Creare una connessione da sito a sito usando il portale di Azure (distribuzione classica)

Questo articolo illustra come usare il portale di Azure per creare una connessione gateway VPN da sito a sito dalla rete locale alla rete virtuale. I passaggi descritti in questo articolo si applicano al modello di distribuzione classica (legacy) e non al modello di distribuzione corrente, Resource Manager. Vedere invece la versione di Resource Manager di questo articolo.

Una connessione gateway VPN da sito a sito viene usata per connettere la rete locale a una rete virtuale di Azure tramite un tunnel VPN IPsec/IKE (IKEv1 o IKEv2). Questo tipo di connessione richiede un dispositivo VPN che si trova in locale con un indirizzo IP pubblico esterno assegnato. Per altre informazioni al riguardo, vedere Informazioni sul gateway VPN.

Operazioni preliminari

Prima di iniziare la configurazione, verificare di soddisfare i criteri seguenti:

• Assicurarsi di voler usare il modello di distribuzione classica. Per usare il modello di distribuzione Resource Manager, vedere Creare una connessione da sito a sito (Resource Manager). È consigliabile usare il modello di distribuzione Resource Manager, perché il modello classico è un modello legacy.
• Verificare di avere un dispositivo VPN compatibile e che sia presente un utente in grado di configurarlo. Per altre informazioni sui dispositivi VPN compatibili e sulla configurazione dei dispositivi, vedere Informazioni sui dispositivi VPN.
• Verificare di avere un indirizzo IPv4 pubblico esterno per il dispositivo VPN.
• Se non si ha familiarità con gli intervalli degli indirizzi IP disponibili nella configurazione della rete locale, è necessario coordinarsi con qualcuno che possa fornire tali dettagli. Quando si crea questa configurazione, è necessario specificare i prefissi degli intervalli di indirizzi IP che Azure instraderà alla posizione locale. Nessuna delle subnet della rete locale può sovrapporsi alle subnet della rete virtuale a cui ci si vuole connettere.
• È necessario usare PowerShell per specificare la chiave condivisa e creare la connessione di Gateway VPN. Quando si usa il modello di distribuzione classica, non è possibile usare Azure Cloud Shell. È invece necessario installare la versione più recente dei cmdlet di PowerShell per Gestione dei servizi di Azure (SM) a livello locale nel computer. Questi cmdlet sono diversi dai cmdlet di AzureRM o Az. Per installare i cmdlet per Gestione dei servizi, vedere Installare i cmdlet di Gestione dei servizi. Per altre informazioni su Azure PowerShell in generale, vedere la documentazione di Azure PowerShell.

Valori di configurazione di esempio per questo esercizio

Gli esempi di questo articolo usano i valori seguenti. È possibile usare questi valori per creare un ambiente di test o farvi riferimento per comprendere meglio gli esempi di questo articolo. In genere, quando si utilizzano i valori degli indirizzi IP per lo spazio indirizzi, è consigliabile consultare l'amministratore di rete per evitare la sovrapposizione degli spazi indirizzi, che possono influire sul routing. In questo caso, sostituire i valori degli indirizzi IP con i propri valori se si vuole creare una connessione funzionante.

• Gruppo di risorse: TestRG1
• Nome della rete virtuale: TestVNet1
• Spazio indirizzi: 10.11.0.0/16
• Nome subnet: FrontEnd
• Intervallo di indirizzi subnet: 10.11.0.0/24
• GatewaySubnet: 10.11.255.0/27
• Area: Stati Uniti orientali
• Nome del sito locale: Site2
• Spazio indirizzi client: spazio di indirizzi nel sito locale.

Creare una rete virtuale

Quando si crea una rete virtuale da usare per una connessione da sito a sito, è necessario assicurarsi che gli spazi indirizzi specificati non si sovrappongano a quelli usati nel client per i siti locali a cui ci si vuole connettere. Se sono presenti subnet che si sovrappongono, la connessione non funziona correttamente.

• Se si ha già una rete virtuale, verificare che le impostazioni siano compatibili con la progettazione del gateway VPN. Prestare particolare attenzione alle subnet che potrebbero sovrapporsi ad altre reti.

• Se non si ha una rete virtuale, crearne una. Gli screenshot sono forniti come esempio. Assicurarsi di sostituire i valori con i propri.

