Domande frequenti sul gateway VPNVPN Gateway FAQ

Connessione a reti virtualiConnecting to virtual networks

È possibile connettere reti virtuali in diverse aree di Azure?Can I connect virtual networks in different Azure regions?

Sì.Yes. Non esistono vincoli di area.In fact, there is no region constraint. Una rete virtuale può connettersi a un'altra rete virtuale nella stessa area o in un'area diversa di Azure.One virtual network can connect to another virtual network in the same region, or in a different Azure region.

È possibile connettere reti virtuali in diverse sottoscrizioni?Can I connect virtual networks in different subscriptions?

Sì.Yes.

È possibile connettersi a più siti da una singola rete virtuale?Can I connect to multiple sites from a single virtual network?

È possibile connettersi a più siti tramite Windows PowerShell e le API REST di Azure.You can connect to multiple sites by using Windows PowerShell and the Azure REST APIs. Vedere la sezione delle domande frequenti relative alla connettività multisito e tra reti virtuali .See the Multi-Site and VNet-to-VNet Connectivity FAQ section.

Sono previsti costi aggiuntivi per la configurazione di un gateway VPN come attivo/attivo?Is there an additional cost for setting up a VPN gateway as active-active?

No.No.

Quali sono le opzioni di connessione cross-premise?What are my cross-premises connection options?

Le seguenti connessioni cross-premise sono supportate:The following cross-premises connections are supported:

  • Da sito a sito: connessione VPN tramite IPsec (IKE v1 e IKE v2).Site-to-Site – VPN connection over IPsec (IKE v1 and IKE v2). Per questo tipo di connessione è necessario un dispositivo VPN o RRAS.This type of connection requires a VPN device or RRAS. Per altre informazioni, vedere Da sito a sito.For more information, see Site-to-Site.
  • Da punto a sito: connessione VPN tramite SSTP (Secure Sockets Tunneling Protocol) o IKE v2.Point-to-Site – VPN connection over SSTP (Secure Socket Tunneling Protocol) or IKE v2. Questa connessione non richiede un dispositivo VPN.This connection does not require a VPN device. Per altre informazioni, vedere Da punto a sito.For more information, see Point-to-Site.
  • Da rete virtuale a rete virtuale: questo tipo di connessione è analogo alla configurazione da sito a sito.VNet-to-VNet – This type of connection is the same as a Site-to-Site configuration. La connessione tra reti virtuali è una connessione VPN tramite IPsec (IKE v1 e IKE v2).VNet to VNet is a VPN connection over IPsec (IKE v1 and IKE v2). Non richiede un dispositivo VPN.It does not require a VPN device. Per altre informazioni, vedere Da rete virtuale a rete virtuale.For more information, see VNet-to-VNet.
  • Multisito: si tratta di una variante di una configurazione da sito a sito che consente di connettere più siti locali a una rete virtuale.Multi-Site – This is a variation of a Site-to-Site configuration that allows you to connect multiple on-premises sites to a virtual network. Per altre informazioni, vedere Multisito.For more information, see Multi-Site.
  • ExpressRoute: si tratta di una connessione privata ad Azure dalla rete WAN, anziché di una connessione VPN tramite Internet pubblico.ExpressRoute – ExpressRoute is a private connection to Azure from your WAN, not a VPN connection over the public Internet. Per altre informazioni, vedere la Panoramica tecnica relativa a ExpressRoute e le Domande frequenti su ExpressRoute.For more information, see the ExpressRoute Technical Overview and the ExpressRoute FAQ.

Per altre informazioni sulle connessioni del gateway VPN, vedere Informazioni sul gateway VPN.For more information about VPN gateway connections, see About VPN Gateway.

Qual è la differenza tra una connessione da sito a sito e una connessione da punto a sito?What is the difference between a Site-to-Site connection and Point-to-Site?

Le configurazioni da sito a sito (tunnel VPN IPsec/IKE) connettono il percorso locale ad Azure.Site-to-Site (IPsec/IKE VPN tunnel) configurations are between your on-premises location and Azure. È quindi possibile connettersi da qualsiasi computer disponibile in locale a qualsiasi macchina virtuale o istanza del ruolo nella rete virtuale, in base alla configurazione scelta per il routing e le autorizzazioni.This means that you can connect from any of your computers located on your premises to any virtual machine or role instance within your virtual network, depending on how you choose to configure routing and permissions. Questa opzione è ottimale per una connessione cross-premise sempre disponibile ed è adatta per le configurazioni ibride.It's a great option for an always-available cross-premises connection and is well-suited for hybrid configurations. Questo tipo di connessione si basa su un dispositivo VPN IPSec (dispositivo hardware o software) che è necessario distribuire in corrispondenza del perimetro della rete.This type of connection relies on an IPsec VPN appliance (hardware device or soft appliance), which must be deployed at the edge of your network. Per creare questo tipo di connessione, è necessario disporre di un indirizzo IPv4 con connessione esterna.To create this type of connection, you must have an externally facing IPv4 address.

Le configurazioni da punto a sito (VPN tramite SSTP) consentono di connettersi da un computer singolo a qualsiasi elemento disponibile nella rete virtuale.Point-to-Site (VPN over SSTP) configurations let you connect from a single computer from anywhere to anything located in your virtual network. Questo tipo di connessione usa il client VPN incorporato di Windows.It uses the Windows in-box VPN client. La configurazione da spunto a sito prevede l'installazione di un certificato e di un pacchetto di configurazione client VPN che contiene le impostazioni che consentono al computer di connettersi a qualsiasi macchina virtuale o istanza del ruolo all'interno della rete virtuale.As part of the Point-to-Site configuration, you install a certificate and a VPN client configuration package, which contains the settings that allow your computer to connect to any virtual machine or role instance within the virtual network. Si tratta di un'ottima opzione quando si desidera connettersi a una rete virtuale ma non ci si trova nella sede locale.It's great when you want to connect to a virtual network, but aren't located on-premises. È utile anche quando non si ha accesso all'hardware VPN o a un indirizzo IP IPv4 accessibile pubblicamente, entrambi necessari per una connessione da sito a sito.It's also a good option when you don't have access to VPN hardware or an externally facing IPv4 address, both of which are required for a Site-to-Site connection.

È possibile configurare la rete virtuale in modo da usare sia la connettività da punto a sito che da sito a sito contemporaneamente, purché la connessione da sito a sito venga creata usando un tipo di VPN basato su route per il gateway.You can configure your virtual network to use both Site-to-Site and Point-to-Site concurrently, as long as you create your Site-to-Site connection using a route-based VPN type for your gateway. I tipi di VPN basati su route sono detti gateway dinamici nel modello di distribuzione classica.Route-based VPN types are called dynamic gateways in the classic deployment model.

Gateway di rete virtualeVirtual network gateways

Un gateway VPN corrisponde a un gateway di rete virtuale?Is a VPN gateway a virtual network gateway?

Un gateway VPN è un tipo di gateway di rete virtuale,A VPN gateway is a type of virtual network gateway. che invia traffico crittografato tra la rete virtuale e la posizione locale tramite una connessione pubblica.A VPN gateway sends encrypted traffic between your virtual network and your on-premises location across a public connection. È possibile usare il gateway VPN anche per inviare il traffico tra reti virtuali.You can also use a VPN gateway to send traffic between virtual networks. Quando si crea un gateway VPN, si usa il valore 'Vpn' per -GatewayType.When you create a VPN gateway, you use the -GatewayType value 'Vpn'. Per altre informazioni, Informazioni sulle impostazioni del gateway VPN.For more information, see About VPN Gateway configuration settings.

Cos'è un gateway basato su criteri (con routing statico)?What is a policy-based (static-routing) gateway?

I gateway basati su criteri implementano VPN basate su criteri.Policy-based gateways implement policy-based VPNs. Le VPN basate su criteri crittografano e reindirizzano i pacchetti tramite tunnel IPsec basati su combinazioni di prefissi di indirizzo tra la rete locale e la rete virtuale di Azure.Policy-based VPNs encrypt and direct packets through IPsec tunnels based on the combinations of address prefixes between your on-premises network and the Azure VNet. I criteri (o selettore di traffico) vengono in genere definiti come un elenco di accesso nella configurazione VPN.The policy (or Traffic Selector) is usually defined as an access list in the VPN configuration.

Cos'è un gateway basato su route (con routing dinamico)?What is a route-based (dynamic-routing) gateway?

I gateway basati su route implementano VPN basate su route.Route-based gateways implement the route-based VPNs. Le VPN basate su route usano "route" nella tabella di inoltro IP o di routing per reindirizzare i pacchetti nelle interfacce tunnel corrispondenti.Route-based VPNs use "routes" in the IP forwarding or routing table to direct packets into their corresponding tunnel interfaces. Le interfacce tunnel consentono quindi di crittografare o decrittografare i pacchetti all'interno e all'esterno dei tunnel.The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. I criteri o selettori di traffico per le VPN basate su route vengono configurati come any-to-any (o caratteri jolly).The policy or traffic selector for route-based VPNs are configured as any-to-any (or wild cards).

È possibile aggiornare il gateway VPN basato su criteri a basato su Route?Can I update my policy-based VPN gateway to route-based?

No.No. Non è possibile modificare il tipo di tipo di gateway di rete virtuale di Azure da basato su criteri a basato su route o viceversa.An Azure Vnet gateway type cannot be changed from policy-based to route-based or the other way. È necessario eliminare e ricreare il gateway e il processo richiede circa 60 minuti.The gateway must be deleted and recreated, a process taking around 60 minutes. L'indirizzo IP del gateway non verrà mantenuto, come pure la chiave precondivisa.The IP address of the gateway will not be preserved nor will the Pre-Shared Key (PSK).

  1. Eliminare qualsiasi connessione associata al gateway da eliminare.Delete any connections associated with the gateway to be deleted.
  2. Eliminare il gateway:Delete the gateway:
  3. Creare un nuovo gateway del tipo desiderato e completare la configurazione della VPN.Create a new gateway of the type you want and complete the VPN setup.

Il valore 'GatewaySubnet' è necessario?Do I need a 'GatewaySubnet'?

Sì.Yes. La subnet del gateway contiene gli indirizzi IP usati dai servizi del gateway di rete virtuale.The gateway subnet contains the IP addresses that the virtual network gateway services use. È necessario creare una subnet del gateway per la rete virtuale per configurare un gateway di rete virtuale.You need to create a gateway subnet for your VNet in order to configure a virtual network gateway. Per poter funzionare correttamente, tutte le subnet del gateway devono essere denominate 'GatewaySubnet'.All gateway subnets must be named 'GatewaySubnet' to work properly. Non assegnare un nome diverso alla subnet del gateway.Don't name your gateway subnet something else. Non distribuire VM o altri elementi alla subnet del gateway.And don't deploy VMs or anything else to the gateway subnet.

Quando si crea la subnet del gateway, si specifica il numero di indirizzi IP inclusi nella subnet.When you create the gateway subnet, you specify the number of IP addresses that the subnet contains. Gli indirizzi IP inclusi nella subnet del gateway sono allocati al servizio del gateway.The IP addresses in the gateway subnet are allocated to the gateway service. Alcune configurazioni necessitano dell'allocazione di più indirizzi IP ai servizi del gateway rispetto ad altre.Some configurations require more IP addresses to be allocated to the gateway services than do others. È consigliabile assicurarsi che la subnet del gateway contenga una quantità di indirizzi IP sufficiente per supportare la crescita futura e per possibili nuove configurazioni aggiuntive per la connessione.You want to make sure your gateway subnet contains enough IP addresses to accommodate future growth and possible additional new connection configurations. Anche se è possibile creare una subnet del gateway con dimensioni pari a /29, è consigliabile crearne una con dimensioni pari a /27 o superiori, ad esempio /27, /26, /25 e così via.So, while you can create a gateway subnet as small as /29, we recommend that you create a gateway subnet of /27 or larger (/27, /26, /25 etc.). Esaminare i requisiti per la configurazione da creare e verificare che la subnet del gateway disponibile rispetti tali requisiti.Look at the requirements for the configuration that you want to create and verify that the gateway subnet you have will meet those requirements.

È possibile distribuire macchine virtuali o istanze del ruolo alla subnet del gateway?Can I deploy Virtual Machines or role instances to my gateway subnet?

No.No.

È possibile ottenere l'indirizzo IP del gateway VPN prima di crearlo?Can I get my VPN gateway IP address before I create it?

