Configurare una connessione da punto a sito a una rete virtuale usando l'autenticazione del certificato di Azure nativo: portale di Azure

Questo articolo illustra come creare una rete virtuale con una connessione da punto a sito nel modello di distribuzione Resource Manager usando PowerShell. Questa configurazione usa i certificati per l'autenticazione. In questa configurazione il gateway VPN di Azure esegue la convalida del certificato, invece che di un server RADIUS. È anche possibile creare questa configurazione usando strumenti o modelli di distribuzione diversi selezionando un'opzione differente nell'elenco seguente:

Un gateway VPN da punto a sito (P2S) consente di creare una connessione sicura alla rete virtuale da un singolo computer client. Le connessioni VPN da punto a sito sono utili per connettersi alla rete virtuale da una posizione remota, ad esempio nel caso di telecomunicazioni da casa o durante una riunione. Una VPN P2S è anche una soluzione utile da usare al posto di una VPN da sito a sito quando solo pochi client devono connettersi a una rete virtuale. Una connessione VPN P2S viene avviata dai dispositivi Windows e Mac.

I client che si connettono possono usare i metodi di autenticazione seguenti:

  • Server RADIUS: attualmente in fase di anteprima
  • Autenticazione del certificato di Azure nativo tramite il gateway VPN

Questo articolo illustra come eseguire una configurazione P2S con l'autenticazione usando l'autenticazione del certificato di Azure nativo. Per usare RADIUS per autenticare gli utenti che si connettono, vedere P2S using RADIUS authentication (P2S con autenticazione RADIUS).

Connettere un computer a una rete virtuale di Azure: diagramma di connessione da punto a sito

Le connessioni da punto a sito non richiedono un dispositivo VPN o un indirizzo IP pubblico. La modalità da punto a sito crea la connessione VPN tramite SSTP (Secure Sockets Tunneling Protocol) o IKEv2.

  • SSTP è un tunnel VPN basato su SSL supportato solo nelle piattaforme client Windows. Può penetrare i firewall e per questo è l'opzione ideale per connettersi ad Azure ovunque. Sul lato server sono supportate le versioni 1.0, 1.1 e 1.2 di SSTP. Il client decide quale versione usare. Per Windows 8.1 e versioni successive, SSTP usa per impostazione predefinita la versione 1.2.

  • VPN IKEv2, una soluzione VPN IPsec basata su standard. VPN IKEv2 può essere usato per connettersi da dispositivi Mac (versioni OSX 10.11 e successive). IKEv2 è attualmente in fase di anteprima.

Le connessioni da punto a sito con l'autenticazione del certificato di Azure nativo richiedono gli elementi seguenti:

  • Un gateway VPN RouteBased.
  • La chiave pubblica (file CER) per un certificato radice, caricato in Azure. Il certificato, dopo essere stato caricato, viene considerato un certificato attendibile e viene usato per l'autenticazione.
  • Un certificato client generato dal certificato radice e installato in ogni computer client che si connetterà alla rete virtuale. Questo certificato viene usato per l'autenticazione client.
  • Una configurazione del client VPN. I file di configurazione del client VPN contengono le informazioni necessarie per la connessione del client alla rete virtuale. I file configurano il client VPN esistente, nativo del sistema operativo. Ogni client che si connette deve essere configurato usando le impostazioni nei file di configurazione.

Per altre informazioni al riguardo, vedere About Point-to-Site connections (Informazioni sulle connessioni da punto a sito).

Valori di esempio

È possibile usare i valori seguenti per creare un ambiente di test o fare riferimento a questi valori per comprendere meglio gli esempi di questo articolo:

  • Nome della rete virtuale: VNet1
  • Spazio indirizzi: 192.168.0.0/16
    Per questo esempio, viene usato un solo spazio indirizzi. È possibile avere più di uno spazio indirizzi per la rete virtuale.
  • Nome subnet: FrontEnd
  • Intervallo di indirizzi subnet: 192.168.1.0/24
  • Sottoscrizione: se si hanno più sottoscrizioni, verificare di usare quella corretta.
  • Gruppo di risorse: TestRG
  • Località: Stati Uniti orientali
  • GatewaySubnet: 192.168.200.0/24
  • Server DNS: (facoltativo) indirizzo IP del server DNS che si vuole usare per la risoluzione dei nomi.
  • Nome gateway di rete virtuale: VNet1GW
  • Tipo di gateway: VPN
  • Tipo VPN: Basato su route
  • Nome indirizzo IP pubblico: VNet1GWpip
  • Tipo di connessione: Da punto a sito
  • Pool di indirizzi client: 172.16.201.0/24
    I client VPN che si connettono alla rete virtuale con questa connessione da punto a sito ricevono un indirizzo IP dal pool di indirizzi client.

