Configurare una connessione da punto a sito usando l'autenticazione del certificato (versione classica)Configure a Point-to-Site connection by using certificate authentication (classic)

Nota

Questo articolo riguarda il modello di distribuzione classica.This article is written for the classic deployment model. Se non si ha familiarità con Azure, è consigliabile usare il modello di distribuzione Resource Manager.If you're new to Azure, we recommend that you use the Resource Manager deployment model instead. Il modello di distribuzione Resource Manager è il modello di distribuzione più recente e offre più opzioni e compatibilità con le funzionalità rispetto al modello di distribuzione classica.The Resource Manager deployment model is the most current deployment model and offers more options and feature compatibility than the classic deployment model. Per altre informazioni, vedere l'articolo contenente le informazioni sui modelli di distribuzione.For more information about the deployment models, see Understanding deployment models.

Per la versione Gestione risorse di questo articolo, selezionarla dall'elenco a discesa o dal sommario a sinistra.For the Resource Manager version of this article, select it from the drop-down list, or from the table of contents on the left.

Questo articolo illustra come creare una rete virtuale con una connessione da punto a sito.This article shows you how to create a VNet with a Point-to-Site connection. Per creare questo VNet con il modello di distribuzione classica, usare il portale di Azure.You create this VNet with the classic deployment model by using the Azure portal. Questa configurazione usa i certificati autofirmati o rilasciati da un'autorità di certificazione per autenticare il client di connessione.This configuration uses certificates to authenticate the connecting client, either self-signed or CA issued. È anche possibile creare questa configurazione con un diverso modello o strumento di distribuzione usando le opzioni descritte negli articoli seguenti:You can also create this configuration with a different deployment tool or model by using options that are described in the following articles:

Si usa un gateway VPN da punto a sito (P2S) per creare una connessione sicura alla rete virtuale da un singolo computer client.You use a Point-to-Site (P2S) VPN gateway to create a secure connection to your virtual network from an individual client computer. Le connessioni VPN da punto a sito sono utili per connettersi alla rete virtuale da una posizione remota.Point-to-Site VPN connections are useful when you want to connect to your VNet from a remote location. Una VPN P2S è una soluzione utile da usare al posto di una VPN da sito a sito quando solo pochi client devono connettersi a una rete virtuale.When you have only a few clients that need to connect to a VNet, a P2S VPN is a useful solution to use instead of a Site-to-Site VPN. Una connessione VPN P2S viene stabilita avviandola dal computer client.A P2S VPN connection is established by starting it from the client computer.

Importante

Il modello di distribuzione classica supporta solo i client VPN Windows e usa SSTP (Secure Socket Tunneling Protocol), un protocollo VPN basato su SSL.The classic deployment model supports Windows VPN clients only and uses the Secure Socket Tunneling Protocol (SSTP), an SSL-based VPN protocol. Per supportare i client VPN non Windows, è necessario creare la rete virtuale con il modello di distribuzione Resource Manager.To support non-Windows VPN clients, you must create your VNet with the Resource Manager deployment model. Il modello di distribuzione Resource Manager supporta VPN IKEv2, oltre a SSTP.The Resource Manager deployment model supports IKEv2 VPN in addition to SSTP. Per altre informazioni, vedere Informazioni sulle connessioni da punto a sito.For more information, see About P2S connections.

Diagramma da punto a sito

Impostazioni e requisitiSettings and requirements

RequisitiRequirements

Per le connessioni di autenticazione con certificati da punto a sito sono necessari gli elementi seguenti.Point-to-Site certificate authentication connections require the following items. Questo articolo illustra i passaggi che consentono di crearli.There are steps in this article that will help you create them.

  • Un gateway VPN dinamico.A Dynamic VPN gateway.
  • La chiave pubblica (file CER) per un certificato radice, caricato in Azure.The public key (.cer file) for a root certificate, which is uploaded to Azure. Questa chiave viene considerata un certificato attendibile e viene usata per l'autenticazione.This key is considered a trusted certificate and is used for authentication.
  • Un certificato client generato dal certificato radice e installato in ogni computer client che effettuerà la connessione.A client certificate generated from the root certificate, and installed on each client computer that will connect. Questo certificato viene usato per l'autenticazione client.This certificate is used for client authentication.
  • Un pacchetto di configurazione client VPN deve essere generato e installato in ogni computer client che effettua la connessione.A VPN client configuration package must be generated and installed on every client computer that connects. Il pacchetto di configurazione client configura il client VPN nativo già disponibile nel sistema operativo con le informazioni necessarie per la connessione alla rete virtuale.The client configuration package configures the native VPN client that's already on the operating system with the necessary information to connect to the VNet.

Le connessioni da punto a sito non richiedono un dispositivo VPN o un indirizzo IP pubblico locale.Point-to-Site connections don't require a VPN device or an on-premises public-facing IP address. La connessione VPN viene creata tramite SSTP (Secure Sockets Tunneling Protocol).The VPN connection is created over SSTP (Secure Socket Tunneling Protocol). Sul lato server sono supportate le versioni 1.0, 1.1 e 1.2 di SSTP.On the server side, we support SSTP versions 1.0, 1.1, and 1.2. Il client decide quale versione usare.The client decides which version to use. Per Windows 8.1 e versioni successive, SSTP usa per impostazione predefinita la versione 1.2.For Windows 8.1 and above, SSTP uses 1.2 by default.

Per ulteriori informazioni, vedere informazioni sulle connessioni da punto a sito e le domande frequenti.For more information, see About Point-to-Site connections and the FAQ.

Impostazioni di esempioExample settings

Usare i valori seguenti per creare un ambiente di test o fare riferimento a questi valori per comprendere meglio gli esempi di questo articolo:Use the following values to create a test environment, or refer to these values to better understand the examples in this article:

  • Gruppo di risorse: TestRGResource Group: TestRG
  • Nome VNet: VNet1VNet Name: VNet1
  • Spazio di indirizzi: 192.168.0.0/16Address space: 192.168.0.0/16
    Per questo esempio, viene usato un solo spazio indirizzi.For this example, we use only one address space. È possibile avere più di uno spazio indirizzi per la rete virtuale.You can have more than one address space for your VNet.
  • Nome della subnet: FrontEndSubnet name: FrontEnd
  • Intervallo di indirizzi subnet: 192.168.1.0/24Subnet address range: 192.168.1.0/24
  • GatewaySubnet: 10.11.255.0/27GatewaySubnet: 10.11.255.0/27
  • Area: (Stati Uniti) Stati Uniti orientaliRegion: (US) East US
  • Spazio indirizzi client: 172.16.201.0/24Client address space: 172.16.201.0/24
    I client VPN che si connettono alla rete virtuale con questa connessione da punto a sito ricevono un indirizzo IP dal pool specificato.VPN clients that connect to the VNet by using this Point-to-Site connection receive an IP address from the specified pool.
  • Tipo di connessione: selezionare da punto a sito.Connection type: Select Point-to-site.
  • Intervallo di indirizzi GatewaySubnet (blocco CIDR): 192.168.200.0/24GatewaySubnet Address range (CIDR block): 192.168.200.0/24

Prima di iniziare, verificare di possedere una sottoscrizione di Azure.Before you begin, verify that you have an Azure subscription. Se non si ha una sottoscrizione di Azure, è possibile attivare i vantaggi per i sottoscrittori di MSDN oppure iscriversi per ottenere un account gratuito.If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.