Entrambi i gateway con ridondanza della zona e di zona (SKU del gateway con AZ nel nome) si basano su una risorsa IP pubblico di Azure SKU standard .Zone-redundant and zonal gateways (gateway SKUs that have AZ in the name) both rely on a Standard SKU Azure public IP resource. Le risorse IP pubblico dello SKU standard di Azure devono usare un metodo di allocazione statica.Azure Standard SKU public IP resources must use a static allocation method. Pertanto, l'indirizzo IP pubblico per il gateway VPN sarà disponibile non appena si crea la risorsa IP pubblico dello SKU standard che si intende usare.Therefore, you will have the public IP address for your VPN gateway as soon as you create the Standard SKU public IP resource you intend to use for it.

Per i gateway non con ridondanza della zona e non di zona (SKU del gateway che non hanno AZ nel nome), non è possibile ottenere l'indirizzo IP del gateway VPN prima che venga creato.For non-zone-redundant and non-zonal gateways (gateway SKUs that do not have AZ in the name), you cannot get the VPN gateway IP address before it is created. L'indirizzo IP viene modificato solo se si elimina e si ricrea il gateway VPN.The IP address changes only if you delete and re-create your VPN gateway.

È possibile richiedere un indirizzo IP pubblico statico per il gateway VPN?Can I request a Static Public IP address for my VPN gateway?

Come indicato in precedenza, i gateway con ridondanza della zona e di zona (SKU del gateway con AZ nel nome) si basano entrambi su una risorsa IP pubblico di Azure SKU standard .As stated above, zone-redundant and zonal gateways (gateway SKUs that have AZ in the name) both rely on a Standard SKU Azure public IP resource. Le risorse IP pubblico dello SKU standard di Azure devono usare un metodo di allocazione statica.Azure Standard SKU public IP resources must use a static allocation method.

Per i gateway non con ridondanza della zona e non di zona (SKU del gateway che non hanno AZ nel nome), è supportata solo l'assegnazione di indirizzi IP dinamici.For non-zone-redundant and non-zonal gateways (gateway SKUs that do not have AZ in the name), only dynamic IP address assignment is supported. Tuttavia, ciò non significa che l'indirizzo IP cambi dopo che è stato assegnato al gateway VPN.However, this doesn't mean that the IP address changes after it has been assigned to your VPN gateway. L'indirizzo IP del gateway VPN viene modificato solo quando il gateway viene eliminato e quindi ricreato.The only time the VPN gateway IP address changes is when the gateway is deleted and then re-created. L'indirizzo IP pubblico del gateway VPN non cambia quando si ridimensionano, reimpostano o completano altri aggiornamenti e manutenzione interna del gateway VPN.The VPN gateway public IP address doesn't change when you resize, reset, or complete other internal maintenance and upgrades of your VPN gateway.

Come si ottiene l'autenticazione del tunnel VPN?How does my VPN tunnel get authenticated?

Il tunnel VPN di Azure usa chiavi precondivise (PSK) per l'autenticazione.Azure VPN uses PSK (Pre-Shared Key) authentication. È possibile generare una chiave precondivisa (PSK) quando si crea il tunnel VPN.We generate a pre-shared key (PSK) when we create the VPN tunnel. È possibile modificare la chiave precondivisa generata automaticamente con il cmdlet di PowerShell di impostazione della chiave precondivisa o l'API REST.You can change the auto-generated PSK to your own with the Set Pre-Shared Key PowerShell cmdlet or REST API.

È possibile usare l'API di impostazione della chiave precondivisa per configurare la VPN gateway con routing statico basata su criteri?Can I use the Set Pre-Shared Key API to configure my policy-based (static routing) gateway VPN?

Sì, è possibile usare l'API di impostazione della chiave precondivisa e il cmdlet di PowerShell per configurare sia le VPN basate su criteri con routing statico sia le VPN basate su route con routing dinamico di Azure.Yes, the Set Pre-Shared Key API and PowerShell cmdlet can be used to configure both Azure policy-based (static) VPNs and route-based (dynamic) routing VPNs.

È possibile usare altre opzioni di autenticazione?Can I use other authentication options?

Per l'autenticazione possono essere usate solo chiavi precondivise.We are limited to using pre-shared keys (PSK) for authentication.

In che modo è possibile specificare il traffico che può passare attraverso il gateway VPN?How do I specify which traffic goes through the VPN gateway?

Modello di distribuzione di Gestione risorseResource Manager deployment model

  • PowerShell: usare "AddressPrefix" per specificare il traffico per il gateway di rete locale.PowerShell: use "AddressPrefix" to specify traffic for the local network gateway.
  • Portale di Azure: passare al gateway di rete locale > Configurazione > Spazio indirizzi.Azure portal: navigate to the Local network gateway > Configuration > Address space.

Modello di distribuzione classicaClassic deployment model

  • Portale di Azure: passare alla rete virtuale classica > Connessioni VPN > Connessioni VPN da sito a sito > Local site name (Nome sito locale) > Sito locale > Spazio indirizzi client.Azure portal: navigate to the classic virtual network > VPN connections > Site-to-site VPN connections > Local site name > Local site > Client address space.

È possibile configurare il tunneling forzato?Can I configure Force Tunneling?

Sì.Yes. Vedere Configurare il tunneling forzato.See Configure force tunneling.

È possibile utilizzare NAT-T nelle connessioni VPN?Can I use NAT-T on my VPN connections?

Sì, è supportato l'attraversamento NAT (NAT-T).Yes, NAT traversal (NAT-T) is supported. Il gateway VPN di Azure non eseguirà alcuna funzionalità di tipo NAT sui pacchetti interni da e verso i tunnel IPsec.Azure VPN Gateway will NOT perform any NAT-like functionality on the inner packets to/from the IPsec tunnels. In questa configurazione assicurarsi che il dispositivo locale avvii il tunnel IPSec.In this configuration, please ensure the on-premises device initiates the IPSec tunnel.

È possibile configurare il server VPN in Azure e usarlo per connettersi alla rete locale?Can I set up my own VPN server in Azure and use it to connect to my on-premises network?

Sì, è possibile distribuire i gateway o i server VPN in Azure da Azure Marketplace o tramite la creazione dei propri router VPN.Yes, you can deploy your own VPN gateways or servers in Azure either from the Azure Marketplace or creating your own VPN routers. È necessario configurare route definite dall'utente nella rete virtuale per garantire che il traffico venga indirizzato correttamente tra le reti locali e le subnet della rete virtuale.You need to configure user-defined routes in your virtual network to ensure traffic is routed properly between your on-premises networks and your virtual network subnets.

Perché determinate porte sono aperte nel gateway di rete virtuale?Why are certain ports opened on my virtual network gateway?

Sono necessarie per la comunicazione di infrastruttura di Azure.They are required for Azure infrastructure communication. Sono protette (bloccate) dai certificati di Azure.They are protected (locked down) by Azure certificates. Senza certificati appropriati, le entità esterne, compresi i clienti di questi gateway, non potranno causare alcun effetto su tali endpoint.Without proper certificates, external entities, including the customers of those gateways, will not be able to cause any effect on those endpoints.

Un gateway di rete virtuale è fondamentalmente un dispositivo multihomed con una scheda di interfaccia di rete che si collega alla rete privata del cliente e una scheda di interfaccia di rete con connessione alla rete pubblica.A virtual network gateway is fundamentally a multi-homed device with one NIC tapping into the customer private network, and one NIC facing the public network. Le entità dell’infrastruttura di Azure non possono utilizzare le reti private del cliente per motivi di conformità, pertanto devono utilizzare endpoint pubblici per la comunicazione dell’infrastruttura.Azure infrastructure entities cannot tap into customer private networks for compliance reasons, so they need to utilize public endpoints for infrastructure communication. Gli endpoint pubblici vengono analizzati periodicamente dal controllo di sicurezza di Azure.The public endpoints are periodically scanned by Azure security audit.

Altre informazioni sui tipi di gateway, i requisiti e la velocità effettivaMore information about gateway types, requirements, and throughput

Per altre informazioni, Informazioni sulle impostazioni del gateway VPN.For more information, see About VPN Gateway configuration settings.

Connessioni da sito a sito e dispositivi VPNSite-to-Site connections and VPN devices

Quali sono gli aspetti di cui tenere conto nella scelta di un dispositivo VPN?What should I consider when selecting a VPN device?

È stato convalidato un set di dispositivi VPN da sito a sito standard in collaborazione con fornitori di dispositivi.We have validated a set of standard Site-to-Site VPN devices in partnership with device vendors. Per un elenco dei dispositivi VPN sicuramente compatibili, gli esempi o le istruzioni di configurazione corrispondenti e le relative specifiche, vedere l'articolo relativo ai dispositivi VPN.A list of known compatible VPN devices, their corresponding configuration instructions or samples, and device specs can be found in the About VPN devices article. Tutti i dispositivi appartenenti ai gruppi di dispositivi di cui è indicata la compatibilità nota dovrebbero funzionare con Rete virtuale.All devices in the device families listed as known compatible should work with Virtual Network. Per agevolare la configurazione del dispositivo VPN, fare riferimento al collegamento o all'esempio di configurazione del dispositivo corrispondente al gruppo di dispositivi appropriato.To help configure your VPN device, refer to the device configuration sample or link that corresponds to appropriate device family.

Dove è possibile reperire le impostazioni di configurazione per i dispositivi VPN?Where can I find VPN device configuration settings?

Per scaricare gli script di configurazione del dispositivo VPN:To download VPN device configuration scripts:

A seconda del dispositivo VPN usato, potrebbe essere possibile scaricare un apposito script di configurazione.Depending on the VPN device that you have, you may be able to download a VPN device configuration script. Per altre informazioni, vedere Scaricare gli script di configurazione del dispositivo VPN.For more information, see Download VPN device configuration scripts.

Per altre informazioni sulla configurazione, vedere i collegamenti seguenti:See the following links for additional configuration information:

Come è possibile modificare gli esempi di configurazione del dispositivo VPN?How do I edit VPN device configuration samples?

Per informazioni sulla modifica degli esempi, vedere Modifica degli esempi di configurazione di dispositivo.For information about editing device configuration samples, see Editing samples.

Dove è possibile reperire i parametri IPsec e IKE?Where do I find IPsec and IKE parameters?

Per informazioni sui parametri IPsec/IKE, vedere Parametri.For IPsec/IKE parameters, see Parameters.

Perché il tunnel VPN basato su criteri si arresta quando il traffico è inattivo?Why does my policy-based VPN tunnel go down when traffic is idle?

Questo comportamento è previsto per gateway VPN basate su criteri (anche note come routing statico).This is expected behavior for policy-based (also known as static routing) VPN gateways. Quando il traffico attraverso il tunnel è inattivo per più di 5 minuti, il tunnel verrà arrestato.When the traffic over the tunnel is idle for more than 5 minutes, the tunnel will be torn down. Quando il traffico inizierà a scorrere in entrambe le direzioni, il tunnel verrà ripristinato immediatamente.When traffic starts flowing in either direction, the tunnel will be reestablished immediately.

È possibile usare soluzioni software VPN per connettersi ad Azure?Can I use software VPNs to connect to Azure?

Sono supportati server RRAS (Routing e Accesso remoto) in Windows Server 2012 per la configurazione da sito a sito cross-premise.We support Windows Server 2012 Routing and Remote Access (RRAS) servers for Site-to-Site cross-premises configuration.

Con il gateway dovrebbero funzionare anche altre soluzioni software VPN, purché siano conformi alle implementazioni di IPSec standard del settore.Other software VPN solutions should work with our gateway as long as they conform to industry standard IPsec implementations. Per istruzioni sulla configurazione e sull'assistenza, contattare il fornitore del software.Contact the vendor of the software for configuration and support instructions.

Ricerca per categorie modificare il tipo di autenticazione per le connessioni da punto a sito?How do I change the authentication type for my point-to-site connections?

È possibile modificare il metodo di autenticazione per le connessioni da punto a sito passando alla sezione configurazione da punto a sito nel gateway VPN e selezionando il pulsante di opzione desiderato.You can change the authentication method for your point-to-site connections by going to the Point-to-site configuration section under the VPN Gateway and checking the desired radio button. Le opzioni correnti sono certificato di Azure, autenticazione RADIUS e Azure Active Directory.Current options are Azure certificate, RADIUS authentication and Azure Active Directory. Si noti che i client correnti potrebbero non essere in grado di connettersi dopo la modifica fino a quando il nuovo profilo non è stato scaricato e configurato nel client.Please note that current clients may not be able to connect after the change until the new profile has been downloaded and configured on the client.

Da punto a sito con l'autenticazione del certificato nativa di AzurePoint-to-Site using native Azure certificate authentication

Questa sezione si applica al modello di distribuzione Resource Manager.This section applies to the Resource Manager deployment model.

Quanti endpoint client VPN è possibile includere nella configurazione da punto sito?How many VPN client endpoints can I have in my Point-to-Site configuration?