1. Crea rete virtuale

Prima di iniziare, verificare di possedere una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, è possibile attivare i vantaggi per i sottoscrittori di MSDN oppure iscriversi per ottenere un account gratuito.

Per creare una rete virtuale nel modello di distribuzione Resource Manager usando il portale di Azure, seguire questa procedura. Gli screenshot sono forniti come esempi. Assicurarsi di sostituire i valori con i propri. Per altre informazioni sull'uso delle reti virtuali, vedere la panoramica sulla rete virtuale.

  1. In un browser passare al portale di Azure e, se necessario, accedere con l'account Azure.
  2. Fare clic su + Nel campo Cerca nel Marketplace digitare "Rete virtuale". Individuare Rete virtuale nell'elenco restituito e fare clic per aprire la pagina Rete virtuale.

    Pagina per individuare la risorsa Rete virtuale

  3. Nella parte inferiore della pagina Rete virtuale selezionare Resource Manager nell'elenco Selezionare un modello di distribuzione e quindi fare clic su Crea.

    Selezionare Resource Manager

  4. Nella pagina Crea rete virtuale configurare le impostazioni della rete virtuale. Durante la compilazione dei campi, il punto esclamativo rosso diventa un segno di spunta verde se i caratteri immessi nel campo sono validi. Alcuni valori possono essere compilati automaticamente. In questo caso, sostituire i valori con quelli personalizzati. La pagina Crea rete virtuale ha un aspetto simile all'esempio seguente:

    Convalida dei campi

  5. Nome: immettere un nome per la rete virtuale.
  6. Spazio indirizzi: immettere lo spazio degli indirizzi. Se si hanno più spazi di indirizzi da aggiungere, aggiungere il primo. È possibile aggiungere altri spazi di indirizzi in un secondo momento, dopo aver creato la rete virtuale.
  7. Nome subnet: aggiungere il nome e l'intervallo di indirizzi della subnet. È possibile aggiungere altre subnet in un secondo momento, dopo aver creato la rete virtuale.
  8. Sottoscrizione: verificare che sia visualizzata la sottoscrizione corretta. È possibile cambiare sottoscrizione tramite l'elenco a discesa.
  9. Gruppo di risorse: selezionare un gruppo di risorse esistente o crearne uno nuovo digitandone il nome. Se si crea un nuovo gruppo, denominare il gruppo di risorse in base ai valori di configurazione pianificati. Per altre informazioni sui gruppi di risorse, vedere Panoramica di Gestione risorse di Azure.
  10. Località: selezionare la località della rete virtuale. La località determina la posizione in cui risiedono le risorse distribuite in questa rete virtuale.
  11. Selezionare Aggiungi al dashboard se si vuole trovare facilmente la rete virtuale nel dashboard e quindi fare clic su Crea.

    Aggiungi al dashboard

  12. Dopo aver fatto clic su Crea, verrà visualizzato un riquadro nel dashboard che riflette lo stato di avanzamento della rete virtuale. Il riquadro cambia durante la creazione della rete virtuale.

    Riquadro Creazione della rete virtuale

2. Aggiungere una subnet del gateway

Prima di connettere la rete virtuale a un gateway, è necessario creare la subnet del gateway per la rete virtuale con cui si vuole stabilire la connessione. Il servizio del gateway usa gli indirizzi IP specificati nella subnet del gateway. Se possibile, creare una subnet del gateway con un blocco CIDR di /28 o /27 per fornire indirizzi IP sufficienti a soddisfare altri requisiti di configurazione futuri.

  1. Nel portale passare alla rete virtuale di Resource Manager per cui si vuole creare un gateway di rete virtuale.
  2. Nella sezione Impostazioni della pagina della rete virtuale fare clic su Subnet per espandere la pagina Subnet.
  3. Nella pagina Subnet fare clic su +Subnet del gateway per aprire la pagina Aggiungi subnet.

    Aggiungere la subnet del gateway

  4. Il nome della subnet verrà compilato automaticamente con il valore 'GatewaySubnet'. Questo valore è obbligatorio per consentire ad Azure di riconoscere la subnet come subnet del gateway. Modificare i valori di Intervallo di indirizzi inseriti automaticamente in modo che corrispondano ai requisiti della configurazione e quindi fare clic su OK nella parte inferiore della pagina per creare la subnet.