Creare una rete virtualeCreate a virtual network

Se si ha già una rete virtuale, verificare che le impostazioni siano compatibili con la progettazione del gateway VPN.If you already have a VNet, verify that the settings are compatible with your VPN gateway design. Prestare particolare attenzione alle subnet che potrebbero sovrapporsi ad altre reti.Pay particular attention to any subnets that may overlap with other networks.

  1. Da un browser, passare al portale di Azure e, se necessario, accedere con l'account Azure.From a browser, navigate to the Azure portal and, if necessary, sign in with your Azure account.
  2. Selezionare + Crea una risorsa.Select +Create a resource. Nel campo Cerca nel Marketplace digitare "Rete virtuale".In the Search the marketplace field, type 'Virtual Network'. Individuare rete virtuale dall'elenco restituito e selezionarla per aprire la pagina rete virtuale .Locate Virtual Network from the returned list and select it to open the Virtual Network page.
  3. Nella pagina rete virtuale, sotto il pulsante Crea, viene visualizzato "Distribuisci con Gestione risorse (passa alla versione classica)".On the Virtual Network page, under the Create button, you see "Deploy with Resource Manager (change to Classic)". Gestione risorse è l'impostazione predefinita per la creazione di un VNet.Resource Manager is the default for creating a VNet. Non si vuole creare un Gestione risorse VNet.You don't want to create a Resource Manager VNet. Selezionare (passare alla versione classica) per creare una VNet classica.Select (change to Classic) to create a Classic VNet. Selezionare quindi la scheda Panoramica e selezionare Crea.Then, select the Overview tab and select Create.
  4. Nella pagina Crea rete virtuale (classica) , nella scheda nozioni di base , configurare le impostazioni VNet con i valori di esempio.On the Create virtual network(classic) page, on the Basics tab, configure the VNet settings with the example values.
  5. Selezionare Verifica + crea per convalidare la VNet.Select Review + create to validate your VNet.
  6. Esecuzione della convalida.Validation runs. Dopo la convalida del VNet, selezionare Crea.After the VNet is validated, select Create.

Le impostazioni DNS non sono una parte obbligatoria di questa configurazione, ma il DNS è necessario se si vuole la risoluzione dei nomi tra le macchine virtuali.DNS settings are not a required part of this configuration, but DNS is necessary if you want name resolution between your VMs. Se si specifica un valore, non verrà creato un nuovo server DNS.Specifying a value does not create a new DNS server. L'indirizzo IP del server DNS specificato deve essere un server DNS in grado di risolvere i nomi per le risorse a cui ci si connette.The DNS server IP address that you specify should be a DNS server that can resolve the names for the resources you are connecting to.

Dopo aver creato la rete virtuale, è possibile aggiungere l'indirizzo IP di un server DNS per gestire la risoluzione dei nomi.After you create your virtual network, you can add the IP address of a DNS server to handle name resolution. Aprire le impostazioni per la rete virtuale, selezionare server DNS e aggiungere l'indirizzo IP del server DNS che si vuole usare per la risoluzione dei nomi.Open the settings for your virtual network, select DNS servers, and add the IP address of the DNS server that you want to use for name resolution.

  1. Individuare la rete virtuale nel portale.Locate the virtual network in the portal.
  2. Nella sezione Impostazioni della pagina della rete virtuale selezionare server DNS.On the page for your virtual network, under the Settings section, select DNS servers.
  3. Aggiungere un server DNS.Add a DNS server.
  4. Per salvare le impostazioni, fare clic su Salva nella parte superiore della pagina.To save your settings, select Save at the top of the page.

Creare un gateway VPNCreate a VPN gateway

  1. Passare al VNet creato.Navigate to the VNet that you created.

  2. Nella pagina VNet, in impostazioni, selezionare gateway.On the VNet page, under Settings, select Gateway. Nella pagina gateway è possibile visualizzare il gateway per la rete virtuale.On the Gateway page, you can view the gateway for your virtual network. Questa rete virtuale non ha ancora un gateway.This virtual network does not yet have a gateway. Fare clic sulla nota che dice fare clic qui per aggiungere una connessione e un gateway.Click the note that says Click here to add a connection and a gateway.

  3. Nella pagina Configura una connessione VPN e un gateway selezionare le impostazioni seguenti:On the Configure a VPN connection and gateway page, select the following settings:

    • Tipo di connessione: Da punto a sitoConnection type: Point-to-site
    • Spazio indirizzi client: aggiungere l'intervallo di indirizzi IP da cui i client VPN ricevono un indirizzo IP durante la connessione.Client address space: Add the IP address range from which the VPN clients receive an IP address when connecting. Usare un intervallo di indirizzi IP privati che non si sovrapponga con la posizione locale da cui viene effettuata la connessione o con la rete virtuale a cui ci si connette.Use a private IP address range that doesn't overlap with the on-premises location that you connect from, or with the VNet that you connect to.
  4. Lasciare selezionata la casella di controllo non configurare un gateway in questo momento .Leave the checkbox for Do not configure a gateway at this time unselected. Si creerà un gateway.We will create a gateway.

  5. Nella parte inferiore della pagina fare clic su Next: Gateway >.At the bottom of the page, select Next: Gateway >.

  6. Nella scheda gateway selezionare i valori seguenti:On the Gateway tab, select the following values:

    • Dimensioni: La dimensione è lo SKU del gateway per il gateway di rete virtuale.Size: The size is the gateway SKU for your virtual network gateway. Nel portale di Azure, lo SKU predefinito è Predefinito.In the Azure portal, the default SKU is Default. Per altre informazioni sugli SKU del gateway, vedere informazioni sulle impostazioni del gateway VPN.For more information about gateway SKUs, see About VPN gateway settings.
    • Tipo di routing: È necessario selezionare dinamico per una configurazione da punto a sito.Routing Type: You must select Dynamic for a point-to-site configuration. Il routing statico non funzionerà.Static routing will not work.
    • Subnet del gateway: Questo campo è già riempito automaticamente.Gateway subnet: This field is already autofilled. Non è possibile modificare il nome.You cannot change the name. Se si tenta di modificare il nome usando PowerShell o qualsiasi altro mezzo, il gateway non funzionerà correttamente.If you try to change the name using PowerShell or any other means, the gateway will not work properly.
    • Intervallo di indirizzi (blocco CIDR): Sebbene sia possibile creare una subnet del gateway con dimensioni pari a/29, è consigliabile creare una subnet più grande che includa più indirizzi selezionando almeno/28 o/27.Address range (CIDR block): While it is possible to create a gateway subnet as small as /29, we recommend that you create a larger subnet that includes more addresses by selecting at least /28 or /27. In questo modo saranno disponibili indirizzi sufficienti per supportare in futuro le possibili configurazioni aggiuntive desiderate.Doing so will allow for enough addresses to accommodate possible additional configurations that you may want in the future. Quando si usano le subnet del gateway, evitare di associare un gruppo di sicurezza di rete (NSG) alla subnet del gateway.When working with gateway subnets, avoid associating a network security group (NSG) to the gateway subnet. Se si associa un gruppo di sicurezza di rete a tale subnet, il gateway VPN potrebbe non funzionare come previsto.Associating a network security group to this subnet may cause your VPN gateway to not function as expected.
  7. Selezionare Rivedi e crea per convalidare le impostazioni.Select Review + create to validate your settings.

