Esercitazione: Creare una connessione VPN da sito a sito nel portale di Azure
In questa esercitazione si usa il portale di Azure per creare una connessione Gateway VPN da sito a sito (S2S) tra la rete locale e una rete virtuale. È anche possibile creare questa configurazione usando Azure PowerShell o l'interfaccia della riga di comando di Azure.
In questa esercitazione:
- Crea una rete virtuale.
- Creare un gateway VPN.
- Creare un gateway di rete locale.
- Creare una connessione a VPN.
- Verificare la connessione.
- Connettersi a una macchina virtuale.
Prerequisiti
È necessario un account Azure con una sottoscrizione attiva. Se non hai un account, puoi crearlo gratuitamente.
Se non si ha familiarità con gli intervalli degli indirizzi IP disponibili nella configurazione della rete locale, è necessario coordinarsi con qualcuno che possa fornire tali dettagli. Quando si crea questa configurazione, è necessario specificare i prefissi degli intervalli di indirizzi IP che Azure instraderà alla posizione in locale. Nessuna delle subnet della rete locale può sovrapporsi alle subnet della rete virtuale a cui ci si vuole connettere.
Dispositivi VPN:
- Verificare di avere un dispositivo VPN compatibile e che sia presente un utente che possa configurarlo. Per altre informazioni sui dispositivi VPN compatibili e sulla configurazione dei dispositivi, vedere Informazioni sui dispositivi VPN.
- Verificare di avere un indirizzo IPv4 pubblico esterno per il dispositivo VPN.
- Verificare che il dispositivo VPN supporti i gateway in modalità attiva-attiva. In questo articolo si creerà un gateway VPN in modalità attiva, consigliato per la connettività a disponibilità elevata. La modalità attiva-attiva specifica che entrambe le istanze della macchina virtuale del gateway sono attive e usano due indirizzi IP pubblici, uno per ogni istanza di macchina virtuale del gateway. Configurare il dispositivo VPN per connettersi all'indirizzo IP per ogni istanza di macchina virtuale del gateway. Se il dispositivo VPN non supporta questa modalità, non abilitarla per il gateway. Per altre informazioni, vedere Progettare connettività a disponibilità elevata per connessioni tra più località e da rete virtuale a rete virtuale e Informazioni sui gateway VPN in modalità attiva-attiva.
Creare una rete virtuale
In questa sezione viene creata una rete virtuale usando i valori seguenti:
- Gruppo di risorse: TestRG1
- Nome: VNet1
- Area: Stati Uniti orientali
- Spazio indirizzi IPv4: 10.1.0.0/16
- Nome subnet: FrontEnd
- Spazio indirizzi della subnet:
Nota
Quando si usa una rete virtuale in un'architettura cross-premise, è necessario coordinarsi con l'amministratore di rete locale per definire un intervallo di indirizzi IP da usare in modo specifico per questa rete virtuale. Se su entrambi i lati della connessione VPN è presente un intervallo di indirizzi duplicato, il traffico verrà indirizzato in modo imprevisto. Se inoltre si vuole connettere questa rete virtuale a un'altra rete virtuale, lo spazio degli indirizzi non può sovrapporsi all'altra rete virtuale. Pianificare la configurazione di rete di conseguenza.
Accedere al portale di Azure.
In Cerca risorse, servizio e documentazione (G+/) nella parte superiore della pagina del portale inserire la rete virtuale. Selezionare Rete virtuale nei risultati della ricerca del Marketplace per aprire la pagina Rete virtuale.
Nella parte inferiore della pagina Rete virtuale selezionare Crea per aprire la pagina Crea rete virtuale.
Nella scheda Informazioni di base configurare le impostazioni della rete virtuale per Dettagli del progetto e Dettagli dell’istanza. Quando vengono convalidati i valori immessi, viene visualizzato un segno di spunta verde. È possibile modificare i valori visualizzati nell'esempio in base alle impostazioni necessarie.
- Sottoscrizione: verificare che la sottoscrizione elencata sia corretta. È possibile modificare le sottoscrizioni tramite l'elenco a discesa.
- Gruppo di risorse: selezionare un gruppo di risorse esistente oppure fare clic su Crea nuovo per creare un nuovo gruppo. Per altre informazioni sui gruppi di risorse, vedere Panoramica di Azure Resource Manager.
- Nome: immettere un nome per la rete virtuale.
- Area: selezionare il percorso per la rete virtuale. La località determina la posizione in cui risiederanno le risorse distribuite nella rete virtuale.
