Creare una connessione da sito a sito nel portale di Azure

Questo articolo illustra come usare il portale di Azure per creare una connessione gateway VPN da sito a sito dalla rete locale alla rete virtuale. I passaggi di questo articolo sono applicabili al modello di distribuzione Resource Manager. È anche possibile creare questa configurazione usando strumenti o modelli di distribuzione diversi selezionando un'opzione differente nell'elenco seguente:

Una connessione gateway VPN da sito a sito viene usata per connettere la rete locale a una rete virtuale di Azure tramite un tunnel VPN IPsec/IKE (IKEv1 o IKEv2). Questo tipo di connessione richiede un dispositivo VPN che si trova in locale con un indirizzo IP pubblico esterno assegnato. Per altre informazioni sui gateway VPN, vedere Informazioni sul gateway VPN.

Diagramma della connessione cross-premise gateway VPN da sito a sito

Prima di iniziare

Prima di iniziare la configurazione, verificare di soddisfare i criteri seguenti:

  • Verificare di avere un dispositivo VPN compatibile e che sia presente un utente in grado di configurarlo. Per altre informazioni sui dispositivi VPN compatibili e sulla configurazione dei dispositivi, vedere Informazioni sui dispositivi VPN.
  • Verificare di avere un indirizzo IPv4 pubblico esterno per il dispositivo VPN. L'indirizzo IP non può trovarsi dietro un NAT.
  • Se non si ha familiarità con gli intervalli degli indirizzi IP disponibili nella configurazione della rete locale, è necessario coordinarsi con qualcuno che possa fornire tali dettagli. Quando si crea questa configurazione, è necessario specificare i prefissi degli intervalli di indirizzi IP che Azure instraderà alla posizione locale. Nessuna delle subnet della rete locale può sovrapporsi alle subnet della rete virtuale a cui ci si vuole connettere.

Valori di esempio

Gli esempi di questo articolo usano i valori seguenti. È possibile usare questi valori per creare un ambiente di test o farvi riferimento per comprendere meglio gli esempi di questo articolo.

  • Nome della rete virtuale: TestVNet1
  • Spazio di indirizzi:
    • 10.11.0.0/16
    • 10.12.0.0/16 (facoltativo per questo esercizio)
  • Subnet:
    • FrontEnd: 10.11.0.0/24
    • BackEnd: 10.12.0.0/24 (facoltativo per questo esercizio)
  • GatewaySubnet: 10.11.255.0/27
  • Gruppo di risorse: TestRG1
  • Località: Stati Uniti orientali
  • Server DNS: facoltativo. L'indirizzo IP del server DNS.
  • Nome gateway di rete virtuale: VNet1GW
  • IP pubblico: VNet1GWIP
  • Tipo VPN: Basato su route
  • Tipo di connessione: Da sito a sito (IPSec)
  • Tipo di gateway: VPN
  • Nome del gateway di rete locale: Site2
  • Nome connessione: VNet1toSite2

1. Crea rete virtuale

Per creare una rete virtuale nel modello di distribuzione Resource Manager usando il portale di Azure, seguire questa procedura. Usare i valori di esempio se si usa questa procedura come esercitazione. In caso contrario, assicurarsi di sostituire i valori di esempio con valori reali. Per altre informazioni sull'uso delle reti virtuali, vedere la panoramica sulla rete virtuale.

  1. In un browser passare al portale di Azure e accedere con l'account Azure.
  2. Fare clic su New. Nel campo Cerca nel Marketplace digitare "Rete virtuale". Trovare Rete virtuale nell'elenco restituito e fare clic per aprire il pannello Rete virtuale.
  3. Nella parte inferiore del pannello Rete virtuale selezionare Resource Manager nell'elenco Selezionare un modello di distribuzione e quindi fare clic su Crea. Verrà aperto il pannello "Crea rete virtuale".

    Pannello Crea rete virtuale

  4. Nel pannello Crea rete virtuale configurare le impostazioni della rete virtuale. Durante la compilazione dei campi, il punto esclamativo rosso diventa un segno di spunta verde se i caratteri immessi nel campo sono validi.