    Aggiunta della subnet

3. Specificare un server DNS (facoltativo)

Dopo aver creato la rete virtuale, è possibile aggiungere l'indirizzo IP di un server DNS per gestire la risoluzione dei nomi. Il server DNS è facoltativo per questa configurazione, ma obbligatorio per la risoluzione dei nomi. Se si specifica un valore, non verrà creato un nuovo server DNS. L'indirizzo IP del server DNS specificato deve essere un server DNS in grado di risolvere i nomi per le risorse a cui ci si connette. Per questo esempio, è stato usato un indirizzo IP privato, ma è probabile che non si tratti dell'indirizzo IP del server DNS. Assicurarsi di usare valori personalizzati. Il valore specificato viene usato dalle risorse distribuite nella rete virtuale, non dalla connessione P2S o dal client VPN.

  1. Nella pagina Impostazioni della rete virtuale passare a Server DNS e fare clic per aprire il pannello corrispondente.

    Aggiungi server DNS

    • Server DNS: selezionare Personalizzato.
    • Aggiungi server DNS: immettere l'indirizzo IP del server DNS che si vuole usare per la risoluzione dei nomi.
  2. Dopo aver aggiunto i server DNS, fare clic su Salva nella parte superiore del pannello.

4. Creare un gateway di rete virtuale

  1. Sul lato sinistro del portale fare clic su + e digitare "Gateway di rete virtuale" nella casella di ricerca. Individuare Gateway di rete virtuale nei risultati della ricerca e fare clic sulla voce. Nella pagina Gateway di rete virtuale fare clic su Crea nella parte inferiore per aprire la pagina Crea gateway di rete virtuale.
  2. Nella pagina Crea gateway di rete virtuale inserire i valori per il gateway di rete virtuale.

    Campi nella pagina Crea gateway di rete virtuale

  3. Nome: assegnare un nome al gateway. Questa operazione non corrisponde all'assegnazione di un nome a una subnet del gateway. Si tratta del nome dell'oggetto gateway che verrà creato.
  4. Tipo di gateway: selezionare VPN. I gateway VPN usano il gateway di rete virtuale di tipo VPN.
  5. Tipo VPN: selezionare il tipo di VPN specificato per la configurazione. La maggior parte delle configurazioni richiede un tipo di VPN basato su route.
  6. SKU: selezionare lo SKU del gateway dall'elenco a discesa. Gli SKU disponibili nell'elenco a discesa dipendono dal tipo di VPN selezionato.
  7. Località: modificare il campo Località in modo che faccia riferimento alla località in cui si trova la rete virtuale. Se la località non fa riferimento all'area in cui si trova la rete virtuale, quest'ultima non verrà visualizzata nell'elenco a discesa "Scegliere una rete virtuale".
  8. Scegliere la rete virtuale a cui si vuole aggiungere un gateway. Fare clic su Rete virtuale per aprire la pagina Scegliere una rete virtuale. Selezionare la rete virtuale. Se la rete virtuale non viene visualizzata, verificare che il campo Località faccia riferimento all'area in cui si trova la rete virtuale.
  9. Indirizzo IP pubblico: verrà creato un oggetto indirizzo IP pubblico a cui verrà assegnato dinamicamente un indirizzo IP pubblico. Fare clic su Indirizzo IP pubblico per aprire la pagina Scegli indirizzo IP pubblico. Fare clic su +Crea nuovo per aprire la pagina Crea indirizzo IP pubblico. Immettere un nome per l'indirizzo IP pubblico. Fare clic su OK per salvare le modifiche. L'indirizzo IP viene assegnato dinamicamente durante la creazione del gateway VPN. Il gateway VPN supporta attualmente solo l'allocazione degli indirizzi IP pubblici dinamici. Ciò non significa tuttavia che l'indirizzo IP venga modificato dopo l'assegnazione al gateway VPN. L'indirizzo IP pubblico viene modificato solo quando il gateway viene eliminato e ricreato. Non viene modificato in caso di ridimensionamento, reimpostazione o altre manutenzioni/aggiornamenti del gateway VPN.
  10. Sottoscrizione: verificare che sia selezionata la sottoscrizione corretta.
  11. Gruppo di risorse: questa impostazione è determinata dalla rete virtuale selezionata.
  12. Non modificare il valore di Località dopo aver specificato le impostazioni precedenti.
  13. Verificare le impostazioni. È possibile selezionare Aggiungi al dashboard nella parte inferiore della pagina se si vuole che il gateway venga visualizzato nel dashboard.
  14. Fare clic su Crea per iniziare a creare il gateway. Le impostazioni vengono convalidate e il gateway viene distribuito. La creazione di un gateway può richiedere fino a 45 minuti.