Dipende dallo SKU del gateway.It depends on the gateway SKU. Per altre informazioni sul numero di connessioni supportate, vedere SKU del gateway.For more information on the number of connections supported, see Gateway SKUs.

Quali sistemi operativi client è possibile usare con la connettività da punto a sito?What client operating systems can I use with Point-to-Site?

Sono supportati i sistemi operativi client seguenti:The following client operating systems are supported:

  • Windows 7 (a 32 e 64 bit)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (solo a 64 bit)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (a 32 e 64 bit)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (solo a 64 bit)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (solo a 64 bit)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (solo a 64 bit)Windows Server 2016 (64-bit only)
  • Windows Server 2019 (solo a 64 bit)Windows Server 2019 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X versione 10.11 o successivaMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Nota

A partire dal 1 luglio 2018, verrà rimosso il supporto per TLS 1.0 e 1.1 da Gateway VPN di Azure.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. Gateway VPN supporterà solo TLS 1.2.VPN Gateway will support only TLS 1.2. Per gestire il supporto, vedere gli aggiornamenti per abilitare il supporto per TLS 1.2.To maintain support, see the updates to enable support for TLS1.2.

Inoltre, anche gli algoritmi legacy seguenti saranno deprecati per TLS dal 1 luglio 2018:Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm)DES (Data Encryption Algorithm)
  • 3DES (Triple Data Encryption Algorithm)3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)MD5 (Message Digest 5)

Come si abilita il supporto per TLS 1.2 in Windows 7 e Windows 8.1?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Aprire un prompt dei comandi con privilegi elevati facendo clic con il pulsante destro del mouse su Prompt dei comandi e selezionando Esegui come amministratore.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. Eseguire questi comandi nel prompt dei comandi:Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Installare gli aggiornamenti seguenti:Install the following updates:

  4. Riavviare il computer.Reboot the computer.

  5. Connettersi alla VPN.Connect to the VPN.

Nota

È necessario impostare la chiave del Registro di sistema precedente se si esegue una versione precedente di Windows 10 (10240).You will have to set the above registry key if you are running an older version of Windows 10 (10240).

È possibile attraversare proxy e firewall con la funzionalità Da punto a sitoCan I traverse proxies and firewalls using Point-to-Site capability?

Azure supporta tre tipi di opzioni VPN da punto a sito:Azure supports three types of Point-to-site VPN options:

  • SSTP (Secure Socket Tunneling Protocol).Secure Socket Tunneling Protocol (SSTP). SSTP è una soluzione proprietaria Microsoft basata su SSL che può penetrare i firewall perché la porta TCP 443 in uscita usata da SSL viene aperta dalla maggior parte dei firewall.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN.OpenVPN. OpenVPN è una soluzione basata su SSL che può penetrare i firewall perché la porta TCP 443 in uscita usata da SSL viene aperta dalla maggior parte dei firewall.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • VPN IKEv2.IKEv2 VPN. La VPN IKEv2 è una soluzione VPN IPsec basata sugli standard che usa le porte UDP 500 e 4500 in uscita e il protocollo IP numeroIKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50.50. Non sempre queste porte vengono aperte dai firewall ed esiste quindi la possibilità che la VPN IKEv2 non riesca ad attraversare proxy e firewall.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Se si riavvia un computer client configurato per la funzionalità Da punto a sito, la VPN verrà riconnessa automaticamente?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Per impostazione predefinita, tramite il computer client non verrà ristabilita automaticamente la connessione VPN.By default, the client computer will not reestablish the VPN connection automatically.

La funzionalità Da punto a sito supporta la riconnessione automatica e il DNS dinamico nei client VPN?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

La riconnessione automatica e il DNS dinamico non sono supportati attualmente nelle VPN da punto a sito.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

È possibile la coesistenza di configurazioni da sito a sito e punto a sito per la stessa rete virtuale?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Sì.Yes. Per il modello di distribuzione Resource Manager, è necessario un gateway di tipo VPN RouteBased.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Per il modello di distribuzione classica è necessario un gateway dinamico.For the classic deployment model, you need a dynamic gateway. La configurazione da punto a sito non è supportata per gateway VPN con routing statico o PolicyBased.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

È possibile configurare un client da punto a sito per connettersi contemporaneamente a più gateway di rete virtuale?Can I configure a Point-to-Site client to connect to multiple virtual network gateways at the same time?

A seconda del software client VPN usato, potrebbe essere possibile connettersi a più gateway di rete virtuale purché nelle reti virtuali a cui si è connessi non siano presenti né spazi di indirizzi in conflitto tra loro né la rete da cui si connette il client.Depending on the VPN Client software used, you may be able to connect to multiple Virtual Network Gateways provided the virtual networks being connected to do not have conflicting address spaces between them or the network from with the client is connecting from. Anche se il client VPN di Azure supporta molte connessioni VPN, è possibile stabilire una sola connessione alla volta.While the Azure VPN Client supports many VPN connections, only one connection can be Connected at any given time.

È possibile configurare un client da punto a sito per connettersi contempo a più reti virtuali?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Sì, le connessioni da punto a sito a un gateway di rete virtuale distribuito in una rete virtuale con peering con altre reti virtuali possono avere accesso ad altre reti virtuali con peering.Yes, Point-to-Site connections to a Virtual Network Gateway deployed in a VNet that is peered with other VNets may have access to other peered VNets. Se le reti virtuali con peering usano le funzionalità UseRemoteGateway/AllowGatewayTransit, il client da punto a sito sarà in grado di connettersi a tali reti virtuali con peering.Provided the peered VNets are using the UseRemoteGateway / AllowGatewayTransit features, the Point-to-Site client will be able to connect to those peered VNets. Per altre informazioni, vedere questo articolo.For more information please reference this article.

Che velocità effettiva è possibile prevedere usando connessioni da sito a sito o da punto a sito?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

È difficile mantenere esattamente la velocità effettiva tramite i tunnel VPN.It's difficult to maintain the exact throughput of the VPN tunnels. IPSec e SSTP sono protocolli VPN con un elevato livello di crittografia.IPsec and SSTP are crypto-heavy VPN protocols. La velocità effettiva è limitata inoltre dalla latenza e dalla larghezza di banda tra le sedi locali e Internet.Throughput is also limited by the latency and bandwidth between your premises and the Internet. Per un gateway VPN che ha solo connessioni VPN da punto a sito IKEv2, la velocità effettiva totale che è possibile prevedere dipende dallo SKU del gateway.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Per altre informazioni sulla velocità effettiva, vedere SKU del gateway.For more information on throughput, see Gateway SKUs.

Per la connettività da punto a sito è possibile usare qualsiasi client VPN software che supporta SSTP e/o IKEv2?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

No.No. È possibile usare solo il client VPN nativo in Windows per SSTP e il client VPN nativo in Mac per IKEv2.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. È tuttavia possibile usare il client OpenVPN su tutte le piattaforme per connettersi tramite il protocollo OpenVPN.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Vedere l'elenco dei sistemi operativi client supportati.Refer to the list of supported client operating systems.

Azure supporta VPN IKEv2 con Windows?Does Azure support IKEv2 VPN with Windows?

IKEv2 è supportato in Windows 10 e Server 2016.IKEv2 is supported on Windows 10 and Server 2016. Per poter usare IKEv2, è però necessario installare gli aggiornamenti e impostare in locale un valore della chiave del Registro di sistema.However, in order to use IKEv2, you must install updates and set a registry key value locally. Le versioni del sistema operativo precedenti a Windows 10 non sono supportate e possono usare solo SSTP o il protocollo OpenVPN®.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Per preparare Windows 10 o Server 2016 per IKEv2:To prepare Windows 10 or Server 2016 for IKEv2:

  1. Installare l'aggiornamento.Install the update.

    Versione del sistema operativoOS version DataDate Numero/collegamentoNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 versione 1607Windows 10 Version 1607
    17 gennaio 2018January 17, 2018 KB4057142KB4057142
    Windows 10 versione 1703Windows 10 Version 1703 17 gennaio 2018January 17, 2018 KB4057144KB4057144
    Windows 10 versione 1709Windows 10 Version 1709 22 marzo 2018March 22, 2018 KB4089848KB4089848
  2. Impostare il valore della chiave del Registro di sistema.Set the registry key value. Creare o impostare su 1 la chiave REG_DWORD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" del Registro di sistema.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

Cosa accade quando configurano sia SSTP che IKEv2 per le connessioni VPN P2S?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Quando si configurano sia SSTP che IKEv2 in un ambiente misto (costituito da dispositivi Windows e Mac), il client VPN Windows proverà sempre prima ad accedere al tunnel IKEv2, ma eseguirà il fallback a SSTP se la connessione IKEv2 non riesce.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX si connetterà solo tramite IKEv2.MacOSX will only connect via IKEv2.

Oltre a Windows e Mac, quali altre piattaforme supporta Azure per VPN P2S?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Per VPN da punto a sito Azure supporta Windows, Mac e Linux.Azure supports Windows, Mac and Linux for P2S VPN.

Si dispone già di un Gateway VPN di Azure distribuito.I already have an Azure VPN Gateway deployed. È possibile attivare RADIUS e/o VPN IKEv2 su di esso?Can I enable RADIUS and/or IKEv2 VPN on it?

Sì, è possibile abilitare queste nuove funzionalità in gateway già distribuiti, usando Powershell o il portale di Azure, purché la SKU del gateway in uso supporti RADIUS e/o IKEv2.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Lo SKU Basic del gateway VPN, ad esempio, non supporta l'autenticazione RADIUS o IKEv2.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

Come si rimuove la configurazione di una connessione da punto a sito?How do I remove the configuration of a P2S connection?

Per rimuovere una configurazione di una connessione da punto a sito nell'interfaccia della riga di comando di Azure e PowerShell, è possibile usare i comandi seguenti:A P2S configuration can be removed using Azure CLI and PowerShell using the following commands:

Azure PowerShellAzure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Interfaccia della riga di comando di AzureAzure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Che cosa è necessario fare se si verifica una mancata corrispondenza del certificato quando si effettua la connessione tramite autenticazione del certificato?What should I do if I'm getting a certificate mismatch when connecting using certificate authentication?

Deselezionare "Verifica l'identità del server mediante convalida del certificato" o aggiungere il nome di dominio completo del server insieme al certificato quando si crea un profilo manualmente.Uncheck "Verify the server's identity by validating the certificate" or add the server FQDN along with the certificate when creating a profile manually. Per eseguire questa operazione, è possibile eseguire rasphone da un prompt dei comandi e selezionare il profilo dall'elenco a discesa.You can do this by running rasphone from a command prompt and picking the profile from the drop-down list.

Ignorare la convalida dell'identità del server non è consigliabile in generale, ma con l'autenticazione del certificato di Azure lo stesso certificato viene usato per la convalida del server nel protocollo di tunneling VPN (IKEv2/SSTP) e nel protocollo EAP.Bypassing server identity validation is not recommended in general, but with Azure certificate authentication, the same certificate is being used for server validation in the VPN tunneling protocol (IKEv2/SSTP) and the EAP protocol. Poiché il certificato del server e il nome di dominio completo sono già convalidati dal protocollo di tunneling VPN, è ridondante convalidarli nuovamente in EAP.Since the server certificate and FQDN is already validated by the VPN tunneling protocol, it is redundant to validate the same again in EAP.

Autenticazione da punto a sitopoint-to-site auth

È possibile usare la CA radice della PKI interna per generare i certificati per la connettività da punto a sito?Can I use my own internal PKI root CA to generate certificates for Point-to-Site connectivity?

Sì.Yes. In precedenza, era possibile utilizzare solo certificati radice autofirmati.Previously, only self-signed root certificates could be used. È ancora possibile caricare 20 certificati radice.You can still upload 20 root certificates.

È possibile usare i certificati di Azure Key Vault?Can I use certificates from Azure Key Vault?

No.No.

Quali strumenti è possibile usare per creare certificati?What tools can I use to create certificates?

È possibile usare la propria soluzione di infrastruttura a chiave pubblica aziendale (PKI interna), Azure PowerShell, MakeCert e OpenSSL.You can use your Enterprise PKI solution (your internal PKI), Azure PowerShell, MakeCert, and OpenSSL.

Sono disponibili istruzioni per le impostazioni e i parametri dei certificati?Are there instructions for certificate settings and parameters?

  • Soluzione PKI aziendale/PKI interna: vedere la procedura per generare i certificati.Internal PKI/Enterprise PKI solution: See the steps to Generate certificates.

  • Azure PowerShell: per la procedura, vedere l'articolo relativo ad Azure PowerShell.Azure PowerShell: See the Azure PowerShell article for steps.