    • Nome: immettere un nome per la rete virtuale. In questo esempio si usa il nome TestVNet1.
    • Spazio indirizzi: immettere lo spazio degli indirizzi. Se si hanno più spazi di indirizzi da aggiungere, aggiungere il primo. È possibile aggiungere altri spazi di indirizzi in un secondo momento, dopo aver creato la rete virtuale. Assicurarsi che lo spazio degli indirizzi specificato non si sovrapponga allo spazio degli indirizzi per la posizione locale.
    • Nome subnet: aggiungere il nome e l'intervallo di indirizzi della prima subnet. È possibile aggiungere altre subnet e la subnet del gateway in un secondo momento, al termine della creazione della rete virtuale.
    • Sottoscrizione: verificare che la sottoscrizione elencata sia corretta. È possibile cambiare sottoscrizione tramite l'elenco a discesa.
    • Gruppo di risorse: selezionare un gruppo di risorse esistente o crearne uno nuovo digitandone il nome. Se si crea un nuovo gruppo, denominare il gruppo di risorse in base ai valori di configurazione pianificati. Per altre informazioni sui gruppi di risorse, vedere Panoramica di Gestione risorse di Azure.
    • Località: selezionare la località della rete virtuale. La località determina la posizione in cui risiedono le risorse distribuite in questa rete virtuale.
  5. Selezionare Aggiungi al dashboard se si vuole trovare facilmente la rete virtuale nel dashboard e quindi fare clic su Crea. Dopo aver fatto clic su Crea, verrà visualizzato un riquadro nel dashboard che riflette lo stato di avanzamento della rete virtuale. Il riquadro cambia durante la creazione della rete virtuale.

2. Specificare un server DNS

Il server DNS non è necessario per creare una connessione da sito a sito. Se tuttavia si vuole ottenere la risoluzione dei nomi per le risorse distribuite nella rete virtuale, è necessario specificare un server DNS. Questa impostazione consente di specificare il server DNS da usare per la risoluzione dei nomi nella rete virtuale. Non comporta la creazione di un server DNS. Per altre informazioni sulla risoluzione dei nomi, vedere Risoluzione dei nomi per le macchine virtuali e le istanze del ruolo.

  1. Nella pagina Impostazioni della rete virtuale passare a Server DNS e fare clic per aprire il pannello corrispondente.

    Aggiungi server DNS

    • Server DNS: selezionare Personalizzato.
    • Aggiungi server DNS: immettere l'indirizzo IP del server DNS che si vuole usare per la risoluzione dei nomi.
  2. Dopo aver aggiunto i server DNS, fare clic su Salva nella parte superiore del pannello.

3. Creare la subnet del gateway

Il gateway di rete virtuale usa una subnet specifica denominata "GatewaySubnet", che contiene gli indirizzi IP usati dai servizi del gateway VPN. Quando si crea una subnet del gateway, deve essere denominata "GatewaySubnet". L'assegnazione del nome "GatewaySubnet" indica ad Azure la posizione in cui creare i servizi del gateway. Se alla subnet si assegnano altri nomi, la configurazione del gateway VPN avrà esito negativo.

Gli indirizzi IP inclusi nella GatewaySubnet sono allocati ai servizi del gateway. Quando si crea la GatewaySubnet, si specifica il numero di indirizzi IP inclusi nella subnet. Le dimensioni della GatewaySubnet specificata dipendono dalla configurazione del gateway VPN che si vuole creare. Nonostante sia possibile creare una GatewaySubnet con dimensioni di appena /29, è consigliabile crearne una più grande che includa più indirizzi selezionando /27 o /28. L'uso di una subnet del gateway di dimensioni maggiori consente un numero sufficiente di indirizzi IP per eventuali configurazioni future.

  1. Nel portale passare alla rete virtuale per cui si vuole creare un gateway di rete virtuale.
  2. Nella sezione Impostazioni della pagina della rete virtuale fare clic su Subnet per espandere la pagina Subnet.
  3. Nella pagina Subnet fare clic su +Subnet del gateway in alto per aprire la pagina Aggiungi subnet.

    Aggiungere la subnet del gateway

  4. Il nome della subnet verrà compilato automaticamente con il valore 'GatewaySubnet'. Il valore GatewaySubnet è obbligatorio per consentire ad Azure di riconoscere la subnet come subnet del gateway. Modificare i valori di Intervallo di indirizzi compilati automaticamente in modo che corrispondano ai requisiti di configurazione.