  8. Al termine della convalida, selezionare Crea.Once validation passes, select Create. Per il completamento di un gateway VPN possono essere necessari fino a 45 minuti, in base allo SKU selezionato per il gateway.A VPN gateway can take up to 45 minutes to complete, depending on the gateway SKU that you select.

Creare i certificatiCreate certificates

Azure usa i certificati per autenticare client VPN per VPN da punto a sito.Azure uses certificates to authenticate VPN clients for Point-to-Site VPNs. È necessario caricare le informazioni della chiave pubblica del certificato radice in Azure.You upload the public key information of the root certificate to Azure. La chiave pubblica viene quindi considerata attendibile.The public key is then considered trusted. I certificati client devono essere generati dal certificato radice attendibile e quindi installati in ogni computer client nell'archivio certificati Certificati - Utente corrente\Personale\Certificati.Client certificates must be generated from the trusted root certificate, and then installed on each client computer in the Certificates-Current User\Personal\Certificates certificate store. Il certificato viene usato per l'autenticazione del client alla connessione alla rete virtuale.The certificate is used to authenticate the client when it connects to the VNet.

Se usati, i certificati autofirmati devono essere creati con parametri specifici.If you use self-signed certificates, they must be created by using specific parameters. È possibile creare un certificato autofirmato seguendo le istruzioni per PowerShell e Windows 10 o MakeCert.You can create a self-signed certificate by using the instructions for PowerShell and Windows 10, or MakeCert. È importante seguire i passaggi di queste istruzioni quando si usano i certificati radice autofirmati e si generano certificati client dal certificato radice autofirmato.It's important to follow the steps in these instructions when you use self-signed root certificates and generate client certificates from the self-signed root certificate. In caso contrario, i certificati creati non saranno compatibili con le connessioni P2S e si riceverà un errore di connessione.Otherwise, the certificates you create won't be compatible with P2S connections and you'll receive a connection error.

Ottenere il file di chiave pubblica (con estensione cer) per il certificato radiceAcquire the public key (.cer) for the root certificate

Ottenere il file con estensione cer per il certificato radice.Obtain the .cer file for the root certificate. È possibile usare un certificato radice generato tramite una soluzione aziendale (scelta consigliata) oppure generare un certificato autofirmato.You can use either a root certificate that was generated with an enterprise solution (recommended), or generate a self-signed certificate. Dopo avere creato il certificato radice, esportare i dati del certificato pubblico, non la chiave privata, come file CER X.509 con codifica in base 64.After you create the root certificate, export the public certificate data (not the private key) as a Base64 encoded X.509 .cer file. Il file viene caricato in un secondo momento in Azure.You upload this file later to Azure.

  • Certificato aziendale: Se si tratta di una soluzione aziendale, è possibile usare la catena di certificati esistente.Enterprise certificate: If you're using an enterprise solution, you can use your existing certificate chain. Acquisire il file con estensione cer per il certificato radice che si vuole usare.Acquire the .cer file for the root certificate that you want to use.

  • Certificato radice autofirmato: Se non si usa una soluzione aziendale per la creazione di certificati, creare un certificato radice autofirmato.Self-signed root certificate: If you aren't using an enterprise certificate solution, create a self-signed root certificate. In caso contrario, i certificati creati non saranno compatibili con le connessioni da punto a sito e i client riceveranno un errore di connessione quando provano a connettersi.Otherwise, the certificates you create won't be compatible with your P2S connections and clients will receive a connection error when they try to connect. È possibile usare Azure PowerShell, MakeCert oppure OpenSSL.You can use Azure PowerShell, MakeCert, or OpenSSL. I passaggi negli articoli seguenti descrivono come generare un certificato radice autofirmato compatibile:The steps in the following articles describe how to generate a compatible self-signed root certificate:

    • Istruzioni per Windows 10 PowerShell: queste istruzioni richiedono Windows 10 e PowerShell per generare i certificati.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. I certificati client generati dal certificato radice possono essere installati in qualsiasi client da punto a sito supportato.Client certificates that are generated from the root certificate can be installed on any supported P2S client.
    • Istruzioni per MakeCert: se non si ha accesso a un computer con Windows 10, è possibile usare MakeCert per generare i certificati.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer to use to generate certificates. Sebbene MakeCert sia deprecato, è comunque possibile usarlo per generare i certificati.Although MakeCert is deprecated, you can still use it to generate certificates. I certificati client generati dal certificato radice possono essere installati in qualsiasi client da punto a sito supportato.Client certificates that you generate from the root certificate can be installed on any supported P2S client.
    • Istruzioni per Linux.Linux instructions.

Generare un certificato clientGenerate a client certificate

Ogni computer client che viene connesso a una rete virtuale con la connessione Da punto a sito deve avere un certificato client installato.Each client computer that you connect to a VNet with a Point-to-Site connection must have a client certificate installed. Il certificato viene generato dal certificato radice e viene installato in ogni computer client.You generate it from the root certificate and install it on each client computer. Se non si installa un certificato client valido, l'autenticazione avrà esito negativo quando il client prova a connettersi alla rete virtuale.If you don't install a valid client certificate, authentication will fail when the client tries to connect to the VNet.

È possibile generare un certificato univoco per ogni client oppure usare lo stesso certificato per più client.You can either generate a unique certificate for each client, or you can use the same certificate for multiple clients. Generare certificati client univoci offre il vantaggio di poter revocare un singolo certificato.The advantage to generating unique client certificates is the ability to revoke a single certificate. In caso contrario, se più client utilizzano lo stesso certificato client per l’autenticazione e questo viene revocato, è necessario generare e installare nuovi certificati per tutti i client che usano tale certificato.Otherwise, if multiple clients use the same client certificate to authenticate and you revoke it, you'll need to generate and install new certificates for every client that uses that certificate.

È possibile generare i certificati client usando i metodi seguenti:You can generate client certificates by using the following methods:

  • Certificato aziendale:Enterprise certificate:

    • Se si usa una soluzione aziendale per la creazione di certificati, generare un certificato client con il valore di nome comune nel formato nome@dominio.com.If you're using an enterprise certificate solution, generate a client certificate with the common name value format name@yourdomain.com. Usare questo formato anziché il formato nome dominio\nome utente.Use this format instead of the domain name\username format.