Selezionare Avanti o Sicurezza per andare alla scheda sScurezza. Per questo esercizio, lasciare i valori predefiniti per tutti i servizi in questa pagina.
Selezionare indirizzi IP per andare alla scheda Indirizzi IP. Nella scheda Indirizzi IP configurare i le impostazioni.
Spazio indirizzi IPv4: per impostazione predefinita, viene creato automaticamente uno spazio indirizzi. È possibile selezionare lo spazio indirizzi e modificarlo in modo da riflettere i propri valori. È anche possibile aggiungere uno spazio indirizzi differente e rimuovere l'impostazione predefinita creata automaticamente. Ad esempio, è possibile specificare l'indirizzo iniziale come 10.1.0.0 e specificare le dimensioni dello spazio degli indirizzi come /16. Selezionare quindi Aggiungi per aggiungere tale spazio indirizzi.
+ Aggiungi subnet: se si usa lo spazio indirizzi predefinito, viene creata automaticamente una subnet predefinita. Se si modifica lo spazio indirizzi, aggiungere una nuova subnet all'interno di tale spazio. Selezionare + Aggiungi subnet per aprire la finestra Aggiungi subnet. Configurare le impostazioni seguenti e quindi selezionare Aggiungi nella parte inferiore della pagina per aggiungere i valori.
- Nome subnet: è possibile usare il valore predefinito o specificare il nome. Esempio: FrontEnd.
- Intervallo di indirizzi subnet: intervallo di indirizzi per questa subnet. Gli esempi sono 10.1.0.0 e /24.
Esaminare la pagina indirizzi IP e rimuovere eventuali spazi di indirizzi o subnet non necessari.
Selezionare Rivedi e crea per convalidare le impostazioni della rete virtuale.
Dopo aver convalidato le impostazioni, selezionare Crea per creare la rete virtuale.
Dopo aver creato la rete virtuale, è possibile configurare facoltativamente Protezione DDoS di Azure. Protezione DDoS di Azure è semplice da abilitare in qualsiasi rete virtuale nuova o esistente e non richiede alcuna modifica di applicazioni o risorse. Per altre informazioni sulla Protezione DDoS di Azure, vedere Che cos'è Protezione DDoS di Azure?.
Creare una subnet del gateway
Il gateway di rete virtuale richiede una subnet specifica denominata GatewaySubnet. La subnet del gateway fa parte dell'intervallo di indirizzi IP per la rete virtuale e contiene gli indirizzi IP usati dalle risorse e dai servizi del gateway di rete virtuale.
Quando si crea la subnet del gateway, si specifica il numero di indirizzi IP inclusi nella subnet. Il numero di indirizzi IP necessari dipende alla configurazione di gateway VPN che si vuole creare. Alcune configurazioni richiedono più indirizzi IP di altre. È consigliabile specificare /27 o superiore (/26, /25 e così via) per la subnet del gateway.
- Nella pagina della rete virtuale, nel riquadro sinistro selezionare Subnet per aprire la pagina Subnet.
- Nella parte superiore della pagina selezionare + Subnet gateway per aprire il riquadro Aggiungi subnet.
- Il nome viene immesso automaticamente come GatewaySubnet. Modificare il valore dell'intervallo di indirizzi IP, se necessario, ad esempio 10.1.255.0/27.
- Non modificare gli altri valori nella pagina. Selezionare Salva nella parte inferiore della pagina per salvare la subnet.
Importante
I gruppi di sicurezza di rete nella subnet del gateway non sono supportati. Se si associa un gruppo di sicurezza di rete a tale subnet, il gateway della rete virtuale (VPN e gateway Express Route) potrebbe smettere di funzionare come previsto. Per altre informazioni sui gruppi di sicurezza di rete, vedere Che cos'è un gruppo di sicurezza di rete.
Creare un gateway VPN
In questo passaggio viene creato un gateway di rete virtuale (gateway VPN) per la rete virtuale. La creazione di un gateway spesso richiede anche più di 45 minuti di tempo a seconda dello SKU gateway selezionato.