    Aggiunta della subnet del gateway

  5. Fare clic su OK nella parte inferiore della pagina per creare la subnet.

4. Creare il gateway VPN

  1. Nel lato sinistro della pagina del portale fare clic su + e digitare 'Gateway di rete virtuale' nella casella di ricerca. In Risultati individuare e selezionare Gateway di rete virtuale.
  2. Nella parte inferiore del pannello "Gateway di rete virtuale" fare clic su Crea. Verrà aperto il pannello Gateway di rete virtuale.

    Campi del pannello Crea gateway di rete virtuale

  3. Nel pannello Crea gateway di rete virtuale specificare i valori per il gateway di rete virtuale.

    • Nome: assegnare un nome al gateway. Questa operazione non è come quella utilizzata per assegnare un nome alla subnet del gateway. Si tratta del nome dell'oggetto gateway che verrà creato.
    • Tipo di gateway: selezionare VPN. I gateway VPN usano il gateway di rete virtuale di tipo VPN.
    • Tipo VPN: selezionare il tipo di VPN specificato per la configurazione. La maggior parte delle configurazioni richiede un tipo di VPN basato su route.
    • SKU: selezionare lo SKU del gateway dall'elenco a discesa. Gli SKU disponibili nell'elenco a discesa dipendono dal tipo di VPN selezionato. Per informazioni sugli SKU del gateway, vedere SKU del gateway.
    • Posizione: potrebbe essere necessario scorrere la schermata per trovare la posizione. Modificare il campo Località in modo che faccia riferimento alla località in cui si trova la rete virtuale. Se la località non fa riferimento all'area in cui si trova la rete virtuale, quest'ultima non verrà visualizzata nell'elenco a discesa "Scegliere una rete virtuale" nel passaggio successivo.
    • Rete virtuale: scegliere la rete virtuale a cui si vuole aggiungere il gateway. Fare clic su Rete virtuale per aprire il pannello "Scegliere una rete virtuale". Selezionare la rete virtuale. Se la rete virtuale non viene visualizzata, verificare che il campo Località faccia riferimento all'area in cui si trova la rete virtuale.
    • Indirizzo IP pubblico: il pannello "Crea indirizzo IP pubblico" consente di creare un oggetto indirizzo IP pubblico. L'indirizzo IP pubblico viene assegnato dinamicamente durante la creazione del gateway VPN. Il gateway VPN supporta attualmente solo l'allocazione degli indirizzi IP pubblici dinamici. Ciò non significa tuttavia che l'indirizzo IP viene modificato dopo l'assegnazione al gateway VPN. L'indirizzo IP pubblico viene modificato solo quando il gateway viene eliminato e ricreato. Non viene modificato in caso di ridimensionamento, reimpostazione o altre manutenzioni/aggiornamenti del gateway VPN.

      • Fare clic su Indirizzo IP pubblico per aprire il pannello "Scegli indirizzo IP pubblico" e quindi fare clic su Crea nuovo per aprire il pannello "Crea indirizzo IP pubblico".
      • Digitare quindi un Nome per l'indirizzo IP pubblico e fare clic su OK nella parte inferiore del pannello per salvare le modifiche.

        Crea indirizzo IP pubblico

  4. Verificare le impostazioni. È possibile selezionare Aggiungi al dashboard nella parte inferiore del pannello se si vuole che il gateway venga visualizzato nel dashboard.

  5. Fare clic su Crea per iniziare a creare il gateway VPN. Le impostazioni verranno convalidate e nel dashboard verrà visualizzato il riquadro relativo alla distribuzione del gateway di rete virtuale. La creazione di un gateway può richiedere fino a 45 minuti. Potrebbe essere necessario aggiornare la pagina del portale per visualizzare lo stato di completamento.

Dopo la creazione del gateway, è possibile visualizzare l'indirizzo IP assegnato esaminando la rete virtuale nel portale. Il gateway viene visualizzato come un dispositivo connesso. È possibile fare clic sul dispositivo connesso, ovvero il gateway di rete virtuale, per visualizzare altre informazioni.