    • Verificare che il certificato client sia basato sul modello di certificato utente con Autenticazione client riportato come primo elemento nell'elenco d'uso.Make sure the client certificate is based on a user certificate template that has Client Authentication listed as the first item in the user list. Controllare il certificato facendo doppio clic sul certificato client e aprendo Utilizzo chiavi avanzato nella scheda Dettagli.Check the certificate by double-clicking it and viewing Enhanced Key Usage in the Details tab.

  • Certificato radice autofirmato: Seguire la procedura descritta in uno dei seguenti articoli sui certificati di connessione da punto a sito, in modo che i certificati client creati siano compatibili con le connessioni da punto a sito.Self-signed root certificate: Follow the steps in one of the following P2S certificate articles so that the client certificates you create will be compatible with your P2S connections.

    Se si genera un certificato client da un certificato radice autofirmato, viene eseguita l'installazione automatica nel computer usato per generarlo.When you generate a client certificate from a self-signed root certificate, it's automatically installed on the computer that you used to generate it. Se si vuole installare un certificato client in un altro computer client, esportarlo come file con estensione .pfx, insieme all'intera catena di certificati.If you want to install a client certificate on another client computer, export it as a .pfx file, along with the entire certificate chain. In questo modo, viene creato un file .pfx contenente le informazioni del certificato radice necessarie per l’autenticazione del client.Doing so will create a .pfx file that contains the root certificate information required for the client to authenticate.

    I passaggi di questi articoli generano un certificato client compatibile, che è quindi possibile esportare e distribuire.The steps in these articles generate a compatible client certificate, which you can then export and distribute.

    • Istruzioni per Windows 10 PowerShell: queste istruzioni richiedono Windows 10 e PowerShell per generare i certificati.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. I certificati generati possono essere installati in qualsiasi client con connessione da punto a sito supportato.The generated certificates can be installed on any supported P2S client.

    • Istruzioni per MakeCert: se non si ha accesso a un computer con Windows 10, è possibile usare MakeCert per generare i certificati.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer for generating certificates. Sebbene MakeCert sia deprecato, è comunque possibile usarlo per generare i certificati.Although MakeCert is deprecated, you can still use it to generate certificates. È possibile installare i certificati generati in qualsiasi client con connessione da punto a sito supportato.You can install the generated certificates on any supported P2S client.

    • Istruzioni per Linux.Linux instructions.

Caricare il file CER del certificato radiceUpload the root certificate .cer file

Dopo la creazione del gateway, caricare il file con estensione cer, che contiene le informazioni sulla chiave pubblica, per un certificato radice attendibile nel server di Azure.After the gateway has been created, upload the .cer file (which contains the public key information) for a trusted root certificate to the Azure server. Non caricare la chiave privata per il certificato radice.Don't upload the private key for the root certificate. Una volta caricato un certificato, Azure lo usa per autenticare i client che hanno installato un certificato client generato dal certificato radice attendibile.After you upload the certificate, Azure uses it to authenticate clients that have installed a client certificate generated from the trusted root certificate. È possibile caricare in seguito fino a 20 file di certificato radice attendibile aggiuntivi, se necessario.You can later upload additional trusted root certificate files (up to 20), if needed.

  1. Passare alla rete virtuale creata.Navigate to the virtual network you created.
  2. In Impostazioni selezionare connessioni da punto a sito.Under Settings, select Point-to-site connections.
  3. Selezionare Gestisci certificato.Select Manage certificate.
  4. Selezionare Carica.Select Upload.
  5. Nel riquadro carica un certificato selezionare l'icona della cartella e passare al certificato che si vuole caricare.On the Upload a certificate pane, select the folder icon and navigate to the certificate you want to upload.
  6. Selezionare Carica.Select Upload.
  7. Una volta completato il caricamento del certificato, è possibile visualizzarlo nella pagina Gestisci certificato.After the certificate has uploaded successfully, you can view it on the Manage certificate page. Potrebbe essere necessario selezionare Aggiorna per visualizzare il certificato appena caricato.You may need to select Refresh to view the certificate you just uploaded.

Configurare il clientConfigure the client

Per connettersi a una rete virtuale tramite VPN da punto a sito, ogni client deve installare un pacchetto per configurare il client VPN di Windows nativo.To connect to a VNet by using a Point-to-Site VPN, each client must install a package to configure the native Windows VPN client. Il pacchetto di configurazione configura il client VPN nativo di Windows con le impostazioni necessarie per la connessione alla rete virtuale.The configuration package configures the native Windows VPN client with the settings necessary to connect to the virtual network.

È possibile usare lo stesso pacchetto di configurazione del client VPN in ogni computer client, a condizione che la versione corrisponda all'architettura del client.You can use the same VPN client configuration package on each client computer, as long as the version matches the architecture for the client. Per l'elenco dei sistemi operativi client supportati, vedere informazioni sulle connessioni da punto a sito e le domande frequenti.For the list of client operating systems that are supported, see About Point-to-Site connections and the FAQ.

Generare e installare un pacchetto di configurazione del client VPNGenerate and install a VPN client configuration package

  1. Passare alle impostazioni di connessione da punto a sito per la VNet.Navigate to the Point-to-site connections settings for your VNet.

  2. Nella parte superiore della pagina selezionare il pacchetto di download corrispondente al sistema operativo client in cui verrà installato:At the top of the page, select the download package that corresponds to the client operating system where it will be installed:

    • Per i client a 64 bit, selezionare client VPN (64-bit).For 64-bit clients, select VPN client (64-bit).
    • Per i client a 32 bit, selezionare client VPN (32-bit).For 32-bit clients, select VPN client (32-bit).
  3. Azure genera un pacchetto con le impostazioni specifiche richieste dal client.Azure generates a package with the specific settings that the client requires. Ogni volta che si apportano modifiche a VNet o gateway, è necessario scaricare un nuovo pacchetto di configurazione client e installarlo nei computer client.Each time you make changes to the VNet or gateway, you need to download a new client configuration package and install them on your client computers.

  4. Dopo la generazione del pacchetto, selezionare Scarica.After the package generates, select Download.

  5. Installare il pacchetto di configurazione client nel computer client.Install the client configuration package on your client computer. Quando si installa, se viene visualizzato un popup SmartScreen che indica che Windows ha protetto il PC, selezionare altre informazioni, quindi selezionare Esegui comunque.When installing, if you see a SmartScreen popup saying Windows protected your PC, select More info, then select Run anyway. È anche possibile salvare il pacchetto per l'installazione su altri computer client.You can also save the package to install on other client computers.

Installare un certificato clientInstall a client certificate

Per questo esercizio, quando è stato generato il certificato client, è stato installato automaticamente nel computer.For this exercise, when you generated the client certificate, it was automatically installed on your computer. Per creare una connessione P2S da un computer client diverso da quello utilizzato per generare i certificati client, è necessario installare il certificato client generato nel computer.To create a P2S connection from a different client computer than the one used to generate the client certificates, you must install the generated client certificate on that computer.