Dopo la creazione del gateway, è possibile verificare l'indirizzo IP assegnato visualizzando la rete virtuale. Il gateway viene visualizzato come un dispositivo connesso. È possibile fare clic sul dispositivo connesso, ovvero il gateway di rete virtuale, per visualizzare altre informazioni.

5. Generare i certificati

I certificati vengono usati da Azure per autenticare i client che si connettono a una rete virtuale tramite una connessione VPN da punto a sito. Dopo avere ottenuto un certificato radice, è necessario caricare le informazioni della chiave pubblica in Azure. Il certificato radice viene quindi considerato "attendibile" da Azure per la connessione da punto a sito alla rete virtuale. È anche possibile generare i certificati client dal certificato radice considerato attendibile e quindi installarli in ogni computer client. Il certificato client viene usato per l'autenticazione del client all'avvio di una connessione alla rete virtuale.

1. Ottenere il file CER per il certificato radice

È possibile usare un certificato radice generato tramite una soluzione aziendale (opzione consigliata) oppure generare un certificato autofirmato. Dopo avere creato il certificato radice, esportare i dati del certificato pubblico (non la chiave privata) come file CER X.509 con codifica Base 64 e caricarli in Azure.

  • Certificato aziendale: se si tratta di una soluzione aziendale, è possibile usare la catena di certificati esistente. Ottenere il file con estensione cer per il certificato radice che si vuole usare.
  • Certificato radice autofirmato: se non si usa una soluzione aziendale per la creazione di certificati, è necessario creare un certificato radice autofirmato. È importante seguire i passaggi di uno dei due articoli seguenti relativi ai certificati da punto a sito (P2S). In caso contrario, i certificati creati non saranno compatibili con le connessioni da punto a sito e i client riceveranno un errore di connessione quando provano a connettersi. I passaggi in uno degli articoli seguenti generano un certificato compatibile:

    • Istruzioni per Windows 10 PowerShell: queste istruzioni richiedono Windows 10 e PowerShell per generare i certificati. I certificati client generati dal certificato radice possono essere installati in qualsiasi client da punto a sito supportato.
    • Istruzioni per MakeCert: se non si ha accesso a un computer con Windows 10, è possibile usare MakeCert per generare i certificati. MakeCert è deprecato, ma è comunque possibile usarlo per generare i certificati. I certificati client generati dal certificato radice possono essere installati in qualsiasi client da punto a sito supportato.

2. Generazione di un certificato client

Ogni computer client che si connette a una rete virtuale usando la soluzione Da punto a sito deve avere un certificato client installato. Il certificato client viene generato dal certificato radice e viene installato in ogni computer client. Se non è stato installato un certificato client valido e il client prova a connettersi alla rete virtuale, l'autenticazione avrà esito negativo.

È possibile generare un certificato univoco per ogni client oppure usare lo stesso certificato per più client. Generare certificati client univoci offre il vantaggio di poter revocare un singolo certificato. In caso contrario, se più client utenti usano lo stesso certificato client e questo deve essere revocato, è necessario generare e installare nuovi certificati per tutti i client che usano tale certificato per l'autenticazione.

È possibile generare i certificati client usando i metodi seguenti:

  • Certificato aziendale:

    • Se si usa una soluzione aziendale per la creazione di certificati, generare un certificato client con il valore di nome comune nel formato "name@yourdomain.com", invece che nel formato "nome dominio\nome utente".
    • Verificare che il certificato client sia basato sul modello di certificato "Utente" con "Autenticazione client" come primo elemento nell'elenco d'uso, invece di Accesso smart card e così via. È possibile controllare il certificato facendo doppio clic sul certificato client e aprendo Dettagli > Utilizzo chiavi avanzato.
  • Certificato radice autofirmato: è importante seguire i passaggi di uno dei due articoli seguenti relativi ai certificati da punto a sito (P2S). In caso contrario, i certificati client creati non saranno compatibili con le connessioni da punto a sito e i client riceveranno un errore quando provano a connettersi. I passaggi in uno degli articoli seguenti generano un certificato client compatibile:

    • Istruzioni per Windows 10 PowerShell: queste istruzioni richiedono Windows 10 e PowerShell per generare i certificati. I certificati generati possono essere installati in qualsiasi client da punto a sito supportato.
    • Istruzioni per MakeCert: se non si ha accesso a un computer con Windows 10, è possibile usare MakeCert per generare i certificati. MakeCert è deprecato, ma è comunque possibile usarlo per generare i certificati. I certificati generati possono essere installati in qualsiasi client da punto a sito supportato.