  • MakeCert: per la procedura, vedere l'articolo relativo a MakeCert.MakeCert: See the MakeCert article for steps.

  • OpenSSL:OpenSSL:

    • Quando si esportano certificati, assicurarsi di convertire il certificato radice in Base64.When exporting certificates, be sure to convert the root certificate to Base64.

    • Per il certificato client:For the client certificate:

      • Quando si crea la chiave privata, specificare una lunghezza di 4096.When creating the private key, specify the length as 4096.
      • Quando si crea il certificato, per il parametro -extensions specificare usr_cert.When creating the certificate, for the -extensions parameter, specify usr_cert.

Da punto a sito con l'autenticazione RADIUSPoint-to-Site using RADIUS authentication

Questa sezione si applica al modello di distribuzione Resource Manager.This section applies to the Resource Manager deployment model.

Quanti endpoint client VPN è possibile includere nella configurazione da punto sito?How many VPN client endpoints can I have in my Point-to-Site configuration?

Dipende dallo SKU del gateway.It depends on the gateway SKU. Per altre informazioni sul numero di connessioni supportate, vedere SKU del gateway.For more information on the number of connections supported, see Gateway SKUs.

Quali sistemi operativi client è possibile usare con la connettività da punto a sito?What client operating systems can I use with Point-to-Site?

Sono supportati i sistemi operativi client seguenti:The following client operating systems are supported:

  • Windows 7 (a 32 e 64 bit)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (solo a 64 bit)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (a 32 e 64 bit)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (solo a 64 bit)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (solo a 64 bit)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (solo a 64 bit)Windows Server 2016 (64-bit only)
  • Windows Server 2019 (solo a 64 bit)Windows Server 2019 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X versione 10.11 o successivaMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Nota

A partire dal 1 luglio 2018, verrà rimosso il supporto per TLS 1.0 e 1.1 da Gateway VPN di Azure.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. Gateway VPN supporterà solo TLS 1.2.VPN Gateway will support only TLS 1.2. Per gestire il supporto, vedere gli aggiornamenti per abilitare il supporto per TLS 1.2.To maintain support, see the updates to enable support for TLS1.2.

Inoltre, anche gli algoritmi legacy seguenti saranno deprecati per TLS dal 1 luglio 2018:Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm)DES (Data Encryption Algorithm)
  • 3DES (Triple Data Encryption Algorithm)3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)MD5 (Message Digest 5)

Come si abilita il supporto per TLS 1.2 in Windows 7 e Windows 8.1?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Aprire un prompt dei comandi con privilegi elevati facendo clic con il pulsante destro del mouse su Prompt dei comandi e selezionando Esegui come amministratore.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. Eseguire questi comandi nel prompt dei comandi:Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Installare gli aggiornamenti seguenti:Install the following updates:

  4. Riavviare il computer.Reboot the computer.

  5. Connettersi alla VPN.Connect to the VPN.

Nota

È necessario impostare la chiave del Registro di sistema precedente se si esegue una versione precedente di Windows 10 (10240).You will have to set the above registry key if you are running an older version of Windows 10 (10240).

È possibile attraversare proxy e firewall con la funzionalità Da punto a sitoCan I traverse proxies and firewalls using Point-to-Site capability?

Azure supporta tre tipi di opzioni VPN da punto a sito:Azure supports three types of Point-to-site VPN options:

  • SSTP (Secure Socket Tunneling Protocol).Secure Socket Tunneling Protocol (SSTP). SSTP è una soluzione proprietaria Microsoft basata su SSL che può penetrare i firewall perché la porta TCP 443 in uscita usata da SSL viene aperta dalla maggior parte dei firewall.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN.OpenVPN. OpenVPN è una soluzione basata su SSL che può penetrare i firewall perché la porta TCP 443 in uscita usata da SSL viene aperta dalla maggior parte dei firewall.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • VPN IKEv2.IKEv2 VPN. La VPN IKEv2 è una soluzione VPN IPsec basata sugli standard che usa le porte UDP 500 e 4500 in uscita e il protocollo IP numeroIKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50.50. Non sempre queste porte vengono aperte dai firewall ed esiste quindi la possibilità che la VPN IKEv2 non riesca ad attraversare proxy e firewall.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Se si riavvia un computer client configurato per la funzionalità Da punto a sito, la VPN verrà riconnessa automaticamente?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Per impostazione predefinita, tramite il computer client non verrà ristabilita automaticamente la connessione VPN.By default, the client computer will not reestablish the VPN connection automatically.

La funzionalità Da punto a sito supporta la riconnessione automatica e il DNS dinamico nei client VPN?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

La riconnessione automatica e il DNS dinamico non sono supportati attualmente nelle VPN da punto a sito.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

È possibile la coesistenza di configurazioni da sito a sito e punto a sito per la stessa rete virtuale?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Sì.Yes. Per il modello di distribuzione Resource Manager, è necessario un gateway di tipo VPN RouteBased.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Per il modello di distribuzione classica è necessario un gateway dinamico.For the classic deployment model, you need a dynamic gateway. La configurazione da punto a sito non è supportata per gateway VPN con routing statico o PolicyBased.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

È possibile configurare un client da punto a sito per connettersi contemporaneamente a più gateway di rete virtuale?Can I configure a Point-to-Site client to connect to multiple virtual network gateways at the same time?

A seconda del software client VPN usato, potrebbe essere possibile connettersi a più gateway di rete virtuale purché nelle reti virtuali a cui si è connessi non siano presenti né spazi di indirizzi in conflitto tra loro né la rete da cui si connette il client.Depending on the VPN Client software used, you may be able to connect to multiple Virtual Network Gateways provided the virtual networks being connected to do not have conflicting address spaces between them or the network from with the client is connecting from. Anche se il client VPN di Azure supporta molte connessioni VPN, è possibile stabilire una sola connessione alla volta.While the Azure VPN Client supports many VPN connections, only one connection can be Connected at any given time.

È possibile configurare un client da punto a sito per connettersi contempo a più reti virtuali?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Sì, le connessioni da punto a sito a un gateway di rete virtuale distribuito in una rete virtuale con peering con altre reti virtuali possono avere accesso ad altre reti virtuali con peering.Yes, Point-to-Site connections to a Virtual Network Gateway deployed in a VNet that is peered with other VNets may have access to other peered VNets. Se le reti virtuali con peering usano le funzionalità UseRemoteGateway/AllowGatewayTransit, il client da punto a sito sarà in grado di connettersi a tali reti virtuali con peering.Provided the peered VNets are using the UseRemoteGateway / AllowGatewayTransit features, the Point-to-Site client will be able to connect to those peered VNets. Per altre informazioni, vedere questo articolo.For more information please reference this article.

Che velocità effettiva è possibile prevedere usando connessioni da sito a sito o da punto a sito?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

È difficile mantenere esattamente la velocità effettiva tramite i tunnel VPN.It's difficult to maintain the exact throughput of the VPN tunnels. IPSec e SSTP sono protocolli VPN con un elevato livello di crittografia.IPsec and SSTP are crypto-heavy VPN protocols. La velocità effettiva è limitata inoltre dalla latenza e dalla larghezza di banda tra le sedi locali e Internet.Throughput is also limited by the latency and bandwidth between your premises and the Internet. Per un gateway VPN che ha solo connessioni VPN da punto a sito IKEv2, la velocità effettiva totale che è possibile prevedere dipende dallo SKU del gateway.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Per altre informazioni sulla velocità effettiva, vedere SKU del gateway.For more information on throughput, see Gateway SKUs.

Per la connettività da punto a sito è possibile usare qualsiasi client VPN software che supporta SSTP e/o IKEv2?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

No.No. È possibile usare solo il client VPN nativo in Windows per SSTP e il client VPN nativo in Mac per IKEv2.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. È tuttavia possibile usare il client OpenVPN su tutte le piattaforme per connettersi tramite il protocollo OpenVPN.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Vedere l'elenco dei sistemi operativi client supportati.Refer to the list of supported client operating systems.

Azure supporta VPN IKEv2 con Windows?Does Azure support IKEv2 VPN with Windows?

IKEv2 è supportato in Windows 10 e Server 2016.IKEv2 is supported on Windows 10 and Server 2016. Per poter usare IKEv2, è però necessario installare gli aggiornamenti e impostare in locale un valore della chiave del Registro di sistema.However, in order to use IKEv2, you must install updates and set a registry key value locally. Le versioni del sistema operativo precedenti a Windows 10 non sono supportate e possono usare solo SSTP o il protocollo OpenVPN®.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Per preparare Windows 10 o Server 2016 per IKEv2:To prepare Windows 10 or Server 2016 for IKEv2:

  1. Installare l'aggiornamento.Install the update.

    Versione del sistema operativoOS version DataDate Numero/collegamentoNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 versione 1607Windows 10 Version 1607
    17 gennaio 2018January 17, 2018 KB4057142KB4057142
    Windows 10 versione 1703Windows 10 Version 1703 17 gennaio 2018January 17, 2018 KB4057144KB4057144
    Windows 10 versione 1709Windows 10 Version 1709 22 marzo 2018March 22, 2018 KB4089848KB4089848
  2. Impostare il valore della chiave del Registro di sistema.Set the registry key value. Creare o impostare su 1 la chiave REG_DWORD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" del Registro di sistema.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

Cosa accade quando configurano sia SSTP che IKEv2 per le connessioni VPN P2S?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Quando si configurano sia SSTP che IKEv2 in un ambiente misto (costituito da dispositivi Windows e Mac), il client VPN Windows proverà sempre prima ad accedere al tunnel IKEv2, ma eseguirà il fallback a SSTP se la connessione IKEv2 non riesce.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX si connetterà solo tramite IKEv2.MacOSX will only connect via IKEv2.

Oltre a Windows e Mac, quali altre piattaforme supporta Azure per VPN P2S?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Per VPN da punto a sito Azure supporta Windows, Mac e Linux.Azure supports Windows, Mac and Linux for P2S VPN.

Si dispone già di un Gateway VPN di Azure distribuito.I already have an Azure VPN Gateway deployed. È possibile attivare RADIUS e/o VPN IKEv2 su di esso?Can I enable RADIUS and/or IKEv2 VPN on it?

Sì, è possibile abilitare queste nuove funzionalità in gateway già distribuiti, usando Powershell o il portale di Azure, purché la SKU del gateway in uso supporti RADIUS e/o IKEv2.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Lo SKU Basic del gateway VPN, ad esempio, non supporta l'autenticazione RADIUS o IKEv2.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

Come si rimuove la configurazione di una connessione da punto a sito?How do I remove the configuration of a P2S connection?

Per rimuovere una configurazione di una connessione da punto a sito nell'interfaccia della riga di comando di Azure e PowerShell, è possibile usare i comandi seguenti:A P2S configuration can be removed using Azure CLI and PowerShell using the following commands:

Azure PowerShellAzure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Interfaccia della riga di comando di AzureAzure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

L'autenticazione RADIUS è supportata in tutti gli SKU del gateway VPN di Azure?Is RADIUS authentication supported on all Azure VPN Gateway SKUs?

L'autenticazione RADIUS è supportata per gli SKU VpnGw1, VpnGw2 e VpnGw3.RADIUS authentication is supported for VpnGw1, VpnGw2, and VpnGw3 SKUs. Se si usano SKU legacy, l'autenticazione RADIUS è supportata negli SKU Standard e Prestazioni elevate.If you are using legacy SKUs, RADIUS authentication is supported on Standard and High Performance SKUs. Non è supportata nello SKU del gateway Basic.It is not supported on the Basic Gateway SKU. 

L'autenticazione RADIUS è supportata per il modello di distribuzione classica?Is RADIUS authentication supported for the classic deployment model?

No.No. L'autenticazione RADIUS non è supportata per il modello di distribuzione classica.RADIUS authentication is not supported for the classic deployment model.

I server RADIUS di terze parti sono supportati?Are 3rd-party RADIUS servers supported?

Sì, i server RADIUS di terze parti sono supportati.Yes, 3rd-party RADIUS servers are supported.

Quali sono i requisiti di connettività per assicurarsi che il gateway di Azure possa raggiungere un server RADIUS locale?What are the connectivity requirements to ensure that the Azure gateway is able to reach an on-premises RADIUS server?

È necessaria una connessione VPN da sito a sito al sito locale, con le route corrette configurate.A VPN Site-to-Site connection to the on-premises site, with the proper routes configured, is required.  

Il traffico a un server RADIUS locale (dal gateway VPN di Azure) può essere instradato tramite una connessione ExpressRoute?Can traffic to an on-premises RADIUS server (from the Azure VPN gateway) be routed over an ExpressRoute connection?