5. Creare il gateway di rete locale

Il gateway di rete locale in genere fa riferimento al percorso locale. Assegnare al sito un nome che Azure possa usare come riferimento, quindi specificare l'indirizzo IP del dispositivo VPN locale con cui si creerà una connessione. Specificare anche i prefissi degli indirizzi IP che verranno instradati tramite il gateway VPN al dispositivo VPN. I prefissi degli indirizzi specificati sono quelli disponibili nella rete locale. Se la rete locale viene modificata o è necessario modificare l'indirizzo IP pubblico del dispositivo VPN, è possibile aggiornare facilmente i valori in un secondo momento.

  1. Nel portale fare clic su +Aggiungi in Tutte le risorse.
  2. Nella casella di ricerca del pannello Tutto digitare Gateway di rete locale e quindi fare clic per avviare la ricerca. Viene restituito un elenco. Fare clic su Gateway di rete locale per aprire il pannello e quindi su Crea per aprire il pannello Crea un gateway di rete locale.

    Creare il gateway di rete locale

  3. Nel pannello Crea un gateway di rete locale specificare i valori per il gateway di rete locale.

    • Nome: specificare un nome per l'oggetto gateway di rete locale.
    • Indirizzo IP: l'indirizzo IP pubblico del dispositivo VPN a cui si vuole connettere Azure. Specificare un indirizzo IP pubblico valido: non può essere protetto da NAT e deve essere raggiungibile da Azure. Se al momento non si dispone dell'indirizzo IP, è possibile usare i valori visualizzati nella schermata, ma sarà necessario tornare indietro e sostituire l'indirizzo IP segnaposto con l'indirizzo IP pubblico del dispositivo VPN. In caso contrario, Azure non sarà in grado di connettersi.
    • Spazio di indirizzi fa riferimento agli intervalli di indirizzi per la rete rappresentata da questa rete locale. È possibile aggiungere più intervalli di spazi indirizzi. Assicurarsi che gli intervalli specificati non si sovrappongano con gli intervalli di altre reti a cui ci si vuole connettere. Azure indirizzerà l'intervallo di indirizzi specificato all'indirizzo IP del dispositivo VPN locale. Usare i valori personalizzati, non i valori mostrati nello screenshot.
    • Sottoscrizione: verificare che sia visualizzata la sottoscrizione corretta.
    • Gruppo di risorse: selezionare il gruppo di risorse che si vuole usare. È possibile creare un nuovo gruppo di risorse o selezionarne uno già creato.
    • Località: selezionare la località in cui verrà creato questo oggetto. È possibile, ma non necessario, selezionare la stessa località in cui risiede la rete virtuale.
  4. Dopo aver specificato tutti i valori, fare clic su Crea nella parte inferiore del pannello per creare il gateway di rete locale.

6. Configurare il dispositivo VPN

Le connessioni da sito a sito verso una rete locale richiedono un dispositivo VPN. In questo passaggio viene configurato il dispositivo VPN. Durante la configurazione del dispositivo VPN, è necessario quanto segue:

  • Chiave condivisa. Si tratta della stessa chiave condivisa che viene specificata durante la creazione della connessione VPN da sito a sito. In questi esempi viene usata una chiave condivisa semplice. È consigliabile generare una chiave più complessa per l'uso effettivo.
  • Indirizzo IP pubblico del gateway di rete virtuale. È possibile visualizzare l'indirizzo IP pubblico usando il portale di Azure, PowerShell o l'interfaccia della riga di comando. Per trovare l'indirizzo IP pubblico del gateway VPN usando il portale di Azure, passare a Gateway di rete virtuali, quindi fare clic sul nome del gateway.

Per informazioni sulla configurazione, vedere i collegamenti seguenti:

7. Creare la connessione VPN

Creare la connessione VPN da sito a sito tra il gateway di rete virtuale e il dispositivo VPN locale.

  1. Individuare e aprire il pannello relativo al gateway di rete virtuale. Questa operazione può essere eseguita in vari modi. In questo esempio è stato aperto il gateway "VNet1GW" selezionando TestVNet1 -> Panoramica -> Dispositivi connessi -> VNet1GW.
  2. Nel pannello di VNet1GW fare clic su Connessioni. Nella parte superiore del pannello Connessioni fare clic su +Aggiungi per aprire il pannello Aggiungi connessione.