Creare un gateway VPN
Creare un gateway di rete virtuale (Gateway VPN) con i valori seguenti:
- Nome: VNet1GW
- Tipo di gateway: VPN
- SKU: VpnGw2AZ
- Generazione: Generazione 2
- Rete virtuale: VNet1
- Intervallo di indirizzi subnet del gateway: 10.1.255.0/27
- Indirizzo IP pubblico: Crea nuovo
- Nome indirizzo IP pubblico: VNet1GWpip1
- SKU IP pubblico: Standard
- Assegnazione: Statico
- Nome indirizzo IP pubblico secondario: VNet1GWpip2
- Abilitare la modalità attiva-attiva: Abilitato
- Configurare BGP: Disabilitato
In Cerca risorse, servizi e documentazione (G+/)immettere il gateway di rete virtuale. Individuare Gateway di rete virtuale nei risultati della ricerca del Marketplace e selezionarlo per aprire la pagina Crea gateway di rete virtuale.
Nella scheda Informazioni di base inserire i valori per Dettagli del progetto e Dettagli dell’istanza.
Sottoscrizione: selezionare la sottoscrizione da usare nell'elenco a discesa.
Gruppo di risorse: questo valore viene compilato automaticamente quando si seleziona la rete virtuale in questa pagina.
Nome: si tratta del nome dell'oggetto gateway da creare. Tale nome è diverso da quello della subnet del gateway in cui verranno distribuite le risorse.
Area: selezionare l'area in cui creare la risorsa. L'area del gateway deve essere uguale a quella della rete virtuale.
Tipo di gateway: selezionare VPN. I gateway VPN usano il gateway di rete virtuale di tipo VPN.
SKU: nell'elenco a discesa selezionare uno SKU del gateway che supporta le funzionalità da usare.
- È consigliabile selezionare uno SKU che termina con AZ quando possibile. Gli SKU AZ supportano le zone di disponibilità.
- Lo SKU di base non è disponibile nel portale. Per configurare un gateway SKU Basic, è necessario usare PowerShell o l'interfaccia della riga di comando.
Generazione: selezionare Generation2 nell'elenco a discesa.
Rete virtuale: scegliere la rete virtuale a cui aggiungere il gateway nell'elenco a discesa. Se non è possibile visualizzare la rete virtuale che si vuole usare, assicurarsi di aver selezionato la sottoscrizione e l'area corrette nelle impostazioni precedenti.
Intervallo di indirizzi della subnet del gateway o Subnet: la subnet del gateway è necessaria per creare un gateway VPN.
Attualmente, questo campo può mostrare opzioni di impostazioni diverse a seconda dello spazio indirizzi della rete virtuale e del fatto che sia già stata creata o meno una subnet denominata GatewaySubnet per la rete virtuale.
Se non si dispone di una subnet del gateway e non viene visualizzata l'opzione per crearne una in questa pagina, tornare alla rete virtuale e creare la subnet del gateway. Tornare quindi a questa pagina e configurare il gateway VPN.
Specificare i valori per Indirizzo IP pubblico. Queste impostazioni specificano l'oggetto IP pubblico che verrà associato al gateway VPN. Un IP pubblico viene assegnato a ogni oggetto IP pubblico quando viene creato il gateway VPN. L'unico caso in cui l'IP pubblico assegnato cambia è quando il gateway viene eliminato e ricreato. Gli indirizzi IP non cambiano durante il ridimensionamento, la reimpostazione o altre operazioni di manutenzione/aggiornamento interne del gateway VPN.
Tipo di IP pubblico: se viene visualizzata questa opzione, selezionare Standard.
Indirizzo IP pubblico: lasciare Crea nuovo selezionato.
Nome indirizzo IP pubblico: nella casella di testo digitare un nome per l'istanza dell'indirizzo IP pubblico.
SKU IP pubblico: l'impostazione viene selezionata automaticamente su SKU Standard.
Assegnazione: l'assegnazione viene in genere selezionata automaticamente e deve essere Statica.
Zona di disponibilità: questa impostazione è disponibile per gli SKU del gateway AZ nelle aree che supportano le zone di disponibilità. Selezionare Ridondanza della zona, a meno che non si sappia di voler specificare una zona.
Abilitare la modalità attiva-attiva: è consigliabile selezionare Abilitato per sfruttare i vantaggi di un gateway in modalità attiva-attiva. Se si prevede di usare questo gateway per una connessione da sito a sito, prendere in considerazione quanto segue:
- Verificare la progettazione attiva-attiva da usare. Le connessioni con il dispositivo VPN locale devono essere configurate in modo specifico per sfruttare la modalità attiva-attiva.
- Alcuni dispositivi VPN non supportano la modalità attiva-attiva. Se non si è certi, rivolgersi al fornitore del dispositivo VPN. Se si usa un dispositivo VPN che non supporta la modalità attiva-attiva, è possibile selezionare Disabilitato per questa impostazione.