No.No. Può essere instradato solo tramite una connessione da sito a sito.It can only be routed over a Site-to-Site connection.

Il numero di connessioni SSTP supportate con l'autenticazione RADIUS è stato modificato?Is there a change in the number of SSTP connections supported with RADIUS authentication? Qual il numero massimo di connessioni SSTP e IKEv2 supportate?What is the maximum number of SSTP and IKEv2 connections supported?

Il numero massimo di connessioni SSTP supportate in un gateway con l'autenticazione RADIUS non è stato modificato.There is no change in the maximum number of SSTP connections supported on a gateway with RADIUS authentication. Rimane 128 per le connessioni SSTP, ma dipende dallo SKU del gateway per le connessioni IKEv2.It remains 128 for SSTP, but depends on the gateway SKU for IKEv2.Per altre informazioni sul numero di connessioni supportate, vedere SKU del gateway. For more information on the number of connections supported, see Gateway SKUs.

Qual è la differenza tra eseguire l'autenticazione del certificato usando un server RADIUS o usando l'autenticazione del certificato nativo di Azure (caricando un certificato attendibile in Azure)?What is the difference between doing certificate authentication using a RADIUS server vs. using Azure native certificate authentication (by uploading a trusted certificate to Azure).

Nell'autenticazione del certificato RADIUS la richiesta di autenticazione viene inoltrata a un server RADIUS che gestisce la convalida effettiva del certificato.In RADIUS certificate authentication, the authentication request is forwarded to a RADIUS server that handles the actual certificate validation. Questa opzione è utile per l'integrazione con un'infrastruttura di autenticazione del certificato già disponibile tramite RADIUS.This option is useful if you want to integrate with a certificate authentication infrastructure that you already have through RADIUS.

Quando si usa Azure per l'autenticazione del certificato, il gateway VPN di Azure esegue la convalida del certificato.When using Azure for certificate authentication, the Azure VPN gateway performs the validation of the certificate. È necessario caricare la chiave pubblica del certificato nel gateway.You need to upload your certificate public key to the gateway. È anche possibile specificare l'elenco di certificati revocati a cui non deve essere consentito connettersi.You can also specify list of revoked certificates that shouldn’t be allowed to connect.

L'autenticazione RADIUS funziona sia con IKEv2 che con SSTP VPN?Does RADIUS authentication work with both IKEv2, and SSTP VPN?

Sì, l'autenticazione RADIUS funziona sia con IKEv2 che con SSTP VPN.Yes, RADIUS authentication is supported for both IKEv2, and SSTP VPN. 

L'autenticazione RADIUS funziona con il client OpenVPN?Does RADIUS authentication work with the OpenVPN client?

Per il protocollo OpenVPN l'autenticazione RADIUS è supportata solo tramite PowerShell.RADIUS authentication is supported for the OpenVPN protocol only through PowerShell.

Connessioni da rete virtuale a rete virtuale e multisitoVNet-to-VNet and Multi-Site connections

Le domande frequenti sulla connessione tra reti virtuali si applicano alle connessioni gateway VPN.The VNet-to-VNet FAQ applies to VPN gateway connections. Per informazioni sul peering delle reti virtuali, vedere Peering di rete virtuale.For information about VNet peering, see Virtual network peering.

È previsto un addebito per il traffico tra le reti virtuali?Does Azure charge for traffic between VNets?

Il traffico da rete virtuale a rete virtuale nella stessa area è gratuito in entrambe le direzioni quando si usa una connessione gateway VPN.VNet-to-VNet traffic within the same region is free for both directions when you use a VPN gateway connection. Per il traffico in uscita tra reti virtuali in aree diverse vengono applicate le tariffe di trasferimento dati in uscita tra reti virtuali in base alle aree di origine.Cross-region VNet-to-VNet egress traffic is charged with the outbound inter-VNet data transfer rates based on the source regions. Per altre informazioni, vedere la pagina Prezzi di Gateway VPN.For more information, see VPN Gateway pricing page. Se si connettono le reti virtuali tramite peering di reti virtuali e non con il gateway VPN, vedere la pagina Prezzi di Rete virtuale.If you're connecting your VNets by using VNet peering instead of a VPN gateway, see Virtual network pricing.

Il traffico da rete virtuale a rete virtuale viene trasmesso attraverso Internet?Does VNet-to-VNet traffic travel across the internet?

No.No. Il traffico da rete virtuale a rete virtuale passa attraverso il backbone di Microsoft Azure, non Internet.VNet-to-VNet traffic travels across the Microsoft Azure backbone, not the internet.

È possibile stabilire una connessione da rete virtuale a rete virtuale attraverso i tenant di Azure Active Directory (AAD)?Can I establish a VNet-to-VNet connection across Azure Active Directory (AAD) tenants?

Sì, le connessioni da rete virtuale a rete virtuale che usano i gateway VPN di Azure passano attraverso i tenant di AAD.Yes, VNet-to-VNet connections that use Azure VPN gateways work across AAD tenants.

Il traffico tra reti virtuali è sicuro?Is VNet-to-VNet traffic secure?

Sì, è protetto con la crittografia IPsec/IKE.Yes, it's protected by IPsec/IKE encryption.

È necessario un dispositivo VPN per connettere le reti virtuali?Do I need a VPN device to connect VNets together?

No.No. Per il collegamento di più reti virtuali di Azure non è necessario un dispositivo VPN, a meno che non sia necessaria la connettività cross-premise.Connecting multiple Azure virtual networks together doesn't require a VPN device unless cross-premises connectivity is required.

Le reti virtuali devono trovarsi nella stessa area?Do my VNets need to be in the same region?

No.No. Le reti virtuali possono essere nelle sottoscrizioni uguale o diverse.The virtual networks can be in the same or different Azure regions (locations).

Se le reti virtuali non sono nella stessa sottoscrizione, è necessario che le sottoscrizioni siano associate allo stesso tenant di Active Directory?If the VNets aren't in the same subscription, do the subscriptions need to be associated with the same Active Directory tenant?

No.No.

È possibile usare la connettività da rete virtuale a rete virtuale per connettere reti virtuali in istanze separate di Azure?Can I use VNet-to-VNet to connect virtual networks in separate Azure instances?

No.No. La connettività da rete virtuale a rete virtuale supporta la connessione di reti virtuali nella stessa istanza di Azure.VNet-to-VNet supports connecting virtual networks within the same Azure instance. Non è ad esempio possibile creare una connessione tra le istanze globali di Azure e le istanze di Azure cinesi, tedesche o del Governo degli Stati Uniti.For example, you can’t create a connection between global Azure and Chinese/German/US government Azure instances. Per questi scenari, considerare la possibilità di usare una connessione VPN da sito a sito.Consider using a Site-to-Site VPN connection for these scenarios.

È possibile usare la connessione da rete virtuale a rete virtuale insieme alle connessioni multisito?Can I use VNet-to-VNet along with multi-site connections?

Sì.Yes. La connettività di rete virtuale può essere usata contemporaneamente con VPN multisito,Virtual network connectivity can be used simultaneously with multi-site VPNs.

A quanti siti locali e reti virtuali può connettersi una rete virtuale?How many on-premises sites and virtual networks can one virtual network connect to?

Vedere la tabella Requisiti del gateway.See the Gateway requirements table.

È possibile usare la connessione da rete virtuale a rete virtuale per connettere macchine virtuali o servizi cloud esterni a una rete virtuale?Can I use VNet-to-VNet to connect VMs or cloud services outside of a VNet?

No.No. La connettività da VNet a VNet supporta la connessione di reti virtuali.VNet-to-VNet supports connecting virtual networks. Non supporta la connessione di macchine virtuali o servizi cloud non inclusi in una rete virtuale.It doesn't support connecting virtual machines or cloud services that aren't in a virtual network.

È possibile estendere un servizio cloud o un endpoint del servizio di bilanciamento del carico tra più reti virtuali?Can a cloud service or a load-balancing endpoint span VNets?

No.No. Un servizio cloud o un endpoint del servizio di bilanciamento del carico non può essere esteso tra reti virtuali, anche se sono connesse tra loro.A cloud service or a load-balancing endpoint can't span across virtual networks, even if they're connected together.

È possibile usare una VPN di tipo PolicyBased per le connessioni da rete virtuale a rete virtuale o multisito?Can I use a PolicyBased VPN type for VNet-to-VNet or Multi-Site connections?

No.No. La connettività tra reti virtuali e multisito richiede la presenza di gateway VPN di Azure con VPN di tipo RouteBased, denominato in precedenza routing dinamico.VNet-to-VNet and Multi-Site connections require Azure VPN gateways with RouteBased (previously called dynamic routing) VPN types.

È possibile connettere una rete virtuale con un tipo di VPN RouteBased a un'altra rete virtuale con un tipo di VPN PolicyBased?Can I connect a VNet with a RouteBased VPN Type to another VNet with a PolicyBased VPN type?

No, entrambe le reti virtuali DEVONO usare VPN di tipo RouteBased, denominato in precedenza routing dinamico.No, both virtual networks MUST use route-based (previously called dynamic routing) VPNs.

I tunnel VPN condividono la larghezza di banda?Do VPN tunnels share bandwidth?

Sì.Yes. Tutti i tunnel VPN della rete virtuale condividono la larghezza di banda disponibile sul gateway VPN di Azure e i tempi di servizio del gateway VPN dello stesso contratto di servizio in Azure.All VPN tunnels of the virtual network share the available bandwidth on the Azure VPN gateway and the same VPN gateway uptime SLA in Azure.

Sono supportati i tunnel ridondanti?Are redundant tunnels supported?

I tunnel ridondanti tra una coppia di reti virtuali sono supportati quando un gateway di rete virtuale è configurato come attivo/attivo.Redundant tunnels between a pair of virtual networks are supported when one virtual network gateway is configured as active-active.

È consentita la sovrapposizione di spazi di indirizzi per configurazioni da rete virtuale a rete virtuale?Can I have overlapping address spaces for VNet-to-VNet configurations?

No.No. Gli intervalli di indirizzi IP non possono sovrapporsi.You can't have overlapping IP address ranges.

Possono esistere spazi di indirizzi sovrapposti tra le reti virtuali connesse e i siti locali?Can there be overlapping address spaces among connected virtual networks and on-premises local sites?

No.No. Gli intervalli di indirizzi IP non possono sovrapporsi.You can't have overlapping IP address ranges.

È possibile usare un gateway VPN di Azure per il transito del traffico tra i siti locali o verso un'altra rete virtuale?Can I use Azure VPN gateway to transit traffic between my on-premises sites or to another virtual network?

Modello di distribuzione di Gestione risorseResource Manager deployment model
Sì.Yes. Per altre informazioni, vedere la sezione BGP.See the BGP section for more information.

Modello di distribuzione classicaClassic deployment model
Con il modello di distribuzione classica il transito del traffico attraverso il gateway VPN di Azure è possibile, ma si basa su spazi di indirizzi definiti in modo statico nel file di configurazione di rete.Transit traffic via Azure VPN gateway is possible using the classic deployment model, but relies on statically defined address spaces in the network configuration file. Il protocollo BGP non è ancora supportato con le reti virtuali di Azure e i gateway VPN con il modello di distribuzione classica.BGP is not yet supported with Azure Virtual Networks and VPN gateways using the classic deployment model. Senza BGP la definizione manuale degli spazi di indirizzi in transito è soggetta a errori e non è consigliata.Without BGP, manually defining transit address spaces is very error prone, and not recommended.

Azure genera la stessa chiave precondivisa IPsec/IKE per tutte le connessioni VPN per una stessa rete virtuale?Does Azure generate the same IPsec/IKE pre-shared key for all my VPN connections for the same virtual network?

No, per impostazione predefinita vengono generate chiavi precondivise diverse per connessioni VPN diverse.No, Azure by default generates different pre-shared keys for different VPN connections. È tuttavia possibile usare la nuova API REST di impostazione della chiave gateway VPN o il cmdlet di PowerShell per impostare il valore di chiave che si preferisce.However, you can use the Set VPN Gateway Key REST API or PowerShell cmdlet to set the key value you prefer. La chiave deve essere di caratteri ASCII stampabili.The key MUST be printable ASCII characters.

Si ottiene maggiore larghezza di banda con più VPN da sito a sito per una singola rete virtuale?Do I get more bandwidth with more Site-to-Site VPNs than for a single virtual network?

No, tutti i tunnel VPN, incluse le VPN da punto a sito, condividono lo stesso gateway VPN di Azure e la larghezza di banda disponibile.No, all VPN tunnels, including Point-to-Site VPNs, share the same Azure VPN gateway and the available bandwidth.