    Se si genera un certificato client da un certificato radice autofirmato usando le istruzioni precedenti, viene eseguita l'installazione automatica nel computer usato per generarlo. Se si vuole installare un certificato client in un altro computer client, è necessario esportarlo come file con estensione pfx, insieme all'intera catena di certificati. Viene creato un file PFX contenente le informazioni del certificato radice necessarie per la corretta autenticazione del client. Per i passaggi per l'esportazione di un certificato, vedere Certificati - Esportare un certificato client.

6. Aggiungere il pool di indirizzi client

Il pool di indirizzi client è un intervallo di indirizzi IP privati specificati dall'utente. I client che si connettono tramite VPN da punto a sito ricevono un indirizzo IP da questo intervallo. Usare un intervallo di indirizzi IP privati che non si sovrapponga con la posizione locale da cui viene effettuata la connessione o con la rete virtuale a cui ci si vuole connettere.

  1. Dopo avere creato il gateway di rete virtuale, andare alla sezione Impostazioni della pagina della rete virtuale. Nella sezione Impostazioni fare clic su Configurazione da punto a sito per aprire la pagina Configurazione da punto a sito.

    Pagina Configurazione da punto a sito

  2. Nella pagina Configurazione da punto a sito è possibile eliminare l'intervallo compilato automaticamente e quindi aggiungere l'intervallo di indirizzi IP privati da usare. Fare clic su Salva per convalidare e salvare le impostazioni.

    Pool di indirizzi client

7. Caricare i dati del certificato pubblico per il certificato radice

Dopo la creazione del gateway, si caricano le informazioni sulla chiave pubblica per il certificato radice in Azure. Al termine del caricamento dei dati del certificato pubblico, Azure li può usare per autenticare i client che hanno installato un certificato client generato dal certificato radice attendibile. È possibile caricare fino a 20 certificati radice attendibili aggiuntivi.

  1. I certificati vengono aggiunti nella pagina Configurazione da punto a sito nella sezione Certificato radice.
  2. Verificare di avere esportato il certificato radice come file X.509 con codifica in base 64 (CER). È necessario esportare il certificato in questo formato per poterlo aprire con un editor di testo.
  3. Aprire il certificato con un editor di testo, ad esempio il Blocco note. Durante la copia dei dati del certificato, assicurarsi di copiare il testo come unica riga continua senza ritorni a capo o avanzamenti riga. Potrebbe essere necessario modificare la visualizzazione nell'editor di testo in "Show Symbol/Show all characters" (Mostra simbolo/Mostra tutti i caratteri) per visualizzare i ritorni a capo e gli avanzamenti riga. Copiare solo la sezione seguente come un'unica riga continua:

    Dati del certificato

  4. Incollare i dati del certificato nel campo Public Certificate Data (Dati del certificato pubblico). Dare un nome al certificato e fare quindi clic su Salva. È possibile aggiungere fino a 20 certificati radice attendibili.

    Caricamento del certificato

8. Installare un certificato client esportato

Se si vuole creare una connessione da punto a sito da un computer client diverso da quello usato per generare i certificati client, è necessario installare un certificato client. Quando si installa un certificato client, è necessaria la password che è stata creata durante l'esportazione del certificato client.

Verificare che il certificato client sia stato esportato come PFX con l'intera catena di certificati (impostazione predefinita). In caso contrario, le informazioni del certificato radice non sono presenti nel computer client e il client non potrà essere autenticato correttamente.

Per la procedura di installazione, vedere Install a client certificate (Installare un certificato client).

9. Generare e installare il pacchetto di configurazione del client VPN

I file di configurazione del client VPN contengono le impostazioni per configurare i dispositivi per la connessione a una rete virtuale tramite una connessione P2S. Per le istruzioni per generare e installare i file di configurazione del client VPN, vedere Create and install VPN client configuration files for native Azure certificate authentication P2S configurations (Creare e installare i file di configurazione del client VPN per le configurazioni P2S per l'autenticazione del certificato di Azure nativo).

10. Connect to Azure

Per connettersi da un client VPN Windows

  1. Per connettersi alla rete virtuale, nel computer client passare alle connessioni VPN e individuare quella creata, che ha lo stesso nome della rete virtuale locale. Fare clic su Connetti. È possibile che venga visualizzato un messaggio popup che fa riferimento all'uso del certificato. Fare clic su Continua per usare privilegi elevati.

  2. Nella pagina Stato connessione fare clic su Connetti per avviare la connessione. Se viene visualizzato un Seleziona certificato dello schermo, verificare che il certificato client visualizzato sia quello che si desidera utilizzare per la connessione. In caso contrario, usare la freccia a discesa per selezionare il certificato corretto e quindi fare clic su OK.