IP pubblico secondario: selezionare Crea nuovo. Questa opzione è disponibile solo se è stata selezionata l'opzione Abilitato per l'impostazione Abilita modalità attiva-attiva.
Nome indirizzo IP pubblico: nella casella di testo digitare un nome per l'istanza dell'indirizzo IP pubblico.
SKU IP pubblico: l'impostazione viene selezionata automaticamente su SKU Standard.
Zona di disponibilità: selezionare Con ridondanza della zona, a meno che non si voglia specificare una zona.
Configurazione BGP: selezionare Disabilitato, a meno che la configurazione non richieda specificamente questa opzione. Se è un'impostazione necessaria, il numero ASN predefinito è 65515, anche se questo valore può essere modificato.
Abilitare l'accesso all'insieme di credenziali delle chiavi: selezionare Disabilitato a meno che la configurazione non richieda specificamente questa impostazione.
Selezionare Rivedi e crea per eseguire la convalida.
Una volta superata la convalida, selezionare Crea per distribuire il gateway VPN.
La creazione e la distribuzione completa di un gateway può richiedere più di 45 minuti. È possibile visualizzare lo stato della distribuzione nella pagina Panoramica per il gateway.
Importante
I gruppi di sicurezza di rete nella subnet del gateway non sono supportati. Se si associa un gruppo di sicurezza di rete a tale subnet, il gateway della rete virtuale (VPN e gateway Express Route) potrebbe smettere di funzionare come previsto. Per altre informazioni sui gruppi di sicurezza di rete, vedere Che cos'è un gruppo di sicurezza di rete.
Visualizzare l'indirizzo IP pubblico
Per visualizzare l'indirizzo IP associato a ogni istanza di macchina virtuale del gateway di rete virtuale, passare al gateway di rete virtuale nel portale.
- Passare alla pagina Proprietà del gateway di rete virtuale (non alla pagina Panoramica). Potrebbe essere necessario espandere le Impostazioni per visualizzare la pagina Proprietà nell'elenco.
- Se il gateway è in modalità attiva-passiva, verrà visualizzato un solo indirizzo IP. Se il gateway è in modalità attiva-attiva, verranno visualizzati due indirizzi IP pubblici, uno per ogni istanza di macchina virtuale del gateway. Quando si crea una connessione da sito a sito, è necessario specificare ogni indirizzo IP durante la configurazione del dispositivo VPN, poiché entrambe le macchine virtuali gateway sono attive.
- Per visualizzare altre informazioni sull'oggetto indirizzo IP, fare clic sul collegamento dell’indirizzo IP associato.
Creare un gateway di rete locale
Il gateway di rete locale è un oggetto specifico distribuito da Azure che rappresenta la posizione locale (il sito) a scopo di routing. Assegnare al sito un nome che Azure possa usare come riferimento, quindi specificare l'indirizzo IP del dispositivo VPN locale con cui si crea una connessione. Specificare anche i prefissi degli indirizzi IP che saranno instradati tramite il gateway VPN al dispositivo VPN. I prefissi degli indirizzi specificati sono quelli disponibili nella rete locale. Se la rete locale viene modificata o è necessario modificare l'indirizzo IP pubblico del dispositivo VPN, è possibile aggiornare facilmente i valori in un secondo momento. Si crea un gateway di rete locale diverso per ogni dispositivo VPN a cui ci si vuole connettere. Alcune progettazioni di connettività a disponibilità elevata specificano più dispositivi VPN locali.
Creare un gateway di rete locale usando i valori seguenti:
- Nome: Site1
- Gruppo di risorse: TestRG1
- Località: Stati Uniti orientali
Considerazioni sulla configurazione:
- Il Gateway VPN supporta un solo indirizzo IPv4 per ogni FQDN. Se il nome di dominio si risolve in più indirizzi IP, il gateway VPN usa il primo restituito dai server DNS. Per eliminare l'incertezza, è consigliabile che il nome FQDN si risolva sempre in un singolo indirizzo IPv4. IPv6 non è supportato.
- Il gateway VPN mantiene una cache DNS che viene aggiornata ogni 5 minuti. Il gateway prova a risolvere i nomi FQDN solo per i tunnel disconnessi. La reimpostazione del gateway attiva anche la risoluzione FQDN.
- Anche se il Gateway VPN supporta più le connessioni a gateway di rete locali diversi con FQDN diversi, tutti i nomi di dominio completi devono essere risolti in indirizzi IP diversi.
Nel portale, passare a Gateway di rete locale e quindi aprire la pagina Crea gateway di rete locale.
