  • IKEv2 e OpenVPN (SSL)
  • IKEv2 e SSTP (SSL)

Tipo di autenticazione

In Tipo di autenticazione selezionare i tipi desiderati. Le opzioni sono:

  • Certificato di Azure
  • RADIUS
  • Microsoft Entra ID

Vedere la tabella seguente per verificare quali meccanismi di autenticazione sono compatibili con i tipi di tunnel selezionati.

Tipo di tunnel Meccanismo di autenticazione
OpenVPN Qualsiasi subset di ID Microsoft Entra, Autenticazione Radius e Certificato di Azure
SSTP Autenticazione Radius/Certificato di Azure
IKEv2 Autenticazione Radius/Certificato di Azure
IKEv2 e OpenVPN Autenticazione Radius/ Certificato di Azure/ ID Di Ingresso Microsoft e Autenticazione Radius/ ID di Microsoft Entra e certificato di Azure
IKEv2 e SSTP Autenticazione Radius/Certificato di Azure

Nota

Per il tipo di tunnel "IKEv2 e OpenVPN" e i meccanismi di autenticazione selezionati "Microsoft Entra ID and Radius" o "Microsoft Entra ID and Azure Certificate", Microsoft Entra ID funzionerà solo per OpenVPN poiché non è supportato da IKEv2

A seconda dei tipi di autenticazione selezionati, verranno visualizzati diversi campi delle impostazioni di configurazione che dovranno essere compilati. Immettere le informazioni necessarie e selezionare Salva nella parte superiore della pagina per salvare tutte le impostazioni di configurazione.

Per altre informazioni sul tipo di autenticazione, vedere:

Pacchetto di configurazione del client VPN

I client VPN devono essere configurati con le impostazioni di configurazione client. Il pacchetto di configurazione del client VPN contiene file con le impostazioni per configurare i client VPN per connettersi a una rete virtuale tramite una connessione da sito a sito.

Per istruzioni su come generare e installare i file di configurazione del client VPN, usare l'articolo relativo alla configurazione:

Autenticazione Tipo di tunnel Generare file di configurazione Configurare il client VPN
Certificato di Azure IKEv2, SSTP Windows Client VPN nativo
Certificato di Azure OpenVPN Windows - Client OpenVPN
- Client VPN di Azure
Certificato di Azure IKEv2, OpenVPN macOS-iOS macOS-iOS
Certificato di Azure IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS - Certificato - Articolo Articolo
RADIUS - Password - Articolo Articolo
RADIUS - altri metodi - Articolo Articolo

Domande frequenti sulla connettività da punto a sito

Per informazioni sulle domande frequenti da punto a sito, vedere le sezioni da punto a sito delle domande frequenti Gateway VPN.

Passaggi successivi

Dopo aver completato la connessione, è possibile aggiungere macchine virtuali alle reti virtuali. Per altre informazioni, vedere Macchine virtuali. Per altre informazioni sulla rete e sulle macchine virtuali, vedere Panoramica di rete delle macchine virtuali Linux e Azure.

Per informazioni sulla risoluzione dei problemi della connessione da punto a sito, vedere Risoluzione dei problemi di connessione da punto a sito di Azure.