È possibile configurare più tunnel tra una rete virtuale e un sito locale usando una VPN multisito?Can I configure multiple tunnels between my virtual network and my on-premises site using multi-site VPN?

Sì, ma è necessario configurare BGP in entrambi i tunnel per la stessa località.Yes, but you must configure BGP on both tunnels to the same location.

È possibile usare VPN da punto a sito con la rete virtuale con più tunnel VPN?Can I use Point-to-Site VPNs with my virtual network with multiple VPN tunnels?

Sì, è possibile usare VPN da punto a sito (P2S) con i gateway VPN che si connettono a più siti locali e altre reti virtuali.Yes, Point-to-Site (P2S) VPNs can be used with the VPN gateways connecting to multiple on-premises sites and other virtual networks.

È possibile connettere una rete virtuale con VPN IPsec a un circuito ExpressRoute?Can I connect a virtual network with IPsec VPNs to my ExpressRoute circuit?

Sì, è possibile.Yes, this is supported. Per altre informazioni, vedere Configurare connessioni ExpressRoute e VPN da sito a sito coesistenti.For more information, see Configure ExpressRoute and Site-to-Site VPN connections that coexist.

Criteri IPsec/IKEIPsec/IKE policy

I criteri IPsec/IKE personalizzati sono supportati in tutti gli SKU del gateway VPN di Azure?Is Custom IPsec/IKE policy supported on all Azure VPN Gateway SKUs?

I criteri IPsec/IKE personalizzati sono supportati in tutti gli SKU di Azure ad eccezione dello SKU Basic.Custom IPsec/IKE policy is supported on all Azure SKUs except the Basic SKU.

Quanti criteri è possibile specificare per una connessione?How many policies can I specify on a connection?

Per una determinata connessione è possibile specificare *una _ sola combinazione di criteri.You can only specify *one _ policy combination for a given connection.

Per una connessione è possibile specificare criteri parziali,Can I specify a partial policy on a connection? ad esempio solo algoritmi IKE, ma non IPsec?(for example, only IKE algorithms, but not IPsec)

No. È necessario specificare tutti gli algoritmi e i parametri sia per IKE (modalità principale) che per IPsec (modalità rapida).No, you must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). Non è consentito specificare criteri parziali.Partial policy specification is not allowed.

Quali algoritmi e tipi di attendibilità della chiave sono supportati nei criteri personalizzati?What are the algorithms and key strengths supported in the custom policy?

La tabella seguente riporta l'elenco degli algoritmi di crittografia e dei tipi di attendibilità della chiave supportati e configurabili dai clienti.The following table lists the supported cryptographic algorithms and key strengths configurable by the customers. È necessario selezionare un'opzione per ogni campo.You must select one option for every field.

_ IPsec/IKEv2*_ IPsec/IKEv2* OpzioniOptions
Crittografia IKEv2IKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
Integrità IKEv2IKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
Gruppo DHDH Group DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, NoneDHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, None
Crittografia IPsecIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, NoneGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
Integrità IPsecIPsec Integrity GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Gruppo PFSPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, NonePFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
Durata associazione di sicurezza in modalità rapidaQM SA Lifetime Secondi (intero; min. 300/valore predefinito di 27000 secondi)Seconds (integer; min. 300/default 27000 seconds)
Kilobyte (intero; min 1024/valore predefinito di 102400000 KB)KBytes (integer; min. 1024/default 102400000 KBytes)
Selettore di trafficoTraffic Selector UsePolicyBasedTrafficSelectors ($True/$False; valore predefinito: $False)UsePolicyBasedTrafficSelectors ($True/$False; default $False)

Importante

  1. DHGroup2048 e PFS2048 corrispondono al gruppo Diffie-Hellman 14 in PFS IKE e IPsec.DHGroup2048 & PFS2048 are the same as Diffie-Hellman Group 14 in IKE and IPsec PFS. Per i mapping completi, vedere Gruppi Diffie-Hellman.See Diffie-Hellman Groups for the complete mappings.
  2. Per gli algoritmi GCMAES, è necessario specificare lo stesso algoritmo e la stessa lunghezza della chiave GCMAES sia per la crittografia che per l'integrità IPsec.For GCMAES algorithms, you must specify the same GCMAES algorithm and key length for both IPsec Encryption and Integrity.
  3. Nei gateway VPN di Azure la durata dell'associazione di sicurezza IKEv2 (modalità principale) è fissata a 28.800 secondi.IKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure VPN gateways.
  4. Le durate dell'associazione di sicurezza QM sono parametri facoltativi.QM SA Lifetimes are optional parameters. Se non ne è stato specificato nessuno, vengono usati i valori predefiniti pari a 27.000 secondi (7,5 ore) e 102400000 KB (102 GB).If none was specified, default values of 27,000 seconds (7.5 hrs) and 102400000 KBytes (102GB) are used.
  5. UsePolicyBasedTrafficSelector è un parametro facoltativo per la connessione.UsePolicyBasedTrafficSelector is an option parameter on the connection. Per informazioni su "UsePolicyBasedTrafficSelectors", vedere la domanda frequente successivaSee the next FAQ item for "UsePolicyBasedTrafficSelectors"

È necessaria la corrispondenza di tutti gli elementi tra i criteri del gateway VPN di Azure e le configurazioni dei dispositivi VPN locali?Does everything need to match between the Azure VPN gateway policy and my on-premises VPN device configurations?

La configurazione del dispositivo VPN locale deve contenere o corrispondere agli algoritmi e ai parametri seguenti specificati nei criteri IPsec/IKE di Azure:Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

  • Algoritmo di crittografia IKEIKE encryption algorithm
  • Algoritmo di integrità IKEIKE integrity algorithm
  • Gruppo DHDH Group
  • Algoritmo di crittografia IPsecIPsec encryption algorithm
  • Algoritmo di integrità IPsecIPsec integrity algorithm
  • Gruppo PFSPFS Group
  • Selettore di traffico (*)Traffic Selector (*)

La durata delle associazioni di sicurezza è una specifica locale. Non è necessaria la corrispondenza.The SA lifetimes are local specifications only, do not need to match.

Se si abilita UsePolicyBasedTrafficSelectors, è necessario verificare che i selettori di traffico corrispondenti siano definiti nel dispositivo VPN con tutte le combinazioni dei prefissi della rete locale (gateway di rete locale) da/verso i prefissi della rete virtuale di Azure, anziché any-to-any.If you enable UsePolicyBasedTrafficSelectors, you need to ensure your VPN device has the matching traffic selectors defined with all combinations of your on-premises network (local network gateway) prefixes to/from the Azure virtual network prefixes, instead of any-to-any. Se i prefissi della rete locale sono 10.1.0.0/16 e 10.2.0.0/16 e i prefissi della rete virtuale sono 192.168.0.0/16 e 172.16.0.0/16, ad esempio, è necessario specificare i selettori di traffico seguenti:For example, if your on-premises network prefixes are 10.1.0.0/16 and 10.2.0.0/16, and your virtual network prefixes are 192.168.0.0/16 and 172.16.0.0/16, you need to specify the following traffic selectors:

  • 10.1.0.0/16 <====> 192.168.0.0/1610.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/1610.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/1610.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/1610.2.0.0/16 <====> 172.16.0.0/16

Per altre informazioni, vedere Connettere più dispositivi VPN basati su criteri locali.For more information, see Connect multiple on-premises policy-based VPN devices.

Quali gruppi Diffie-Hellman sono supportati?Which Diffie-Hellman Groups are supported?

La tabella seguente elenca i gruppi Diffie-Hellman supportati per IKE (DHGroup) e IPsec (PFSGroup):The table below lists the supported Diffie-Hellman Groups for IKE (DHGroup) and IPsec (PFSGroup):

Gruppo Diffie-HellmanDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup Lunghezza chiaveKey length
11 DHGroup1DHGroup1 PFS1PFS1 MODP a 768 bit768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 MODP a 1024 bit1024-bit MODP
1414 DHGroup14DHGroup14
DHGroup2048DHGroup2048
PFS2048PFS2048 MODP a 2048 bit2048-bit MODP
1919 ECP256ECP256 ECP256ECP256 ECP a 256 bit256-bit ECP
2020 ECP384ECP384 ECP384ECP384 ECP a 384 bit384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 MODP a 2048 bit2048-bit MODP

Per altre informazioni, vedere RFC3526 e RFC5114.For more information, see RFC3526 and RFC5114.

I criteri personalizzati sostituiscono i set di criteri IPsec/IKE predefiniti per i gateway VPN di Azure?Does the custom policy replace the default IPsec/IKE policy sets for Azure VPN gateways?

Sì. Quando per una connessione vengono specificati criteri personalizzati, il gateway VPN di Azure userà solo tali criteri per la connessione, sia come iniziatore IKE che come risponditore IKE.Yes, once a custom policy is specified on a connection, Azure VPN gateway will only use the policy on the connection, both as IKE initiator and IKE responder.

Se si rimuovono i criteri IPsec/IKE personalizzati, la connessione diventa non protetta?If I remove a custom IPsec/IKE policy, does the connection become unprotected?

No. La connessione sarà comunque protetta tramite IPsec/IKE.No, the connection will still be protected by IPsec/IKE. Dopo la rimozione dei criteri personalizzati da una connessione, il gateway VPN di Azure ripristina l'elenco predefinito delle proposte IPsec/IKE e riavvia nuovamente l'handshake IKE con il dispositivo VPN locale.Once you remove the custom policy from a connection, the Azure VPN gateway reverts back to the default list of IPsec/IKE proposals and restart the IKE handshake again with your on-premises VPN device.

L'aggiunta o l'aggiornamento di criteri IPsec/IKE determinerà un'interruzione della connessione VPN?Would adding or updating an IPsec/IKE policy disrupt my VPN connection?

Sì. Potrebbe causare una breve interruzione di alcuni secondi perché il gateway VPN di Azure chiude la connessione esistente e riavvia l'handshake IKE per ristabilire il tunnel IPsec con i nuovi algoritmi di crittografia e i nuovi parametri.Yes, it could cause a small disruption (a few seconds) as the Azure VPN gateway tears down the existing connection and restarts the IKE handshake to re-establish the IPsec tunnel with the new cryptographic algorithms and parameters. Per ridurre al minimo l'interruzione, verificare che il dispositivo VPN locale sia configurato anche con gli algoritmi e i tipi di attendibilità della chiave corrispondenti.Ensure your on-premises VPN device is also configured with the matching algorithms and key strengths to minimize the disruption.

È possibile usare criteri diversi per connessioni diverse?Can I use different policies on different connections?

Sì.Yes. I criteri personalizzati vengono applicati in base alla connessione.Custom policy is applied on a per-connection basis. È possibile creare e applicare criteri IPsec/IKE diversi per connessioni diverse.You can create and apply different IPsec/IKE policies on different connections. Si possono anche applicare criteri personalizzati a un sottoinsieme di connessioni.You can also choose to apply custom policies on a subset of connections. Le connessioni rimanenti usano i set di criteri IPsec/IKE predefiniti di Azure.The remaining ones use the Azure default IPsec/IKE policy sets.

È possibile usare criteri personalizzati anche per una connessione da rete virtuale a rete virtuale?Can I use the custom policy on VNet-to-VNet connection as well?

Sì. È possibile applicare criteri personalizzati sia a connessioni cross-premise IPsec che a connessioni da rete virtuale a rete virtuale.Yes, you can apply custom policy on both IPsec cross-premises connections or VNet-to-VNet connections.

È necessario specificare gli stessi criteri per entrambe le risorse di connessione da rete virtuale a rete virtuale?Do I need to specify the same policy on both VNet-to-VNet connection resources?

Sì.Yes. Un tunnel da rete virtuale a rete virtuale è costituito da due risorse di connessione di Azure, una per ogni direzione.A VNet-to-VNet tunnel consists of two connection resources in Azure, one for each direction. Verificare che entrambe le risorse di connessione abbiano gli stessi criteri. In caso contrario, la connessione da rete virtuale a rete virtuale non verrà stabilita.Make sure both connection resources have the same policy, otherwise the VNet-to-VNet connection won't establish.

Qual è il valore predefinito di timeout DPD?What is the default DPD timeout value? È possibile specificare un timeout DPD diverso?Can I specify a different DPD timeout?

Il timeout DPD predefinito è di 45 secondi.The default DPD timeout is 45 seconds. È possibile specificare un valore di timeout DPD diverso per ogni connessione IPsec o da rete virtuale a rete virtuale tra 9 secondi e 3600 secondi.You can specify a different DPD timeout value on each IPsec or VNet-to-VNet connection between 9 seconds to 3600 seconds.

I criteri IPsec/IKE personalizzati funzionano in una connessione ExpressRoute?Does custom IPsec/IKE policy work on ExpressRoute connection?