Nella scheda Informazioni di base, specificare i valori per il gateway di rete locale.
- Sottoscrizione: verificare che sia visualizzata la sottoscrizione corretta.
- Gruppo di risorse: selezionare il gruppo di risorse che si desidera usare. È possibile creare un nuovo gruppo di risorse o selezionarne uno già creato.
- Area: selezionare l'area per questo oggetto. È possibile selezionare la stessa posizione in cui risiede la rete virtuale, ma non è necessario farlo.
- Nome: specificare un nome per l'oggetto gateway di rete locale.
- Endpoint: selezionare il tipo di endpoint per il dispositivo VPN locale come indirizzo IP o un FQDN (nome di dominio completo).
- Indirizzo IP: se si dispone di un indirizzo IP pubblico statico allocato dal provider di servizi Internet (ISP) per il dispositivo VPN, selezionare l'opzione Indirizzo IP. Compilare l'indirizzo IP come illustrato nell'esempio. Si tratta dell'indirizzo IP pubblico del dispositivo VPN a cui si dovrà connettere il gateway VPN di Azure. Se non si ha l'indirizzo IP al momento, è possibile usare i valori mostrati nell'esempio. Successivamente, è necessario tornare indietro e sostituire l'indirizzo IP segnaposto con l'indirizzo IP pubblico del dispositivo VPN. In caso contrario, Azure non può connettersi.
- FQDN: se è disponibile un indirizzo IP pubblico dinamico che potrebbe cambiare dopo un certo periodo di tempo, spesso specificato dall’ISP, è possibile usare un nome DNS costante con un servizio DNS dinamico da puntare all'indirizzo IP pubblico corrente del dispositivo VPN. Il gateway VPN di Azure risolve il nome di dominio completo per determinare l'indirizzo IP pubblico a cui connettersi.
- Spazio indirizzi: lo spazio indirizzi fa riferimento agli intervalli di indirizzi per la rete rappresentata da questa rete locale. È possibile aggiungere più intervalli di spazi indirizzi. Assicurarsi che gli intervalli specificati non si sovrappongano con gli intervalli di altre reti a cui ci si vuole connettere. Azure indirizza l'intervallo di indirizzi specificato all'indirizzo IP del dispositivo VPN locale. Usare valori personalizzati se si vuole stabilire la connessione con il sito locale, non i valori mostrati nell'esempio.
Nella scheda Avanzate è possibile configurare le impostazioni BGP, se necessario.
Dopo aver specificato i valori, selezionare Rivedi + crea nella parte inferiore della pagina per convalidare la pagina.
Selezionare Crea per creare l’oggetto gateway di rete locale.
Configurare il dispositivo VPN
Le connessioni da sito a sito verso una rete locale richiedono un dispositivo VPN. In questo passaggio viene configurato il dispositivo VPN. Quando si configura il dispositivo VPN, è necessario specificare i valori seguenti:
- Chiave condivisa: questa chiave condivisa è la stessa specificata quando si crea la connessione VPN da sito a sito. Negli esempi viene usata una chiave condivisa semplice. È consigliabile generare una chiave più complessa per l'uso effettivo.
- Indirizzi IP pubblici delle istanze del gateway di rete virtuale: ottenere l'indirizzo IP per ogni istanza di macchina virtuale. Se il gateway è in modalità attiva-attiva, si avrà un indirizzo IP per ogni istanza di macchina virtuale del gateway. Assicurarsi di configurare il dispositivo con entrambi gli indirizzi IP, uno per ogni macchina virtuale del gateway attiva. I gateway in modalità standby-attiva hanno un solo indirizzo IP.
Nota
Per le connessioni da sito a sito con un gateway VPN in modalità attiva, assicurarsi che i tunnel vengano stabiliti in ogni istanza di macchina virtuale del gateway. Se si stabilisce un tunnel per una sola istanza di macchina virtuale del gateway, la connessione verrà disattivata durante la manutenzione. Se il dispositivo VPN non supporta questa configurazione, configurare il gateway per la modalità standby attiva.
A seconda del dispositivo VPN usato, potrebbe essere possibile scaricare un apposito script di configurazione. Per altre informazioni, vedere Scaricare gli script di configurazione del dispositivo VPN.
Per altre informazioni sulla configurazione, vedere i collegamenti seguenti:
- Per informazioni sui dispositivi VPN compatibili, vedere Dispositivi VPN.
- Prima di configurare il dispositivo VPN, verificare eventuali Problemi noti di compatibilità del dispositivo per il dispositivo VPN da usare.