    Connessione del client VPN ad Azure

  3. Verrà stabilita la connessione.

    Connessione stabilita

Risoluzione dei problemi delle connessioni P2S Windows

In caso di problemi di connessione, effettuare i controlli seguenti:

  • Se è stato esportato un certificato client, assicurarsi che si tratti di un file PFX con il valore predefinito "Se possibile, includi tutti i certificati nel percorso certificazione". Usando questo valore per l'esportazione, vengono esportate anche le informazioni del certificato radice. Quando il certificato viene installato nel computer client, anche il certificato radice contenuto nel file PFX viene installato nel computer client. Nel computer client devono essere installate le informazioni del certificato radice. Per verificare, aprire Gestire i certificati utente e passare ad Autorità di certificazione radice attendibili\Certificati. Verificare che il certificato radice sia incluso nell'elenco. Per il corretto funzionamento dell'autenticazione è necessario che il certificato radice sia presente.

  • Se si usa un certificato che è stato rilasciato tramite una soluzione CA globale e si riscontrano problemi durante l'autenticazione, controllare l'ordine di autenticazione del certificato client. È possibile controllare l'ordine dell'elenco di autenticazione facendo doppio clic sul certificato client e andando in Dettagli > Utilizzo chiavi avanzato. Assicurarsi che l'elenco mostri "Autenticazione client" come primo elemento. In caso contrario, è necessario emettere un certificato client in base al modello di utente con l'autenticazione client come primo elemento nell'elenco.

  • Per altre informazioni sulla risoluzione dei problemi delle connessioni P2S, vedere Risoluzione dei problemi di connessione da punto a sito.

Per connettersi da un client VPN Mac

Dalla finestra di dialogo Rete individuare il profilo client che si vuole usare, quindi fare clic su Connessione.

Connessione Mac

Per verificare la connessione

Queste istruzioni si applicano ai client Windows.

  1. Per verificare che la connessione VPN è attiva, aprire un prompt dei comandi con privilegi elevati ed eseguire ipconfig/all.
  2. Visualizzare i risultati. Si noti che l'indirizzo IP ricevuto è uno degli indirizzi compresi nel pool di indirizzi del client VPN da punto a sito specificato al momento della configurazione. I risultati sono simili a questo esempio:

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.3(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

Per connettersi a una macchina virtuale

Queste istruzioni si applicano ai client Windows.

È possibile connettersi a una VM distribuita nella rete virtuale creando una connessione Desktop remoto alla VM. Il modo migliore per verificare inizialmente che è possibile connettersi alla VM consiste nel connettersi usando il rispettivo indirizzo IP privato, invece del nome del computer. Ciò consente di verificare se è possibile connettersi, non se la risoluzione dei nomi è configurata correttamente.

  1. Individuare l'indirizzo IP privato. È possibile trovare l'indirizzo IP privato di una VM esaminando le proprietà per la VM nel portale di Azure oppure usando PowerShell.

    • Portale di Azure: individuare la macchina virtuale nel portale di Azure. Visualizzare le proprietà per la VM. Viene elencato l'indirizzo IP.

    • PowerShell: usare l'esempio per visualizzare un elenco di macchine virtuali e di indirizzi IP privati dai gruppi di risorse. Non è necessario modificare questo esempio prima di usarlo.

      $VMs = Get-AzureRmVM
      $Nics = Get-AzureRmNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
       $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
       $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
       $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
       Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Verificare di essere connessi alla rete virtuale usando la connessione VPN da punto a sito.

  3. Aprire la connessione Desktop remoto digitando "RDP" o "Connessione Desktop remoto" nella casella di ricerca sulla barra delle applicazioni, quindi selezionare Connessione Desktop remoto. È anche possibile aprire una connessione Desktop remoto usando il comando "mstsc" in PowerShell.
  4. In Connessione Desktop remoto immettere l'indirizzo IP privato della VM. È possibile fare clic su "Mostra opzioni" per modificare altre impostazioni e quindi connettersi.

Per risolvere i problemi di una connessione RDP a una VM

Se si verificano problemi di connessione a una macchina virtuale tramite la connessione VPN, controllare gli elementi seguenti:

  • Verificare che la connessione VPN sia attiva.
  • Verificare che venga effettuata la connessione all'indirizzo IP privato per la VM.
  • Usare "ipconfig" per controllare l'indirizzo IPv4 assegnato alla scheda Ethernet nel computer da cui viene effettuata la connessione. Se l'indirizzo IP è compreso nell'intervallo di indirizzi della rete virtuale a cui ci si connette o nell'intervallo di indirizzi del pool di indirizzi del client VPN, si verifica la cosiddetta sovrapposizione dello spazio indirizzi. Con questo tipo di sovrapposizione, il traffico di rete non raggiunge Azure e rimane nella rete locale.
  • Se è possibile connettersi alla VM usando l'indirizzo IP privato, ma non il nome del computer, verificare di avere configurato correttamente il valore per DNS. Per altre informazioni sul funzionamento della risoluzione dei nomi per le macchine virtuali, vedere Risoluzione dei nomi per le macchine virtuali.
  • Verificare che il pacchetto di configurazione del client VPN sia stato generato dopo che sono stati specificati gli indirizzi IP del server DNS per la rete virtuale. Se gli indirizzi IP del server DNS sono stati aggiornati, generare e installare un nuovo pacchetto di configurazione del client VPN.
  • Per altre informazioni sulle connessioni RDP, vedere Risolvere i problemi delle connessioni Desktop remoto a una macchina virtuale.

Per aggiungere o rimuovere certificato radice attendibili

È possibile aggiungere e rimuovere certificati radice attendibili da Azure. Quando si rimuove un certificato radice, i client con un certificato generato da tale radice non potranno eseguire l'autenticazione e quindi non potranno connettersi. Per consentire ai client di eseguire l'autenticazione e connettersi, è necessario installare un nuovo certificato client generato da un certificato radice considerato attendibile (caricato) in Azure.

Per aggiungere un certificato radice attendibile

In Azure è possibile aggiungere fino a 20 file CER di certificato radice trusted. Per istruzioni, vedere la sezione relativa al caricamento di un certificato radice attendibile in questo articolo.

Per rimuovere un certificato radice attendibile

  1. Per rimuovere un certificato radice attendibile, passare alla pagina Configurazione da punto a sito per il gateway di rete virtuale.
  2. Nella sezione Certificato radice della pagina individuare il certificato che si vuole rimuovere.
  3. Fare clic sui puntini di sospensione accanto al certificato e quindi fare clic su "Rimuovi".

Per revocare un certificato client

È possibile revocare i certificati client. L'elenco di revoche di certificati consente di negare in modo selettivo la connettività da punto a sito basata sui singoli certificati client. Questa operazione è diversa rispetto alla rimozione di un certificato radice attendibile. Se si rimuove un file con estensione cer del certificato radice attendibile da Azure, viene revocato l'accesso per tutti i certificati client generati o firmati dal certificato radice revocato. La revoca di un certificato client, anziché del certificato radice, consente di continuare a usare gli altri certificati generati dal certificato radice per l'autenticazione.

La regola generale è quella di usare il certificato radice per gestire l'accesso a livello di team o organizzazione, usando i certificati client revocati per il controllo di accesso con granularità fine su singoli utenti.

Revocare un certificato client

È possibile revocare un certificato client aggiungendo l'identificazione personale all'elenco di revoche di certificati.

  1. Ottenere l'identificazione personale del certificato client. Per altre informazioni, vedere Procedura: recuperare l'identificazione personale di un certificato.
  2. Copiare le informazioni in un editor di testo e rimuovere tutti gli spazi in modo che sia una stringa continua.
  3. Passare al gateway di rete virtuale nella pagina Configurazione da punto a sito che è stata usata anche per caricare un certificato radice attendibile.
  4. Nella sezione Certificati revocati immettere un nome descrittivo per il certificato (non deve corrispondere necessariamente alle credenziali del certificato).
  5. Copiare e incollare la stringa di identificazione personale nel campo Identificazione personale.
  6. L'identificazione personale viene convalidata e aggiunta automaticamente all'elenco di revoche. Verrà visualizzato un messaggio che segnala che è in corso l'aggiornamento dell'elenco.
  7. Dopo aver completato l'aggiornamento, il certificato non può più essere usato per la connessione. Ai client che provano a connettersi con questo certificato verrà visualizzato un messaggio che informa che il certificato non è più valido.

Domande frequenti sulla connettività da punto a sito

Quali sistemi operativi client è possibile usare con la connettività da punto a sito?

Sono supportati i sistemi operativi client seguenti:

  • Windows 7 (a 32 e 64 bit)
  • Windows Server 2008 R2 (solo a 64 bit)
  • Windows 8 (a 32 e 64 bit)
  • Windows 8.1 (a 32 e 64 bit)
  • Windows Server 2012 (solo a 64 bit)
  • Windows Server 2012 R2 (solo a 64 bit)
  • Windows 10
  • OSX versione 10.11 per Mac (El Capitan)
  • macOS versione 10.12 per Mac (Sierra)

Quanti endpoint client VPN è possibile includere nella configurazione da punto sito?

Sono supportati fino a 128 client VPN da poter connettere contemporaneamente a una rete virtuale.