No.No. I criteri IPsec/IKE funzionano solo in connessioni VPN da sito a sito e da rete virtuale a rete virtuale tramite gateway VPN di Azure.IPsec/IKE policy only works on S2S VPN and VNet-to-VNet connections via the Azure VPN gateways.

Come si creano le connessioni con il tipo di protocollo IKEv1 o IKEv2?How do I create connections with IKEv1 or IKEv2 protocol type?

Le connessioni IKEv1 possono essere create in tutti gli SKU di tipo VPN RouteBased, ad eccezione dello SKU Basic, dello SKU Standard e di altri SKU legacy.IKEv1 connections can be created on all RouteBased VPN type SKUs, except the Basic SKU, Standard SKU, and other legacy SKUs. È possibile specificare un tipo di protocollo di connessione IKEv1 o IKEv2 durante la creazione delle connessioni.You can specify a connection protocol type of IKEv1 or IKEv2 while creating connections. Se non si specifica un tipo di protocollo di connessione, viene usato IKEv2 come opzione predefinita, se applicabile.If you do not specify a connection protocol type, IKEv2 is used as default option where applicable. Per altre informazioni, vedere la documentazione sui cmdlet di PowerShell.For more information, see the PowerShell cmdlet documentation. Per i tipi di SKU e il supporto di IKEv1/IKEv2, vedere Connettere gateway a dispositivi VPN basati su criteri.For SKU types and IKEv1/IKEv2 support, see Connect gateways to policy-based VPN devices.

È consentito il transito tra le connessioni IKEv1 e IKEv2?Is transit between between IKEv1 and IKEv2 connections allowed?

Sì.Yes. Il transito tra le connessioni IKEv1 e IKEv2 è supportato.Transit between IKEv1 and IKEv2 connections is supported.

È possibile avere connessioni IKEv1 da sito a sito per gli SKU Basic di tipo VPN RouteBased?Can I have IKEv1 site-to-site connections on Basic SKUs of RouteBased VPN type?

No.No. Lo SKU Basic non supporta questo scenario.The Basic SKU does not support this.

È possibile modificare il tipo di protocollo di connessione dopo la creazione della connessione (da IKEv1 a IKEv2 e viceversa)?Can I change the connection protocol type after the connection is created (IKEv1 to IKEv2 and vice versa)?

No.No. Una volta creata la connessione, non è possibile modificare i protocolli IKEv1/IKEv2.Once the connection is created, IKEv1/IKEv2 protocols cannot be changed. È necessario eliminare la connessione e ricrearne una nuova con il tipo di protocollo desiderato.You must delete and recreate a new connection with the desired protocol type.

Dove sono reperibili altre informazioni di configurazione per IPSec?Where can I find more configuration information for IPsec?

Vedere Configurare criteri IPSec/IKE per connessioni da sito a sito o da rete virtuale a rete virtualeSee Configure IPsec/IKE policy for S2S or VNet-to-VNet connections

BGPBGP

BGP è supportato in tutti gli SKU del gateway VPN di Azure?Is BGP supported on all Azure VPN Gateway SKUs?

BGP è supportato in tutti gli SKU del gateway VPN ad eccezione dello SKU Basic.BGP is supported on all Azure VPN Gateway SKUs except Basic SKU.

È possibile usare BGP con i gateway VPN di Criteri di Azure?Can I use BGP with Azure Policy VPN gateways?

No, BGP è supportato unicamente nei gateway VPN basati su route.No, BGP is supported on route-based VPN gateways only.

Quali numeri ASN (Autonomous System Number) è possibile usare?What ASNs (Autonomous System Numbers) can I use?

È possibile usare i propri numeri ASN pubblici o quelli privati sia per le reti locali che per le reti virtuali di Azure.You can use your own public ASNs or private ASNs for both your on-premises networks and Azure virtual networks. Non è possibile usare gli intervalli riservati da Azure o IANA.You can't use the ranges reserved by Azure or IANA.

I seguenti numeri ASN sono riservati da Azure o da IANA:The following ASNs are reserved by Azure or IANA:

  • Numeri ASN riservati da Azure:ASNs reserved by Azure:
    • ASN pubblici: 8074, 8075, 12076Public ASNs: 8074, 8075, 12076
    • ASN privati: 65515, 65517, 65518, 65519, 65520Private ASNs: 65515, 65517, 65518, 65519, 65520
  • ASN riservati da IANA:ASNs reserved by IANA:
    • 23456, 64496-64511, 65535-65551 e 42949672923456, 64496-64511, 65535-65551 and 429496729

Non è possibile specificare questi numeri ASN per connettere i dispositivi VPN locali ai gateway VPN di Azure.You can't specify these ASNs for your on-premises VPN devices when you're connecting to Azure VPN gateways.

È possibile usare numeri ASN a 32 bit (4 byte)?Can I use 32-bit (4-byte) ASNs?

Sì, il gateway VPN ora supporta ASN a 32 bit (4 byte).Yes, VPN Gateway now supports 32-bit (4-byte) ASNs. Per configurare l'uso di ASN in formato decimale, usare PowerShell, l'interfaccia della riga di comando di Azure o Azure SDK.To configure by using ASN in decimal format, use PowerShell, the Azure CLI, or the Azure SDK.

Quali numeri ASN privati è possibile usare?What private ASNs can I use?

Gli intervalli utilizzabili di ASN privati sono:The useable ranges of private ASNs are:

  • 64512-65514 e 65521-6553464512-65514 and 65521-65534

Questi ASN non sono riservati per l'uso in IANA o Azure e possono quindi essere assegnati al gateway VPN di Azure.These ASNs aren't reserved by IANA or Azure for use, and therefore can be used to assign to your Azure VPN gateway.

Quale indirizzo viene usato dal gateway VPN per l'indirizzo IP del peer BGP?What address does VPN Gateway use for BGP peer IP?

Per impostazione predefinita, il gateway VPN alloca un singolo indirizzo IP dall'intervallo di GatewaySubnet per i gateway VPN di tipo attivo-standby oppure due indirizzi IP per i gateway VPN di tipo attivo-attivo.By default, VPN Gateway allocates a single IP address from the GatewaySubnet range for active-standby VPN gateways, or two IP addresses for active-active VPN gateways. Questi indirizzi vengono allocati automaticamente durante la creazione del gateway VPN.These addresses are allocated automatically when you create the VPN gateway. È possibile ottenere l'indirizzo IP BGP effettivo allocato usando PowerShell o individuarlo nel portale di Azure.You can get the actual BGP IP address allocated by using PowerShell or by locating it in the Azure portal. In PowerShell usare Get-AzVirtualNetworkGateway e cercare la proprietà bgpPeeringAddress .In PowerShell, use Get-AzVirtualNetworkGateway , and look for the bgpPeeringAddress property. Nel portale di Azure, nella pagina Configurazione gateway , controllare la proprietà Configura ASN BGP .In the Azure portal, on the Gateway Configuration page, look under the Configure BGP ASN property.

Se i router VPN locali usano indirizzi IP APIPA (169.254.x.x) come indirizzi IP di BGP, è necessario specificare un indirizzo IP di BGP aggiuntivo di Azure APIPA nel gateway VPN di Azure.If your on-premises VPN routers use APIPA IP addresses (169.254.x.x) as the BGP IP addresses, you must specify an additional Azure APIPA BGP IP address on your Azure VPN gateway. Il gateway VPN di Azure seleziona l'indirizzo APIPA da usare con il peer BGP APIPA locale specificato nel gateway di rete locale o un indirizzo IP privato per il peer BGP locale non APIPA.Azure VPN Gateway selects the APIPA address to use with the on-premises APIPA BGP peer specified in the local network gateway, or the private IP address for a non-APIPA, on-premises BGP peer. Per altre informazioni, vedere Configurare BGP.For more information, see Configure BGP.

Quali sono i requisiti per gli indirizzi IP dei peer BGP nel dispositivo VPN?What are the requirements for the BGP peer IP addresses on my VPN device?

L'indirizzo del peer BGP locale non deve essere uguale all'indirizzo IP pubblico del dispositivo VPN né essere incluso nello spazio indirizzi della rete virtuale del gateway VPN.Your on-premises BGP peer address must not be the same as the public IP address of your VPN device or from the virtual network address space of the VPN gateway. Usare un indirizzo IP diverso nel dispositivo VPN per il peer BGP.Use a different IP address on the VPN device for your BGP peer IP. Può essere un indirizzo assegnato all'interfaccia di loopback nel dispositivo, ossia un normale indirizzo IP o un indirizzo APIPA.It can be an address assigned to the loopback interface on the device (either a regular IP address or an APIPA address). Se il dispositivo usa l'indirizzo APIPA per BGP, è necessario specificare un indirizzo IP di BGP APIPA nel gateway VPN di Azure, come descritto in Configurare BGP.If your device uses an APIPA address for BGP, you must specify an APIPA BGP IP address on your Azure VPN gateway, as described in Configure BGP. Specificare questo indirizzo nel gateway di rete locale corrispondente che rappresenta la posizione.Specify this address in the corresponding local network gateway representing the location.

Cosa occorre specificare come prefissi di indirizzo per il gateway di rete locale quando si usa BGP?What should I specify as my address prefixes for the local network gateway when I use BGP?

Importante

Si tratta di una modifica rispetto al requisito precedentemente documentato.This is a change from the previously documented requirement. Se si usa BGP per una connessione, lasciare il campo Spazio indirizzi vuoto per la risorsa gateway di rete locale corrispondente.If you use BGP for a connection, leave the Address space field empty for the corresponding local network gateway resource. Il gateway VPN di Azure aggiunge internamente una route host all'indirizzo IP del peer BGP locale tramite il tunnel IPsec.Azure VPN Gateway adds a host route internally to the on-premises BGP peer IP over the IPsec tunnel. Non aggiungere la route /32 nel campo Spazio indirizzi .Don't add the /32 route in the Address space field. È ridondante e se si usa un indirizzo APIPA come indirizzo IP di BGP del dispositivo VPN locale, non è possibile aggiungerlo a questo campo.It's redundant and if you use an APIPA address as the on-premises VPN device BGP IP, it can't be added to this field. Se si aggiungono altri prefissi nel campo Spazio indirizzi , verranno aggiunti come route statiche sul gateway VPN di Azure, in aggiunta alle route acquisite tramite BGP.If you add any other prefixes in the Address space field, they are added as static routes on the Azure VPN gateway, in addition to the routes learned via BGP.

È possibile usare lo stesso numero ASN sia per le reti VPN locali che per le reti virtuali di Azure?Can I use the same ASN for both on-premises VPN networks and Azure virtual networks?

No, è necessario assegnare ASN diversi alle reti locali e alle reti virtuali di Azure, se vengono connesse insieme tramite BGP.No, you must assign different ASNs between your on-premises networks and your Azure virtual networks if you're connecting them together with BGP. Ai gateway VPN di Azure è assegnato un ASN predefinito 65515, sia che BGP sia abilitato o meno per la connettività cross-premise.Azure VPN gateways have a default ASN of 65515 assigned, whether BGP is enabled or not for your cross-premises connectivity. È possibile sostituire questo valore predefinito assegnando un ASN diverso durante la creazione del gateway VPN. In alternativa è possibile cambiarlo dopo aver creato il gateway.You can override this default by assigning a different ASN when you're creating the VPN gateway, or you can change the ASN after the gateway is created. Sarà necessario assegnare i numeri ASN locali ai gateway di rete locali di Azure corrispondenti.You will need to assign your on-premises ASNs to the corresponding Azure local network gateways.

Quali prefissi di indirizzo vengono segnalati all'utente dai gateway VPN di Azure?What address prefixes will Azure VPN gateways advertise to me?

I gateway annunciano le route seguenti ai dispositivi BGP locali:The gateways advertise the following routes to your on-premises BGP devices:

  • I prefissi degli indirizzi di rete virtuale.Your virtual network address prefixes.
  • I prefissi degli indirizzi per ogni gateway di rete locale connesso al gateway VPN di Azure.Address prefixes for each local network gateway connected to the Azure VPN gateway.
  • Le route ottenute da altre sessioni di peering BGP connesse al gateway VPN di Azure, ad eccezione delle route predefinite o sovrapposte a qualsiasi prefisso di rete virtuale.Routes learned from other BGP peering sessions connected to the Azure VPN gateway, except for the default route or routes that overlap with any virtual network prefix.

Quanti prefissi è possibile annunciare al gateway VPN di Azure?How many prefixes can I advertise to Azure VPN Gateway?

