Informazioni sulle impostazioni di configurazione del gateway VPN
Un gateway VPN è un tipo di gateway di rete virtuale che invia traffico crittografato tra la rete virtuale e la posizione locale tramite una connessione pubblica. È possibile usare un gateway VPN anche per inviare il traffico tra reti virtuali attraverso il backbone di Azure.
Le connessioni gateway VPN si basano sulla configurazione di più risorse, ognuna delle quali contiene impostazioni configurabili. Le sezioni di questo articolo descrivono le risorse e le impostazioni correlate a un gateway VPN per una rete virtuale creata nel modello di distribuzione Resource Manager. È possibile trovare descrizioni e diagrammi di topologia per ogni soluzione di connessione nell'articolo sulla progettazione di Gateway VPN.
I valori riportati in questo articolo si applicano ai gateway VPN (gateway di rete virtuale che usano il Vpn -GatewayType). Per informazioni sui gateway che usano queste impostazioni specificate, vedere gli articoli seguenti:
Per i valori che si applicano a ExpressRoute come -GatewayType, vedere Gateway di rete virtuale per ExpressRoute.
Per i gateway con ridondanza della zona, vedere le informazioni sui gateway con ridondanza della zona.
Per i gateway attivi, vedere Informazioni sulla connettività a disponibilità elevata.
Per rete WAN virtuale gateway, vedere Informazioni sulle rete WAN virtuale.
Tipi di VPN
Attualmente, supporto tecnico di Azure due tipi di VPN del gateway: gateway VPN basati su route e gateway VPN basati su criteri. Si basa su piattaforme interne diverse, che comportano specifiche diverse.
A partire dal 1° ottobre 2023, non è possibile creare un gateway VPN basato su criteri tramite portale di Azure. Tutti i nuovi gateway VPN verranno creati automaticamente come basati su route. Se si dispone già di un gateway basato su criteri, non è necessario aggiornare il gateway alla route. È possibile usare PowerShell o l'interfaccia della riga di comando per creare i gateway basati su criteri.
In precedenza, gli SKU del gateway meno recenti non supportano IKEv1 per i gateway basati su route. Ora, la maggior parte degli SKU del gateway corrente supporta sia IKEv1 che IKEv2.
| Tipo di gateway VPN | SKU del gateway | Versioni di IKE supportate |
|---|---|---|
| Gateway basato su criteri | Di base | IKEv1 |
| Gateway basato su route | Di base | IKEv2 |
| Gateway basato su route | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 e IKEv2 |
| Gateway basato su route | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 e IKEv2 |
Tipi di gateway
Ogni rete virtuale può avere un solo gateway di rete virtuale per tipo. Quando si crea un gateway di rete virtuale, è necessario assicurarsi che il tipo di gateway sia corretto per la configurazione.
I valori disponibili per GatewayType sono:
- VPN
- ExpressRoute
Un gateway VPN richiede il valore -GatewayTypeVpn per.
Esempio:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
SKU e prestazioni del gateway
Vedere l'articolo Informazioni sugli SKU del gateway per informazioni aggiornate sugli SKU, sulle prestazioni e sulle funzionalità supportate del gateway.
Tipi di connessioni
Nel modello di distribuzione Resource Manager ogni configurazione richiede un tipo di connessione gateway di rete virtuale specifico. I valori di PowerShell per Resource Manager disponibili per -ConnectionType sono:
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
L'esempio PowerShell seguente crea una connessione S2S che richiede il tipo di connessione IPsec.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'
modalità di Connessione ion
La proprietà Connessione mode si applica solo ai gateway VPN basati su route che usano connessioni IKEv2. Connessione modalità di avvio della connessione definiscono la direzione di avvio della connessione e si applicano solo alla definizione iniziale della connessione IKE. Qualsiasi parte può avviare richiavi e altri messaggi. InitiatorOnly indica che la connessione deve essere avviata da Azure. ResponderOnly indica che la connessione deve essere avviata dal dispositivo locale. Il comportamento predefinito consiste nell'accettare e comporre qualsiasi connessione.