Quando si installa un certificato client, è necessaria la password che è stata creata durante l'esportazione del certificato client.When you install a client certificate, you need the password that was created when the client certificate was exported. In genere, è possibile installare il certificato semplicemente facendo doppio clic su di esso.Typically, you can install the certificate by just double-clicking it. Per altre informazioni, vedere installare un certificato client esportato.For more information, see Install an exported client certificate.

Connettersi alla rete virtualeConnect to your VNet

Nota

È necessario avere diritti di amministratore per il computer client da cui ci si connette.You must have Administrator rights on the client computer from which you are connecting.

  1. Nel computer client passare a impostazioni VPN.On the client computer, go to VPN settings.
  2. Selezionare la VPN creata.Select the VPN that you created. Se sono state usate le impostazioni di esempio, la connessione verrà etichettata come gruppo TestRG VNet1.If you used the example settings, the connection will be labeled Group TestRG VNet1.
  3. Selezionare Connetti.Select Connect.
  4. Nella casella rete virtuale di Microsoft Azure selezionare Connetti.In the Windows Azure Virtual Network box, select Connect. Se viene visualizzato un messaggio popup relativo al certificato, selezionare continua per usare privilegi elevati e per accettare le modifiche di configurazione.If a pop-up message about the certificate appears, select Continue to use elevated privileges and Yes to accept configuration changes.
  5. Quando la connessione ha esito positivo, viene visualizzata una notifica connessa .When your connection succeeds, you'll see a Connected notification.

In caso di problemi di connessione, effettuare i controlli seguenti:If you have trouble connecting, check the following items:

  • Se è stato esportato un certificato client con la procedura guidata di esportazione dei certificati, assicurarsi che si tratti di un file con estensione pfx e che sia selezionata l'opzione Include all certificates in the certification path if possible (Se possibile, includi tutti i certificati nel percorso di certificazione).If you exported a client certificate with Certificate Export Wizard, make sure that you exported it as a .pfx file and selected Include all certificates in the certification path if possible. Usando questo valore per l'esportazione, vengono esportate anche le informazioni del certificato radice.When you export it with this value, the root certificate information is also exported. Dopo l'installazione del certificato nel computer client, viene installato anche il certificato radice nel file con estensione pfx.After you install the certificate on the client computer, the root certificate in the .pfx file is also installed. Per verificare che il certificato radice sia installato, aprire Gestire i certificati utente e selezionare Autorità di certificazione radice attendibili\Certificati.To verify that the root certificate is installed, open Manage user certificates and select Trusted Root Certification Authorities\Certificates. Per il funzionamento dell'autenticazione, verificare che il certificato radice sia presente nell'elenco.Verify that the root certificate is listed, which must be present for authentication to work.

  • Se è stato usato un certificato emesso tramite una soluzione CA globale (enterprise) e non è possibile eseguire l'autenticazione, verificare l'ordine di autenticazione del certificato client.If you used a certificate that was issued by an Enterprise CA solution and you can't authenticate, verify the authentication order on the client certificate. Controllare l'ordine dell'elenco di autenticazione facendo doppio clic sul certificato client, selezionando Dettagli, quindi Utilizzo chiavi avanzato.Check the authentication list order by double-clicking the client certificate, selecting the Details tab, and then selecting Enhanced Key Usage. Assicurarsi che l'elenco mostri Autenticazione client come primo elemento.Make sure Client Authentication is the first item in the list. In caso contrario, emettere un certificato client in base al modello di utente che presenta Autenticazione client come primo elemento nell'elenco.If it isn't, issue a client certificate based on the user template that has Client Authentication as the first item in the list.

  • Per altre informazioni sulla risoluzione dei problemi delle connessioni P2S, vedere Risoluzione dei problemi di connessione da punto a sito.For additional P2S troubleshooting information, see Troubleshoot P2S connections.

Verificare la connessione VPNVerify the VPN connection

  1. Verificare che la connessione VPN sia attiva.Verify that your VPN connection is active. Aprire un prompt dei comandi con privilegi elevati nel computer client ed eseguire ipconfig/all.Open an elevated command prompt on your client computer, and run ipconfig/all.

  2. Visualizzare i risultati.View the results. Si noti che l'indirizzo IP ricevuto è uno degli indirizzi compresi nell'intervallo di indirizzi di connettività da punto a sito specificato al momento della creazione della rete virtuale.Notice that the IP address you received is one of the addresses within the Point-to-Site connectivity address range that you specified when you created your VNet. I risultati dovrebbero essere simili all'esempio seguente:The results should be similar to this example:

     PPP adapter VNet1:
         Connection-specific DNS Suffix .:
         Description.....................: VNet1
         Physical Address................:
         DHCP Enabled....................: No
         Autoconfiguration Enabled.......: Yes
         IPv4 Address....................: 192.168.130.2(Preferred)
         Subnet Mask.....................: 255.255.255.255
         Default Gateway.................:
         NetBIOS over Tcpip..............: Enabled
    

Per connettersi a una macchina virtualeTo connect to a virtual machine

Creare una connessione Desktop remoto per connettersi a una macchina virtuale distribuita nella rete virtuale.Create a Remote Desktop Connection to connect to a VM that's deployed to your VNet. Il modo migliore per verificare di potersi connettere alla macchina virtuale consiste nel connettersi con il suo indirizzo IP privato invece che con il nome del computer.The best way to verify you can connect to your VM is to connect with its private IP address, rather than its computer name. Ciò consente di verificare se è possibile connettersi, non se la risoluzione dei nomi è configurata correttamente.That way, you're testing to see if you can connect, not whether name resolution is configured properly.

  1. Individuare l'indirizzo IP privato per la VM.Locate the private IP address for your VM. Per trovare l'indirizzo IP privato di una macchina virtuale, visualizzare le proprietà di tale macchina virtuale nel portale di Azure oppure usare PowerShell.To find the private IP address of a VM, view the properties for the VM in the Azure portal or use PowerShell.
  2. Verificare di essere connessi alla rete virtuale con la connessione VPN da punto a sito.Verify that you're connected to your VNet with the Point-to-Site VPN connection.
  3. Per aprire Connessione Desktop remoto, immettere RDP o Connessione Desktop remoto nella casella di ricerca nella barra delle applicazioni, quindi selezionare Connessione Desktop remoto.To open Remote Desktop Connection, enter RDP or Remote Desktop Connection in the search box on the taskbar, then select Remote Desktop Connection. È anche possibile aprire con il comando mstsc in PowerShell.You can also open it by using the mstsc command in PowerShell.
  4. In Connessione desktop remoto, immettere l'indirizzo IP privato della macchina virtuale.In Remote Desktop Connection, enter the private IP address of the VM. Se necessario, selezionare Mostra opzioni per modificare altre impostazioni e quindi connettersi.If necessary, select Show Options to adjust additional settings, then connect.