Il gateway VPN di Azure supporta fino a 4000 prefissi.Azure VPN Gateway supports up to 4000 prefixes. La sessione BGP viene eliminata se il numero di prefissi supera il limite.The BGP session is dropped if the number of prefixes exceeds the limit.

È possibile segnalare la route predefinita (0.0.0.0/0) ai gateway VPN di Azure?Can I advertise default route (0.0.0.0/0) to Azure VPN gateways?

Sì.Yes. Si noti che in questo modo tutto il traffico in ingresso nella rete virtuale viene forzato verso il sito locale.Note that this forces all virtual network egress traffic towards your on-premises site. Si impedisce inoltre alle VM della rete virtuale di accettare comunicazioni pubbliche provenienti direttamente da Internet, come RDP o SSH da Internet alle VM.It also prevents the virtual network VMs from accepting public communication from the internet directly, such RDP or SSH from the internet to the VMs.

È possibile annunciare gli stessi prefissi della propria rete virtuale?Can I advertise the exact prefixes as my virtual network prefixes?

No, l'annuncio degli stessi prefissi degli indirizzi della rete virtuale verrà bloccato o filtrato da Azure.No, advertising the same prefixes as any one of your virtual network address prefixes will be blocked or filtered by Azure. È tuttavia possibile annunciare un prefisso che rappresenta un superset di quello interno alla rete virtuale.You can, however, advertise a prefix that is a superset of what you have inside your virtual network.

Ad esempio, se la rete virtuale usa lo spazio di indirizzi 10.0.0.0/16, è possibile annunciare 10.0.0.0/8,For example, if your virtual network used the address space 10.0.0.0/16, you can advertise 10.0.0.0/8. ma non 10.0.0.0/16 o 10.0.0.0/24.But you can't advertise 10.0.0.0/16 or 10.0.0.0/24.

È possibile usare BGP con le connessioni tra reti virtuali?Can I use BGP with my connections between virtual networks?

Sì, è possibile usare BGP sia per connessioni cross-premise che per connessioni tra reti virtuali.Yes, you can use BGP for both cross-premises connections and connections between virtual networks.

È possibile combinare connessioni BGP con connessioni non BGP per i gateway VPN di Azure?Can I mix BGP with non-BGP connections for my Azure VPN gateways?

Sì, è possibile combinare connessioni BGP e connessioni non BGP per lo stesso gateway VPN di Azure.Yes, you can mix both BGP and non-BGP connections for the same Azure VPN gateway.

Il gateway VPN di Azure supporta il routing di transito BGP?Does Azure VPN Gateway support BGP transit routing?

Sì, il routing di transito BGP è supportato, con l'eccezione che i gateway VPN di Azure non annunciano le route predefinite ad altri peer BGP.Yes, BGP transit routing is supported, with the exception that Azure VPN gateways don't advertise default routes to other BGP peers. Per abilitare il routing di transito tra più gateway VPN di Azure, è necessario abilitare BGP in tutte le connessioni intermedie tra reti virtuali.To enable transit routing across multiple Azure VPN gateways, you must enable BGP on all intermediate connections between virtual networks. Per altre informazioni, vedere About BGP (Informazioni su BGP).For more information, see About BGP.

È possibile stabilire più di un tunnel tra il gateway VPN di Azure e la rete locale?Can I have more than one tunnel between an Azure VPN gateway and my on-premises network?

Sì, è possibile stabilire più di un tunnel VPN da sito a sito tra un gateway VPN di Azure e la rete locale.Yes, you can establish more than one site-to-site (S2S) VPN tunnel between an Azure VPN gateway and your on-premises network. Si noti che tutti questi tunnel verranno conteggiati rispetto al numero totale di tunnel per i gateway VPN di Azure ed è necessario abilitare BGP in tutti.Note that all these tunnels are counted against the total number of tunnels for your Azure VPN gateways, and you must enable BGP on both tunnels.

Ad esempio, se sono presenti due tunnel ridondanti tra il gateway VPN di Azure e una delle reti locali, verranno consumati 2 tunnel della quota totale disponibile per il gateway VPN di Azure.For example, if you have two redundant tunnels between your Azure VPN gateway and one of your on-premises networks, they consume 2 tunnels out of the total quota for your Azure VPN gateway.

È possibile stabilire più tunnel tra due reti virtuali di Azure con BGP?Can I have multiple tunnels between two Azure virtual networks with BGP?

Sì, ma almeno uno dei gateway di rete virtuale deve avere la configurazione attiva/attiva.Yes, but at least one of the virtual network gateways must be in active-active configuration.

È possibile usare BGP per una VPN da sito a sito in una configurazione di coesistenza VPN da sito a sito e Azure ExpressRoute?Can I use BGP for S2S VPN in an Azure ExpressRoute and S2S VPN coexistence configuration?

Sì.Yes.

Cosa è necessario aggiungere al dispositivo VPN locale per la sessione di peering BGP?What should I add to my on-premises VPN device for the BGP peering session?

Aggiungere una route host dell'indirizzo IP del peer BGP di Azure nel dispositivo VPN.Add a host route of the Azure BGP peer IP address on your VPN device. Questa route punta al tunnel VPN da sito a sito IPsec.This route points to the IPsec S2S VPN tunnel. Ad esempio, se l'indirizzo IP del peer VPN di Azure è 10.12.255.30, è necessario aggiungere una route host per 10.12.255.30 con un'interfaccia per hop successivo dell'interfaccia del tunnel IPsec corrispondente nel dispositivo VPN.For example, if the Azure VPN peer IP is 10.12.255.30, you add a host route for 10.12.255.30 with a next-hop interface of the matching IPsec tunnel interface on your VPN device.

Il gateway di rete virtuale supporta BFD per le connessioni da sito a sito con BGP?Does the virtual network gateway support BFD for S2S connections with BGP?

No.No. BFD (Bidirectional Forwarding Detection) è un protocollo che può essere usato con BGP per rilevare l'inattività di vicini più rapidamente rispetto ai "keepalive" BGP standard.Bidirectional Forwarding Detection (BFD) is a protocol that you can use with BGP to detect neighbor downtime quicker than you can by using standard BGP "keepalives." BFD usa timer di frazioni di secondo progettati per funzionare in ambienti LAN, ma non in connessioni tramite Internet pubblico o reti WAN.BFD uses subsecond timers designed to work in LAN environments, but not across the public internet or Wide Area Network connections.

Per le connessioni tramite Internet pubblico, la presenza di alcuni pacchetti ritardati o anche eliminati non è insolita, di conseguenza l'introduzione di questi timer aggressivi potrebbe aggiungere instabilitàFor connections over the public internet, having certain packets delayed or even dropped isn't unusual, so introducing these aggressive timers can add instability. che potrebbero causare la conseguente attenuazione delle route da parte di BGP.This instability might cause routes to be dampened by BGP. In alternativa, è possibile configurare il dispositivo locale con timer di durata inferiore all'intervallo di attesa di "keepalive" predefinito di 60 secondi e il timer di attesa di 180 secondi.As an alternative, you can configure your on-premises device with timers lower than the default, 60-second "keepalive" interval, and the 180-second hold timer. In questo modo si ottiene un tempo di convergenza più rapido.This results in a quicker convergence time.

Connettività cross-premise e macchine virtualiCross-premises connectivity and VMs

Se la macchina virtuale si trova in una rete virtuale e si dispone di una connessione cross-premise, in che modo è possibile connettersi alla macchina virtuale?If my virtual machine is in a virtual network and I have a cross-premises connection, how should I connect to the VM?

Sono disponibili diverse opzioni.You have a few options. Se RDP è abilitato per la macchina virtuale, è possibile connettersi alla macchina virtuale usando l'indirizzo IP privato.If you have RDP enabled for your VM, you can connect to your virtual machine by using the private IP address. In tal caso, specificare l'indirizzo IP privato e la porta a cui si vuole connettersi, in genere la porta 3389.In that case, you would specify the private IP address and the port that you want to connect to (typically 3389). Sarà necessario configurare la porta sulla macchina virtuale per il traffico.You'll need to configure the port on your virtual machine for the traffic.

È possibile connettersi alla macchina virtuale anche usando l'indirizzo IP privato di un'altra macchina virtuale presente nella stessa rete virtuale.You can also connect to your virtual machine by private IP address from another virtual machine that's located on the same virtual network. Non è possibile usare RDP sulla macchina virtuale tramite indirizzo IP privato se si esegue la connessione da una posizione esterna alla rete virtuale.You can't RDP to your virtual machine by using the private IP address if you are connecting from a location outside of your virtual network. Se ad esempio è configurata una rete virtuale da punto a sito e non si stabilisce una connessione dal computer, non è possibile connettersi alla macchina virtuale tramite indirizzo IP privato.For example, if you have a Point-to-Site virtual network configured and you don't establish a connection from your computer, you can't connect to the virtual machine by private IP address.

Se la macchina virtuale si trova in una rete virtuale con connettività cross-premise, il traffico dalla macchina virtuale passa tutto attraverso tale connessione?If my virtual machine is in a virtual network with cross-premises connectivity, does all the traffic from my VM go through that connection?

No.No. Attraverso il gateway della rete virtuale passerà solo il traffico con un IP di destinazione incluso negli intervalli di indirizzi IP di rete locale specificati per la rete virtuale.Only the traffic that has a destination IP that is contained in the virtual network Local Network IP address ranges that you specified will go through the virtual network gateway. Il traffico che ha un indirizzo IP di destinazione nella rete virtuale rimane all'interno della rete virtuale.Traffic has a destination IP located within the virtual network stays within the virtual network. Il restante traffico verrà inviato alle reti pubbliche tramite il bilanciamento del carico o, se si usa il tunneling forzato, tramite il gateway VPN di Azure.Other traffic is sent through the load balancer to the public networks, or if forced tunneling is used, sent through the Azure VPN gateway.

Come risolvere i problemi di una connessione RDP a una VMHow do I troubleshoot an RDP connection to a VM

Se si verificano problemi di connessione a una macchina virtuale tramite la connessione VPN, controllare gli elementi seguenti:If you are having trouble connecting to a virtual machine over your VPN connection, check the following:

  • Verificare che la connessione VPN sia attiva.Verify that your VPN connection is successful.
  • Verificare che venga effettuata la connessione all'indirizzo IP privato per la VM.Verify that you are connecting to the private IP address for the VM.
  • Se è possibile connettersi alla VM usando l'indirizzo IP privato, ma non il nome del computer, verificare di avere configurato correttamente il valore per DNS.If you can connect to the VM using the private IP address, but not the computer name, verify that you have configured DNS properly. Per altre informazioni sul funzionamento della risoluzione dei nomi per le macchine virtuali, vedere Risoluzione dei nomi per le macchine virtuali.For more information about how name resolution works for VMs, see Name Resolution for VMs.

Quando ci si connette tramite connessione da punto a sito, controllare gli elementi seguenti:When you connect over Point-to-Site, check the following additional items:

  • Usare "ipconfig" per controllare l'indirizzo IPv4 assegnato alla scheda Ethernet nel computer da cui viene effettuata la connessione.Use 'ipconfig' to check the IPv4 address assigned to the Ethernet adapter on the computer from which you are connecting. Se l'indirizzo IP è compreso nell'intervallo di indirizzi della rete virtuale a cui ci si connette o nell'intervallo di indirizzi del pool di indirizzi del client VPN, si verifica la cosiddetta sovrapposizione dello spazio indirizzi.If the IP address is within the address range of the VNet that you are connecting to, or within the address range of your VPNClientAddressPool, this is referred to as an overlapping address space. Con questo tipo di sovrapposizione, il traffico di rete non raggiunge Azure e rimane nella rete locale.When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.
  • Verificare che il pacchetto di configurazione del client VPN sia stato generato dopo che sono stati specificati gli indirizzi IP del server DNS per la rete virtuale.Verify that the VPN client configuration package was generated after the DNS server IP addresses were specified for the VNet. Se gli indirizzi IP del server DNS sono stati aggiornati, generare e installare un nuovo pacchetto di configurazione del client VPN.If you updated the DNS server IP addresses, generate and install a new VPN client configuration package.

Per altre informazioni sulla risoluzione dei problemi di una connessione RDP, vedere Risolvere i problemi delle connessioni Desktop remoto a una macchina virtuale.For more information about troubleshooting an RDP connection, see Troubleshoot Remote Desktop connections to a VM.

Domande frequenti sulla rete virtualeVirtual Network FAQ

Vengono visualizzate informazioni sulla rete virtuale aggiuntive in Domande frequenti sulla rete virtuale.You view additional virtual network information in the Virtual Network FAQ.

Passaggi successiviNext steps

"OpenVPN" è un marchio di OpenVPN Inc."OpenVPN" is a trademark of OpenVPN Inc.