Subnet gateway
Prima di creare un gateway VPN, è necessario creare una subnet del gateway. La subnet del gateway contiene gli indirizzi IP usati dalle VM e dai servizi del gateway di rete virtuale. Quando si crea il gateway di rete virtuale, le VM del gateway vengono distribuite nella subnet del gateway e configurate con le impostazioni del gateway VPN necessarie. Non distribuire mai altro (ad esempio, macchine virtuali aggiuntive) nella subnet del gateway. Per poter funzionare correttamente, la subnet del gateway deve essere denominata "GatewaySubnet". La denominazione della subnet del gateway "GatewaySubnet" comunica ad Azure che si tratta della subnet in cui deve distribuire le macchine virtuali e i servizi del gateway di rete virtuale.
Quando si crea la subnet del gateway, si specifica il numero di indirizzi IP inclusi nella subnet. Gli indirizzi IP inclusi nella subnet del gateway sono allocati alle VM del gateway e ai servizi del gateway. Alcune configurazioni richiedono più indirizzi IP di altre.
Quando si pianificano le dimensioni della subnet del gateway, vedere la documentazione per la configurazione che si intende creare. La configurazione per la coesistenza di gateway ExpressRoute/VPN richiede una subnet del gateway di dimensioni maggiori di quelle della maggior parte delle altre configurazioni. Anche se è possibile creare una subnet del gateway di dimensioni pari a /29 (applicabile solo allo SKU Basic), tutti gli altri SKU richiedono una subnet del gateway di dimensioni /27 o superiori (/27, /26, /25 e così via). Potrebbe essere necessario creare una subnet del gateway di dimensioni superiori a /27 in modo che la subnet disponga di indirizzi IP sufficienti per supportare le possibili configurazioni future.
L'esempio seguente di PowerShell Resource Manager illustra una subnet del gateway denominata GatewaySubnet. La notazione CIDR specifica /27. Questa dimensione ammette un numero di indirizzi IP sufficiente per la maggior parte delle configurazioni attualmente esistenti.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Considerazioni:
Le route definite dall'utente con destinazione 0.0.0.0/0 e gruppi di sicurezza di rete in GatewaySubnet non sono supportate. La creazione dei gateway con questa configurazione viene bloccata. Per il corretto funzionamento è necessario che i gateway possano accedere ai controller di gestione. La propagazione della route BGP deve essere impostata su "Abilitato" in GatewaySubnet per garantire la disponibilità del gateway. Se la propagazione della route BGP è impostata su disabilitata, il gateway non funzionerà.
La diagnostica, il percorso dati e il percorso di controllo possono essere interessati se una route definita dall'utente si sovrappone all'intervallo di subnet del gateway o all'intervallo ip pubblico del gateway.
Gateway di rete locali
Un gateway di rete locale è diverso da un gateway di rete virtuale. Quando si crea una configurazione del gateway VPN, il gateway di rete locale rappresenta in genere la rete locale e il dispositivo VPN corrispondente. Nel modello di distribuzione classica il gateway di rete locale è definito come sito locale.
Quando si configura un gateway di rete locale, si specifica il nome, l'indirizzo IP pubblico o il nome di dominio completo (FQDN) del dispositivo VPN locale e i prefissi di indirizzo che si trovano nel percorso locale. Azure esamina i prefissi degli indirizzi di destinazione per il traffico di rete, consulta la configurazione specificata per il gateway di rete locale e indirizza i pacchetti di conseguenza. Se si usa Border Gateway Protocol (BGP) nel dispositivo VPN, si specifica l'indirizzo IP peer BGP del dispositivo VPN e il numero di sistema autonomo (ASN) della rete locale. È anche possibile specificare i gateway di rete locale per le configurazioni da rete virtuale a rete virtuale che usano una connessione di gateway VPN.
L'esempio seguente di PowerShell consente di creare un nuovo gateway di rete locale:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Talvolta è necessario modificare le impostazioni di gateway di rete locale. Ad esempio, quando si aggiunge o si modifica l'intervallo di indirizzi oppure se viene modificato l'indirizzo IP del dispositivo VPN. Per altre informazioni, vedere Modificare le impostazioni del gateway di rete locale.
API REST, cmdlet di PowerShell e interfaccia della riga di comando
Per altre risorse tecniche e requisiti di sintassi specifici quando si usano le API REST, i cmdlet PowerShell o l'interfaccia della riga di comando di Azure per le configurazioni di Gateway VPN, vedere le pagine seguenti:
| Classico | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
| Non supportato | Interfaccia della riga di comando di Azure |
Passaggi successivi
Per altre informazioni sulle configurazioni delle connessioni disponibili, vedere Informazioni sul gateway VPN.