Per risolvere i problemi di una connessione RDP a una VMTo troubleshoot an RDP connection to a VM

Se si verificano problemi di connessione a una macchina virtuale tramite la connessione VPN, è possibile controllare alcuni elementi.If you're having trouble connecting to a virtual machine over your VPN connection, there are a few things you can check.

  • Verificare che la connessione VPN sia attiva.Verify that your VPN connection is successful.
  • Verificare che venga effettuata la connessione all'indirizzo IP privato per la macchina virtuale.Verify that you're connecting to the private IP address for the VM.
  • Immettere ipconfig per controllare l'indirizzo IPv4 assegnato alla scheda Ethernet nel computer da cui viene effettuata la connessione.Enter ipconfig to check the IPv4 address assigned to the Ethernet adapter on the computer from which you're connecting. Quando l'indirizzo IP è compreso nell'intervallo di indirizzi della rete virtuale a cui ci si connette o nell'intervallo di indirizzi del pool di indirizzi del client VPN, si verifica una sovrapposizione dello spazio di indirizzi.An overlapping address space occurs when the IP address is within the address range of the VNet that you're connecting to, or within the address range of your VPNClientAddressPool. Con questo tipo di sovrapposizione, il traffico di rete non raggiunge Azure e rimane nella rete locale.When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.
  • Se è possibile connettersi alla macchina virtuale usando l'indirizzo IP privato, ma non il nome del computer, verificare di avere configurato correttamente il valore per DNS.If you can connect to the VM by using the private IP address, but not the computer name, verify that you have configured DNS properly. Per altre informazioni sul funzionamento della risoluzione dei nomi per le macchine virtuali, vedere Risoluzione dei nomi per le macchine virtuali.For more information about how name resolution works for VMs, see Name Resolution for VMs.
  • Verificare che il pacchetto di configurazione del client VPN sia stato generato dopo aver specificato gli indirizzi IP del server DNS per la rete virtuale.Verify that the VPN client configuration package is generated after you specify the DNS server IP addresses for the VNet. Se gli indirizzi IP del server DNS vengono aggiornati, generare e installare un nuovo pacchetto di configurazione del client VPN.If you update the DNS server IP addresses, generate and install a new VPN client configuration package.

Per altre informazioni sulla risoluzione dei problemi, vedere l'articolo su come risolvere i problemi delle connessioni Desktop remoto a una VM.For more troubleshooting information, see Troubleshoot Remote Desktop connections to a VM.

Per aggiungere o rimuovere certificato radice attendibiliTo add or remove trusted root certificates

È possibile aggiungere e rimuovere certificati radice attendibili da Azure.You can add and remove trusted root certificates from Azure. Quando si rimuove un certificato radice, i client con un certificato generato da tale radice non potranno più eseguire l'autenticazione e connettersi.When you remove a root certificate, clients that have a certificate generated from that root can no longer authenticate and connect. Per consentire ai client di eseguire l'autenticazione e connettersi nuovamente, è necessario installare un nuovo certificato client generato da un certificato radice considerato attendibile in Azure.For those clients to authenticate and connect again, you must install a new client certificate generated from a root certificate that's trusted by Azure.

Aggiunta di un certificato radice attendibileAdd a trusted root certificate

È possibile aggiungere fino a 20 file CER del certificato radice attendibile in Azure usando lo stesso processo usato per aggiungere il primo certificato radice attendibile.You can add up to 20 trusted root certificate .cer files to Azure by using the same process that you used to add the first trusted root certificate.

Rimuovere un certificato radice attendibileRemove a trusted root certificate

  1. Nella sezione connessioni da punto a sito della pagina relativa a VNet selezionare Gestisci certificato.On the Point-to-site connections section of the page for your VNet, select Manage certificate.
  2. Selezionare i puntini di sospensione accanto al certificato che si vuole rimuovere, quindi selezionare Elimina.Select the ellipsis next to the certificate that you want to remove, then select Delete.

Per revocare un certificato clientTo revoke a client certificate

Se necessario, è possibile revocare un certificato client.If necessary, you can revoke a client certificate. L'elenco di revoche di certificati consente di negare in modo selettivo la connettività da punto a sito basata sui singoli certificati client.The certificate revocation list allows you to selectively deny Point-to-Site connectivity based on individual client certificates. Questo metodo è diverso rispetto alla rimozione di un certificato radice attendibile.This method differs from removing a trusted root certificate. Se si rimuove un file con estensione cer del certificato radice attendibile da Azure, viene revocato l'accesso per tutti i certificati client generati o firmati dal certificato radice revocato.If you remove a trusted root certificate .cer from Azure, it revokes the access for all client certificates generated/signed by the revoked root certificate. La revoca di un certificato client, anziché del certificato radice, consente di continuare a usare gli altri certificati generati dal certificato radice per l'autenticazione per la connessione da punto a sito.Revoking a client certificate, rather than the root certificate, allows the other certificates that were generated from the root certificate to continue to be used for authentication for the Point-to-Site connection.

La regola generale è quella di usare il certificato radice per gestire l'accesso a livello di team o organizzazione, usando i certificati client revocati per il controllo di accesso con granularità fine su singoli utenti.The common practice is to use the root certificate to manage access at team or organization levels, while using revoked client certificates for fine-grained access control on individual users.

È possibile revocare un certificato client aggiungendo l'identificazione personale all'elenco di revoche di certificati.You can revoke a client certificate by adding the thumbprint to the revocation list.

  1. Ottenere l'identificazione personale del certificato client.Retrieve the client certificate thumbprint. Per altre informazioni, vedere Procedura: recuperare l'identificazione personale di un certificato.For more information, see How to: Retrieve the Thumbprint of a Certificate.
  2. Copiare le informazioni in un editor di testo e rimuovere tutti gli spazi in modo da avere una stringa continua.Copy the information to a text editor and remove its spaces so that it's a continuous string.
  3. Passare a connessione VPN da punto a sito, quindi selezionare Gestisci certificato.Navigate to Point-to-site VPN connection, then select Manage certificate.
  4. Selezionare Elenco di revoche per aprire la pagina Elenco di revoche.Select Revocation list to open the Revocation list page.
  5. Nella pagina Identificazione personale incollare l'identificazione personale del certificato come una riga di testo continua, senza spazi.In Thumbprint, paste the certificate thumbprint as one continuous line of text, with no spaces.
  6. Selezionare + Aggiungi a elenco per aggiungere l'identificazione personale all'elenco di revoche di certificati (CRL).Select + Add to list to add the thumbprint to the certificate revocation list (CRL).

Dopo aver completato l'aggiornamento, il certificato non può più essere usato per la connessione.After updating has completed, the certificate can no longer be used to connect. Ai client che provano a connettersi con questo certificato verrà visualizzato un messaggio che informa che il certificato non è più valido.Clients that try to connect by using this certificate receive a message saying that the certificate is no longer valid.

Domande frequentiFAQ

Queste domande frequenti si applicano alle connessioni da punto a sito che usano il modello di distribuzione classica.This FAQ applies to P2S connections that use the classic deployment model.