- Per collegamenti alle impostazioni di configurazione dei dispositivi, vedere Dispositivi VPN convalidati. I collegamenti alla configurazione del dispositivo vengono forniti nel modo più efficiente possibile. È sempre consigliabile rivolgersi al produttore del dispositivo per le informazioni di configurazione più aggiornate. L'elenco include le versioni testate. Se il sistema operativo in uso non è incluso in tale elenco, è comunque possibile che la versione sia compatibile. Rivolgersi al produttore del dispositivo per verificare la compatibilità della versione del sistema operativo del dispositivo VPN.
- Per una panoramica della configurazione di dispositivi VPN, vedere Panoramica delle configurazioni di dispositivi VPN di terze parti.
- Per informazioni sulla modifica degli esempi, vedere Modifica degli esempi di configurazione di dispositivo.
- Per i requisiti di crittografia, vedere About cryptographic requirements and Azure VPN gateways (Informazioni sui requisiti di crittografia e i gateway VPN di Azure).
- Per informazioni sui parametri IPsec/IKE, vedere Informazioni sui dispositivi VPN e sui parametri IPsec/IKE per connessioni del Gateway VPN da sito a sito. Tale articolo contiene informazioni su versione IKE, gruppo Diffie-Hellman, metodo di autenticazione, algoritmi di crittografia e hash, durata dell'associazione di sicurezza, PFS (Perfect Forward Secrecy) e rilevamento peer inattivo, oltre ad altre informazioni sui parametri necessarie per completare la configurazione.
- Per la procedura di configurazione dei criteri IPsec/IKE, vedere Configurare i criteri IPsec/IKE per connessioni VPN da sito a sito o tra reti virtuali.
- Per connettere più dispositivi VPN basati su criteri, vedere Connettere i gateway VPN di Azure a più dispositivi VPN basati su criteri locali usando PowerShell.
Creare connessioni VPN
Creare una connessione VPN da sito a sito tra il gateway di rete virtuale e il dispositivo VPN locale. Se si usa un gateway in modalità attiva-attiva (scelta consigliata), ogni istanza della macchina virtuale del gateway ha un indirizzo IP diverso. Per configurare correttamente la connettività a disponibilità elevata, è necessario stabilire un tunnel tra ogni istanza di macchina virtuale e il dispositivo VPN. Entrambi i tunnel fanno parte della stessa connessione.
Creare una connessione usando i valori seguenti:
- Nome del gateway di rete locale: Site1
- Nome connessione: VNet1toSite1
- Chiave condivisa: in questo esempio si usa abc123. È possibile usare qualsiasi valore compatibile con l'hardware VPN. ma è importante che i valori corrispondano su entrambi i lati della connessione.
Nel portale, passare al gateway di rete virtuale e aprirlo.
Nella pagina del gateway selezionare Connessioni.
Nella parte superiore della pagina Connessioni selezionare +Aggiungi per aprire la pagina Aggiungi connessione.
Nella pagina Crea connessione, all’interno della scheda Informazioni di base configurare i valori per la connessione:
In Dettagli progetto selezionare la sottoscrizione e il gruppo di risorse in cui si trovano le risorse.
In Dettagli dell’istanza configurare le impostazioni seguenti:
- Tipo di connessione: selezionare Da sito a sito (IPSec).
- Nome: assegnare un nome alla connessione.
- Area: selezionare l'area per questa connessione.
Selezionare la scheda Impostazioni e configurare i valori seguenti:
- Gateway di rete virtuale: selezionare il gateway di rete virtuale dall'elenco a discesa.
- Gateway di rete locale: selezionare il gateway di rete locale dall'elenco a discesa.
- Chiave condivisa: il valore di questo campo deve corrispondere a quello che si usa per il dispositivo VPN locale. Se questo campo non viene visualizzato nella pagina del portale, o se si vuole aggiornare questa chiave in un secondo momento, è possibile farlo dopo aver creato l'oggetto connessione. Passare all'oggetto connessione creato (nome di esempio VNet1toSite1) e aggiornare la chiave nella pagina Autenticazione.
- Protocollo IKE: selezionare IKEv2.
- Usa indirizzo IP privato di Azure: non selezionare.
- Abilita BGP: non selezionare.
- FastPath: non selezionare.
- Criterio IPsec/IKE: selezionare Impostazione predefinita.
- Usa selettore del traffico basato su criteri: selezionare Disabilita.
- Timeout DPD in secondi: selezionare 45.