    Configurare una connessione da sito a sito

  3. Nel pannello Aggiungi connessione compilare i valori per creare la connessione.

    • Nome: assegnare un nome alla connessione. In questo esempio verrà usato il nome VNet1toSite2.
    • Tipo di connessione: selezionare Da sito a sito (IPSec).
    • Gateway di rete virtuale: questo valore è fisso perché la connessione viene eseguita da questo gateway.
    • Gateway di rete locale: fare clic su Scegli un gateway di rete locale e selezionare quello che si vuole usare. In questo esempio verrà usato il gateway Site2.
    • Chiave condivisa: il valore di questo campo deve corrispondere a quello che si usa per il dispositivo VPN locale. Per questo esempio è stato usato "abc123", ma è possibile e consigliabile usare un elemento più complesso. È importante che il valore specificato qui sia lo stesso valore specificato durante la configurazione del dispositivo VPN.
    • I restanti valori di Sottoscrizione, Gruppo di risorse e Località sono fissi.
  4. Fare clic su OK per creare la connessione. Sullo schermo lampeggerà il messaggio Creazione della connessione .

  5. È possibile visualizzare la connessione nel pannello Connessioni relativo al gateway di rete virtuale. Lo stato passa da Sconosciuto a Connessione e quindi a Operazione riuscita.

8. Verificare la connessione VPN

Nel portale di Azure è possibile visualizzare lo stato della connessione di un gateway VPN di Resource Manager passando alla connessione. La procedura seguente illustra uno dei modi in cui è possibile accedere alla connessione e verificarla.

  1. Nel portale di Azure fare clic su Tutte le risorse e passare al gateway di rete virtuale.
  2. Nel pannello del gateway di rete virtuale fare clic su Connessioni. È possibile visualizzare lo stato di ogni connessione.
  3. Fare clic sul nome della connessione da verificare per aprire Informazioni di base. In Informazioni di base è possibile visualizzare altre informazioni sulla connessione. Dopo aver stabilito una connessione, lo stato visualizzato è "Operazione riuscita" e "Connesso".

    Verificare la connessione gateway VPN usando il portale di Azure

Per connettersi a una macchina virtuale

È possibile connettersi a una VM distribuita nella rete virtuale creando una connessione Desktop remoto alla VM. Il modo migliore per verificare inizialmente che è possibile connettersi alla VM consiste nel connettersi usando il rispettivo indirizzo IP privato, invece del nome del computer. Ciò consente di verificare se è possibile connettersi, non se la risoluzione dei nomi è configurata correttamente.

  1. Individuare l'indirizzo IP privato. È possibile trovare l'indirizzo IP privato di una macchina virtuale in più modi. Di seguito sono illustrate le procedure da seguire se si usa il portale di Azure o PowerShell.

    • Portale di Azure: individuare la macchina virtuale nel portale di Azure. Visualizzare le proprietà per la VM. Viene elencato l'indirizzo IP.

    • PowerShell: usare l'esempio per visualizzare un elenco di macchine virtuali e di indirizzi IP privati dai gruppi di risorse. Non è necessario modificare questo esempio prima di usarlo.

      $VMs = Get-AzureRmVM
      $Nics = Get-AzureRmNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
       $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
       $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
       $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
       Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Verificare di essere connessi alla rete virtuale usando la connessione VPN.

  3. Aprire la connessione Desktop remoto digitando "RDP" o "Connessione Desktop remoto" nella casella di ricerca sulla barra delle applicazioni, quindi selezionare Connessione Desktop remoto. È anche possibile aprire una connessione Desktop remoto usando il comando "mstsc" in PowerShell.
  4. In Connessione Desktop remoto immettere l'indirizzo IP privato della VM. È possibile fare clic su "Mostra opzioni" per modificare altre impostazioni e quindi connettersi.

Per risolvere i problemi di una connessione RDP a una VM

Se si verificano problemi di connessione a una macchina virtuale tramite la connessione VPN, controllare gli elementi seguenti:

Come reimpostare un gateway VPN

La reimpostazione del gateway VPN di Azure è utile se si perde la connettività VPN cross-premise in uno o più tunnel VPN da sito a sito. In questa situazione tutti i dispositivi VPN funzionano correttamente, ma non sono in grado di stabilire tunnel IPsec con i gateway VPN di Azure. Per la procedura da seguire, vedere Reimpostare un gateway VPN.

Come modificare uno SKU del gateway e ridimensionare un gateway

Per la procedura da seguire per modificare uno SKU del gateway, vedere SKU del gateway.

Passaggi successivi