Quali sistemi operativi client è possibile usare con la connettività da punto a sito?What client operating systems can I use with Point-to-Site?

Sono supportati i sistemi operativi client seguenti:The following client operating systems are supported:

  • Windows 7 (a 32 e 64 bit)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (solo a 64 bit)Windows Server 2008 R2 (64-bit only)
  • Windows 8 (a 32 e 64 bit)Windows 8 (32-bit and 64-bit)
  • Windows 8.1 (a 32 e 64 bit)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (solo a 64 bit)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (solo a 64 bit)Windows Server 2012 R2 (64-bit only)
  • Windows 10Windows 10

Per la connettività da punto a sito è possibile usare qualsiasi client VPN software che supporta SSTP?Can I use any software VPN client that supports SSTP for Point-to-Site?

No.No. L'assistenza è limitata solo alle versioni dei sistemi operativi Windows elencati.Support is limited only to the listed Windows operating system versions.

Quanti endpoint client VPN possono esistere nella configurazione da punto sito?How many VPN client endpoints can exist in my Point-to-Site configuration?

La quantità di endpoint client VPN dipende dallo SKU e dal protocollo del gateway.The amount of VPN client endpoints depends on your gateway sku and protocol.

VPN
Gateway
Generation
VPN
Gateway
Generation
SKUSKU Tunnel S2S/
rete virtuale-rete virtuale
S2S/VNet-to-VNet
Tunnels
P2S
Connessioni SSTP
P2S
SSTP Connections
P2S
Connessioni IKEv2/OpenVPN
P2S
IKEv2/OpenVPN Connections
Benchmark
velocità effettiva aggregata
Aggregate
Throughput Benchmark
BGPBGP Zone-redundantZone-redundant
Generation1Generation1 BaseBasic Max.Max. 1010 Max.Max. 128128 Non supportatoNot Supported 100 Mbps100 Mbps Non supportatoNot Supported NoNo
Generation1Generation1 VpnGw1VpnGw1 Max.Max. 30*30* Max.Max. 128128 Max.Max. 250250 650 Mbps650 Mbps SupportatoSupported NoNo
Generation1Generation1 VpnGw2VpnGw2 Max.Max. 30*30* Max.Max. 128128 Max.Max. 500500 1 Gbps1 Gbps SupportatoSupported NoNo
Generation1Generation1 VpnGw3VpnGw3 Max.Max. 30*30* Max.Max. 128128 Max.Max. 10001000 1,25 Gbps1.25 Gbps SupportatoSupported NoNo
Generation1Generation1 VpnGw1AZVpnGw1AZ Max.Max. 30*30* Max.Max. 128128 Max.Max. 250250 650 Mbps650 Mbps SupportatoSupported Yes
Generation1Generation1 VpnGw2AZVpnGw2AZ Max.Max. 30*30* Max.Max. 128128 Max.Max. 500500 1 Gbps1 Gbps SupportatoSupported Yes
Generation1Generation1 VpnGw3AZVpnGw3AZ Max.Max. 30*30* Max.Max. 128128 Max.Max. 10001000 1,25 Gbps1.25 Gbps SupportatoSupported Yes
Generation2Generation2 VpnGw2VpnGw2 Max.Max. 30*30* Max.Max. 128128 Max.Max. 500500 1,25 Gbps1.25 Gbps SupportatoSupported NoNo
Generation2Generation2 VpnGw3VpnGw3 Max.Max. 30*30* Max.Max. 128128 Max.Max. 10001000 2,5 Gbps2.5 Gbps SupportatoSupported NoNo
Generation2Generation2 VpnGw4VpnGw4 Max.Max. 30*30* Max.Max. 128128 Max.Max. 50005000 5 Gbps5 Gbps SupportatoSupported NoNo
Generation2Generation2 VpnGw5VpnGw5 Max.Max. 30*30* Max.Max. 128128 Max.Max. 1000010000 10 Gbps10 Gbps SupportatoSupported NoNo
Generation2Generation2 VpnGw2AZVpnGw2AZ Max.Max. 30*30* Max.Max. 128128 Max.Max. 500500 1,25 Gbps1.25 Gbps SupportatoSupported Yes
Generation2Generation2 VpnGw3AZVpnGw3AZ Max.Max. 30*30* Max.Max. 128128 Max.Max. 10001000 2,5 Gbps2.5 Gbps SupportatoSupported Yes
Generation2Generation2 VpnGw4AZVpnGw4AZ Max.Max. 30*30* Max.Max. 128128 Max.Max. 50005000 5 Gbps5 Gbps SupportatoSupported Yes
Generation2Generation2 VpnGw5AZVpnGw5AZ Max.Max. 30*30* Max.Max. 128128 Max.Max. 1000010000 10 Gbps10 Gbps SupportatoSupported Yes

(*) Usare la WAN virtuale se servono più di 30 tunnel VPN S2S.(*) Use Virtual WAN if you need more than 30 S2S VPN tunnels.

  • Il ridimensionamento degli SKU VpnGw è consentito all'interno della stessa generazione, eccetto il ridimensionamento dello SKU Basic.The resizing of VpnGw SKUs is allowed within the same generation, except resizing of the Basic SKU. Lo SKU Basic è uno SKU legacy e presenta alcune limitazioni in termini di funzionalità.The Basic SKU is a legacy SKU and has feature limitations. Per passare da Basic a un altro SKU VpnGw, è necessario eliminare il gateway VPN dello SKU Basic e creare un nuovo gateway con la combinazione di generazione e dimensioni dello SKU preferita.In order to move from Basic to another VpnGw SKU, you must delete the Basic SKU VPN gateway and create a new gateway with the desired Generation and SKU size combination.

  • Questi limiti di connessione sono separati.These connection limits are separate. Ad esempio, è possibile avere 128 connessioni SSTP e anche 250 connessioni IKEv2 in uno SKU VpnGw1.For example, you can have 128 SSTP connections and also 250 IKEv2 connections on a VpnGw1 SKU.

  • Le informazioni sui prezzi sono disponibili nella pagina Prezzi .Pricing information can be found on the Pricing page.

  • Le informazioni sul contratto di servizio sono disponibili nella pagina SLA (Contratto di servizio).SLA (Service Level Agreement) information can be found on the SLA page.