- Modalità di connessione: selezionare Impostazione predefinita. Questa impostazione viene usata per specificare il gateway che può avviare la connessione. Per altre informazioni, vedere Impostazioni del gateway VPN - Modalità di connessione.
Per Associazioni di regole NAT lasciare sia l'opzione In ingresso che In uscitaimpostata su 0.
Selezionare Rivedi + crea per convalidare le impostazioni di connessione.
Seleziona Crea per creare la connessione.
Al termine della distribuzione, è possibile visualizzare la connessione nella pagina Connessioni del gateway di rete virtuale. Lo stato passa da Sconosciuto a Connessione e quindi a Operazione completata.
Configurare altre impostazioni di connessione (facoltativo)
Se necessario, è possibile configurare altre impostazioni per la connessione. In caso contrario, ignorare questa sezione e lasciare invariate le impostazioni predefinite. Per altre informazioni, vedere Configurare i criteri di connessione IPsec/IKE personalizzati.
Passare al gateway di rete virtuale e selezionare Connessioni per aprire la pagina Connessioni.
Selezionare il nome della connessione da configurare per aprire la pagina Connessione.
Sul lato sinistro della pagina Connessione selezionare Configurazione per aprire la pagina Configurazione. Apportare le modifiche necessarie e quindi selezionare Salva.
Negli screenshot seguenti le impostazioni sono abilitate in modo da visualizzare le impostazioni di configurazione disponibili nel portale. Selezionare lo screenshot per visualizzare la visualizzazione espansa. Quando si configurano le connessioni, configurare solo le impostazioni necessarie. In caso contrario, lasciare invariate le impostazioni predefinite.
Verificare la connessione VPN
Nel portale di Azure è possibile visualizzare lo stato della connessione di un gateway VPN passando alla connessione. La procedura seguente illustra uno dei modi in cui è possibile andare alla connessione e verificarla.
- Nel menu del portale di Azure selezionare Tutte le risorse o cercare e selezionare Tutte le risorse in qualsiasi pagina.
- Selezionare il gateway di rete virtuale.
- Nel riquadro per il gateway di rete virtuale selezionare Connessioni. È possibile visualizzare lo stato di ogni connessione.
- Selezionare il nome della connessione da verificare per aprire Essentials. In Informazioni di base è possibile visualizzare altre informazioni sulla connessione. Lo stato è Eseguito con successo e Connesso dopo aver stabilito una connessione con successo.
Connettersi a una macchina virtuale
È possibile connettersi a una macchina virtuale distribuita nella rete virtuale creando una connessione Desktop remoto alla macchina virtuale. Il modo migliore per verificare inizialmente che è possibile connettersi alla VM consiste nel connettersi usando il rispettivo indirizzo IP privato, invece del nome del computer. Ciò consente di verificare se è possibile connettersi, non se la risoluzione dei nomi è configurata correttamente.
Individuare l'indirizzo IP privato. È possibile trovare l'indirizzo IP privato di una macchina virtuale esaminando le proprietà per la macchina virtuale nel portale di Azure oppure usando PowerShell.
Portale di Azure: individuare la macchina virtuale nel portale di Azure. Visualizzare le proprietà per la VM. Viene elencato l'indirizzo IP.
PowerShell: usare l'esempio per visualizzare un elenco di macchine virtuali e di indirizzi IP privati dai gruppi di risorse. Non è necessario modificare questo esempio prima di usarlo.
$VMs = Get-AzVM $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null foreach ($Nic in $Nics) { $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod Write-Output "$($VM.Name): $Prv,$Alloc" }
Verificare di essere connessi alla rete virtuale.
Aprire Connessione Desktop remoto digitando RDP o Connessione Desktop remoto nella casella di ricerca sulla barra delle applicazioni. Selezionare quindi Connessione Desktop remoto. È anche possibile aprire Connessione Desktop remoto usando il comando
mstsc
in PowerShell.In Connessione Desktop remoto immettere l'indirizzo IP privato della macchina virtuale. Selezionare Mostra opzioni per modificare altre impostazioni e quindi connettersi.
Se dovessero verificarsi problemi di connessione a una macchina virtuale con la connessione VPN, controllare quanto segue:
- Verificare che la connessione VPN sia attiva.
- Verificare che venga effettuata la connessione all'indirizzo IP privato per la macchina virtuale.
- Se è possibile connettersi alla macchina virtuale usando l'indirizzo IP privato, ma non il nome computer, verificare di avere configurato correttamente il DNS. Per altre informazioni sul funzionamento della risoluzione dei nomi per le macchine virtuali, vedere Risoluzione dei nomi per le macchine virtuali.