È possibile attraversare proxy e firewall con la funzionalità Da punto a sito

Azure supporta due tipi di opzioni VPN da punto a sito:

  • SSTP (Secure Socket Tunneling Protocol). SSTP è una soluzione proprietaria Microsoft basata su SSL che può penetrare i firewall perché la porta TCP 443 usata da SSL viene aperta dalla maggior parte dei firewall.

  • VPN IKEv2. La VPN IKEv2 è una soluzione VPN IPsec basata sugli standard che usa le porte UDP 500 e 4500 e il protocollo IP numero 50. Non sempre queste porte vengono aperte dai firewall ed esiste quindi la possibilità che la VPN IKEv2 non riesca ad attraversare proxy e firewall.

Se si riavvia un computer client configurato per la funzionalità Da punto a sito, la VPN verrà riconnessa automaticamente?

Per impostazione predefinita, tramite il computer client non verrà ristabilita automaticamente la connessione VPN.

La funzionalità Da punto a sito supporta la riconnessione automatica e il DNS dinamico nei client VPN?

La riconnessione automatica e il DNS dinamico non sono supportati attualmente nelle VPN da punto a sito.

È possibile la coesistenza di configurazioni da sito a sito e punto a sito per la stessa rete virtuale?

Sì. Per il modello di distribuzione Resource Manager, è necessario un gateway di tipo VPN RouteBased. Per il modello di distribuzione classica è necessario un gateway dinamico. La configurazione da punto a sito non è supportata per gateway VPN con routing statico o PolicyBased.

È possibile configurare un client da punto a sito per connettersi contempo a più reti virtuali?

No. Un client da punto a sito può connettersi solo alle risorse nella rete virtuale in cui risiede il gateway di rete virtuale.

Che velocità effettiva è possibile prevedere usando connessioni da sito a sito o da punto a sito?

È difficile mantenere esattamente la velocità effettiva tramite i tunnel VPN. IPSec e SSTP sono protocolli VPN con un elevato livello di crittografia. La velocità effettiva è limitata inoltre dalla latenza e dalla larghezza di banda tra le sedi locali e Internet. Per un gateway VPN che ha solo connessioni VPN da punto a sito IKEv2, la velocità effettiva totale che è possibile prevedere dipende dallo SKU del gateway. Per altre informazioni sulla velocità effettiva, vedere SKU del gateway.

Per la connettività da punto a sito è possibile usare qualsiasi client VPN software che supporta SSTP e/o IKEv2?

No. È possibile usare solo il client VPN nativo in Windows per SSTP e il client VPN nativo in Mac per IKEv2. Vedere l'elenco dei sistemi operativi client supportati.

Azure supporta VPN IKEv2 con Windows?

Gli utenti possono connettersi ad Azure utilizzando il client VPN di Windows integrato che supporta IKEv2. Tuttavia, le connessioni IKEv2 da un dispositivo Windows non funzionano nello scenario seguente:

Se il dispositivo dell'utente contiene un numero elevato di certificati radice attendibili, le dimensioni del payload del messaggio durante lo scambio IKE sono elevate e ciò comporta la frammentazione del livello IP. I frammenti vengono rifiutati alla fine di Azure, che comporta l'errore di connessione. Il numero di certificati esatto in cui si verifica questo problema è difficile da stimare. Di conseguenza, il funzionamento delle connessioni IKEv2 dai dispositivi Windows non è garantito. Quando si configura sia SSTP che IKEv2 in un ambiente misto (costituito da dispositivi Windows e Mac), il profilo VPN Windows tenta sempre prima di accedere al tunnel IKEv2. Se l’esito è negativo a causa del problema descritto qui, viene utilizzato l’SSTP.

Oltre a Windows e Mac, quali altre piattaforme supporta Azure per VPN P2S?

Per VPN P2S, Azure supporta solo Windows e Mac.

Si dispone già di un Gateway VPN di Azure distribuito. È possibile attivare RADIUS e/o VPN IKEv2 su di esso?

Sì, è possibile abilitare queste nuove funzionalità del gateway già distribuito, sia tramite Powershell che il portale di Azure.

È possibile usare la CA radice della PKI interna per la connettività da punto a sito?

Sì. In precedenza, era possibile utilizzare solo certificati radice autofirmati. È ancora possibile caricare 20 certificati radice.

Passaggi successivi

Dopo aver completato la connessione, è possibile aggiungere macchine virtuali alle reti virtuali. Per altre informazioni, vedere Macchine virtuali. Per altre informazioni sulla rete e sulle macchine virtuali, vedere Panoramica di rete delle macchine virtuali Linux e Azure.