  • In un singolo tunnel è possibile ottenere una velocità effettiva massima di 1 Gbps.On a single tunnel a maximum of 1 Gbps throughput can be achieved. Il benchmark della velocità effettiva aggregata nella tabella precedente si basa sulle misurazioni di più tunnel aggregati tramite un singolo gateway.Aggregate Throughput Benchmark in the above table is based on measurements of multiple tunnels aggregated through a single gateway. Il benchmark della velocità effettiva aggregata per un gateway VPN è S2S + P2S combinati.The Aggregate Throughput Benchmark for a VPN Gateway is S2S + P2S combined. Se si hanno molte connessioni P2S, si può avere un impatto negativo su una connessione S2S a causa delle limitazioni relative alla velocità effettiva.If you have a lot of P2S connections, it can negatively impact a S2S connection due to throughput limitations. Il benchmark della velocità effettiva aggregata non rappresenta una velocità effettiva garantita, perché può variare anche in funzione delle condizioni del traffico Internet e dei comportamenti dell'applicazione.The Aggregate Throughput Benchmark is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

Per aiutare i clienti a comprendere le prestazioni relative degli SKU che usano algoritmi diversi, sono stati usati gli strumenti iPerf e CTSTraffic disponibili pubblicamente per misurare le prestazioni.To help our customers understand the relative performance of SKUs using different algorithms, we used publicly available iPerf and CTSTraffic tools to measure performances. La tabella seguente elenca i risultati dei test delle prestazioni per gli SKU VpnGw Generation1.The table below lists the results of performance tests for Generation 1, VpnGw SKUs. È possibile notare come si ottengano le prestazioni migliori quando viene usato l'algoritmo GCMAES256 per la crittografia e l'integrità IPsec.As you can see, the best performance is obtained when we used GCMAES256 algorithm for both IPsec Encryption and Integrity. Quando viene usato AES256 per la crittografia IPsec e SHA256 per l'integrità, si ottengono prestazioni medie.We got average performance when using AES256 for IPsec Encryption and SHA256 for Integrity. Quando infine viene usato DES3 per la crittografia IPsec e SHA256 per l'integrità, si ottengono le prestazioni più basse.When we used DES3 for IPsec Encryption and SHA256 for Integrity we got lowest performance.

GenerationGeneration SKUSKU Algoritmi
usati
Algorithms
used
Velocità effettiva
osservata
Throughput
observed
Pacchetti al secondo
osservati
Packets per second
observed
Generation1Generation1 VpnGw1VpnGw1 GCMAES256GCMAES256
AES256 e SHA256AES256 & SHA256
DES3 e SHA256DES3 & SHA256
650 Mbps650 Mbps
500 Mbps500 Mbps
120 Mbps120 Mbps
58.00058,000
50.00050,000
50.00050,000
Generation1Generation1 VpnGw2VpnGw2 GCMAES256GCMAES256
AES256 e SHA256AES256 & SHA256
DES3 e SHA256DES3 & SHA256
1 Gbps1 Gbps
500 Mbps500 Mbps
120 Mbps120 Mbps
90.00090,000
80.00080,000
55.00055,000
Generation1Generation1 VpnGw3VpnGw3 GCMAES256GCMAES256
AES256 e SHA256AES256 & SHA256
DES3 e SHA256DES3 & SHA256
1,25 Gbps1.25 Gbps
550 Mbps550 Mbps
120 Mbps120 Mbps
105.000105,000
90.00090,000
60.00060,000
Generation1Generation1 VpnGw1AZVpnGw1AZ GCMAES256GCMAES256
AES256 e SHA256AES256 & SHA256
DES3 e SHA256DES3 & SHA256
650 Mbps650 Mbps
500 Mbps500 Mbps
120 Mbps120 Mbps
58.00058,000
50.00050,000
50.00050,000
Generation1Generation1 VpnGw2AZVpnGw2AZ GCMAES256GCMAES256
AES256 e SHA256AES256 & SHA256
DES3 e SHA256DES3 & SHA256
1 Gbps1 Gbps
500 Mbps500 Mbps
120 Mbps120 Mbps
90.00090,000
80.00080,000
55.00055,000
Generation1Generation1 VpnGw3AZVpnGw3AZ GCMAES256GCMAES256
AES256 e SHA256AES256 & SHA256
DES3 e SHA256DES3 & SHA256
1,25 Gbps1.25 Gbps
550 Mbps550 Mbps
120 Mbps120 Mbps
105.000105,000
90.00090,000
60.00060,000

È possibile usare la CA radice della PKI interna per la connettività da punto a sito?Can I use my own internal PKI root CA for Point-to-Site connectivity?

Sì.Yes. In precedenza, era possibile utilizzare solo certificati radice autofirmati.Previously, only self-signed root certificates could be used. È ancora possibile caricare fino a 20 certificati radice.You can still upload up to 20 root certificates.

È possibile attraversare proxy e firewall con la funzionalità da punto a sito?Can I traverse proxies and firewalls by using Point-to-Site?

Sì.Yes. Viene usato Secure Sockets Tunneling Protocol (SSTP) per effettuare il tunneling tramite firewall.We use Secure Socket Tunneling Protocol (SSTP) to tunnel through firewalls. Questo tunnel viene visualizzato come connessione HTTPS.This tunnel appears as an HTTPS connection.

Se si riavvia un computer client configurato per la funzionalità Da punto a sito, la VPN verrà riconnessa automaticamente?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Per impostazione predefinita, il computer client non ristabilirà automaticamente la connessione VPN.By default, the client computer won't reestablish the VPN connection automatically.

La funzionalità Da punto a sito supporta la riconnessione automatica e DDNS nei client VPN?Does Point-to-Site support auto reconnect and DDNS on the VPN clients?

No.No. La riconnessione automatica e DDNS non sono supportati attualmente nelle VPN da punto a sito.Auto reconnect and DDNS are currently not supported in Point-to-Site VPNs.

È possibile la coesistenza di configurazioni da sito a sito e da punto a sito per la stessa rete virtuale?Can I have Site-to-Site and Point-to-Site configurations for the same virtual network?

Sì.Yes. Entrambe le soluzioni funzionano se si ha un tipo di VPN basata su route per il gateway.Both solutions will work if you have a RouteBased VPN type for your gateway. Per il modello di distribuzione classica è necessario un gateway dinamico.For the classic deployment model, you need a dynamic gateway. Non viene fornito il supporto per i gateway VPN con routing statico da punto a sito o i gateway che usano il cmdlet -VpnType PolicyBased.We don't support Point-to-Site for static routing VPN gateways or gateways that use the -VpnType PolicyBased cmdlet.

È possibile configurare un client da punto a sito per connettersi contempo a più reti virtuali?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Sì.Yes. I prefissi IP delle reti virtuali non devono tuttavia essere sovrapposti e gli spazi degli indirizzi da punto a sito non devono sovrapporsi tra le reti virtuali.However, the virtual networks can't have overlapping IP prefixes and the Point-to-Site address spaces must not overlap between the virtual networks.

Che velocità effettiva è possibile prevedere usando connessioni da sito a sito o da punto a sito?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

È difficile mantenere esattamente la velocità effettiva tramite i tunnel VPN.It's difficult to maintain the exact throughput of the VPN tunnels. IPSec e SSTP sono protocolli VPN con un elevato livello di crittografia.IPsec and SSTP are crypto-heavy VPN protocols. La velocità effettiva è limitata inoltre dalla latenza e dalla larghezza di banda tra le sedi locali e Internet.Throughput is also limited by the latency and bandwidth between your premises and the internet.

Passaggi successiviNext steps