Per altre informazioni sulle connessioni RDP, vedere Risolvere i problemi delle connessioni Desktop remoto a una macchina virtuale.
Passaggi facoltativi
Reimpostare un gateway
La reimpostazione del gateway VPN di Azure è utile se si perde la connettività VPN cross-premise in uno o più tunnel VPN da sito a sito. In questa situazione tutti i dispositivi VPN funzionano correttamente, ma non sono in grado di stabilire tunnel IPsec con i gateway VPN di Azure. Se è necessario reimpostare un gateway con modalità attiva-attiva, è possibile reimpostare entrambe le istanze tramite il portale. È anche possibile usare PowerShell o l'interfaccia della riga di comando per reimpostare ciascuna istanza del gateway separatamente usando indirizzi VIP dell'istanza. Per altre informazioni, vedere Reimpostare una connessione o un gateway.
- Nel portale passare al gateway di rete virtuale da reimpostare.
- Nel riquadro sinistro della pagina Gateway di rete virtuale scorrere e individuare Guida -> Reimposta.
- Nella pagina Reimposta selezionare Reimposta. Dopo l'emissione del comando, l'istanza attualmente attiva del Gateway VPN di Azure viene riavviata immediatamente. La reimpostazione del gateway provoca un'interruzione della connettività VPN e potrebbe limitare l'analisi futura delle causa radice del problema.
Aggiungere un'altra connessione
Un gateway può avere più connessioni. Se si desidera configurare le connessioni a più siti locali dallo stesso gateway VPN, gli spazi indirizzi non possono sovrapporsi tra connessioni.
- Se ci si connette usando una VPN da sito a sito e non si dispone di un gateway di rete locale per il sito a cui ci si vuole connettere, creare un altro gateway di rete locale e specificare i dettagli del sito. Per altre informazioni, vedere Creare un gateway di rete locale.
- Per aggiungere una connessione, passare al gateway VPN e quindi selezionare Connessioni per aprire la pagina Connessioni.
- Selezionare +Aggiungi per aggiungere la connessione. Modificare il tipo di connessione in modo che rifletta la connessione da rete virtuale a rete virtuale (se ci si connette a un altro gateway di rete virtuale) o da sito a sito.
- Specificare la chiave condivisa da usare e quindi selezionare OK per creare la connessione.
Aggiornare una chiave condivisa di connessione
È possibile specificare una chiave condivisa diversa per la connessione.
- Nel portale, passare alla connessione.
- Modificare la chiave condivisa nella pagina Autenticazione.
- Salva le modifiche.
- Aggiornare il dispositivo VPN con la nuova chiave condivisa in base alle proprie esigenze.
Ridimensionare o modificare uno SKU del gateway
È possibile ridimensionare uno SKU del gateway oppure cambiarlo. Esistono regole specifiche relative a quale opzione sia disponibile, a seconda dello SKU attualmente in uso. Per altre informazioni, vedere Ridimensionare o modificare gli SKU del gateway.
Altre considerazioni sulla configurazione
Le configurazioni da sito a sito possono essere personalizzate in vari modi. Per altre informazioni, vedere gli articoli seguenti:
- Per informazioni su BGP, vedere Informazioni generali di BGP e Come configurare BGP.
- Per informazioni sul tunneling forzato, vedere Informazioni sul tunneling forzato.
- Per informazioni sulle connessioni da rete attiva a rete attiva a disponibilità elevata, vedere Connettività cross-premise e da rete virtuale a rete virtuale a disponibilità elevata.
- Per informazioni su come limitare il traffico di rete verso le risorse in una rete virtuale, vedere Sicurezza di rete.
- Per informazioni sul modo in cui Azure instrada il traffico tra Azure, l'ambiente locale e le risorse Internet, vedere Routing del traffico di rete virtuale.
Pulire le risorse
Se non si prevede di continuare a usare questa applicazione o di passare all'esercitazione successiva, eliminare tali risorse.
- Immettere il nome del gruppo di risorse nella casella Cerca nella parte superiore del portale e selezionarlo nei risultati della ricerca.
- Selezionare Elimina gruppo di risorse.
- Immettere il nome del gruppo di risorse in DIGITARE IL NOME DEL GRUPPO DI RISORSE e selezionare Elimina.
Passaggi successivi
Dopo aver configurato una connessione da sito a sito, è possibile aggiungere una connessione da punto a sito allo stesso gateway.