Per creare una rete virtuale

1. In un browser passare al portale di Azure e, se necessario, accedere con l'account Azure.
2. Selezionare Crea una risorsa. Nel campo Cerca nel Marketplace digitare "Rete virtuale". Cercare Rete virtuale nell'elenco restituito e selezionarlo per aprire la pagina Rete virtuale.
3. Nella pagina Rete virtuale, sotto il pulsante Crea, viene visualizzato "Distribuire con Resource Manager (modifica alla versione classica)". Resource Manager è l'impostazione predefinita per la creazione di una rete virtuale. Non si vuole creare una rete virtuale di Resource Manager. Selezionare (modifica alla versione classica) per creare una rete virtuale classica. Selezionare quindi la scheda Panoramica e selezionare Crea.
4. Nella pagina Crea rete virtuale (classica) nella scheda Informazioni di base configurare le impostazioni della rete virtuale con i valori di esempio.
5. Selezionare Rivedi e crea per convalidare la rete virtuale.
6. Viene eseguita la convalida. Dopo aver convalidato la rete virtuale, selezionare Crea.

Le impostazioni DNS non sono una parte obbligatoria di questa configurazione, ma il servizio DNS è necessario per la risoluzione dei nomi tra le macchine virtuali. Se si specifica un valore, non verrà creato un nuovo server DNS. L'indirizzo IP del server DNS specificato deve essere un server DNS in grado di risolvere i nomi per le risorse a cui ci si connette.

Dopo aver creato la rete virtuale, è possibile aggiungere l'indirizzo IP di un server DNS per gestire la risoluzione dei nomi. Aprire le impostazioni della rete virtuale, selezionare Server DNS e aggiungere l'indirizzo IP del server DNS da usare per la risoluzione dei nomi.

1. Individuare la rete virtuale nel portale.
2. Nella sezione Impostazioni della pagina della rete virtuale selezionare Server DNS.
3. Aggiungere un server DNS.
4. Per salvare le impostazioni, selezionare Salva nella parte superiore della pagina.

Configurare il sito e il gateway

Per configurare il sito

In genere il sito locale fa riferimento alla posizione locale. Contiene l'indirizzo IP del dispositivo VPN a cui si crea una connessione e gli intervalli di indirizzi IP che verranno distribuiti tramite il gateway VPN al dispositivo VPN.

1. Nella pagina della rete virtuale, in Impostazioni selezionare Connessioni da sito a sito.

2. Nella pagina Connessioni da sito a sito selezionare + Aggiungi.

3. Nella pagina Configura connessione VPN e gateway, in Tipo di connessione, lasciare selezionata l'opzione Da sito a sito. Per questo esercizio è necessario usare una combinazione di valori di esempio e valori personalizzati.

   • Indirizzo IP del gateway VPN: questo è l'indirizzo IP pubblico del dispositivo VPN per la rete locale. Per il dispositivo VPN è necessario usare un indirizzo IP IPv4 pubblico. Specificare un indirizzo IP pubblico valido per il dispositivo VPN a cui ci si vuole connettere. Deve essere raggiungibile da Azure. Se non si conosce l'indirizzo IP del dispositivo VPN, è possibile inserire un valore segnaposto, purché sia nel formato di un indirizzo IP pubblico valido, e quindi modificarlo in un secondo momento.

   • Spazio indirizzi client: elencare gli intervalli di indirizzi IP che devono essere indirizzati alla rete locale tramite il gateway. È possibile aggiungere più intervalli di spazi indirizzi. Assicurarsi che gli intervalli specificati qui non si sovrappongano a quelli di altre reti a cui si connette la rete virtuale oppure agli intervalli di indirizzi della rete virtuale stessa.

4. Nella parte inferiore della pagina NON selezionare Rivedi e crea. Selezionare invece Avanti: Gateway>.

Per configurare il gateway di rete virtuale

1. Nella pagina Gateway selezionare i valori seguenti:

   • Dimensioni: si tratta dello SKU del gateway usato per creare il gateway di rete virtuale. I gateway VPN classici usano gli SKU del gateway legacy. Per altre informazioni sugli SKU del gateway legacy, vedere Lavorare con gli SKU del gateway di rete virtuale (SKU precedenti). È possibile selezionare Standard per questo esercizio.

   • Subnet del gateway: le dimensioni della subnet del gateway specificata dipendono dalla configurazione del gateway VPN che si vuole creare. Anche se è possibile creare una subnet del gateway con dimensioni pari a /29, è consigliabile usare /27 o /28. In questo modo viene creata una subnet più grande che include più indirizzi. L'uso di una subnet del gateway di dimensioni maggiori consente un numero sufficiente di indirizzi IP per eventuali configurazioni future.

2. Selezionare Rivedi e crea nella parte inferiore della pagina per convalidare le impostazioni. Selezionare Crea per eseguire la distribuzione. La creazione di un gateway di rete virtuale può richiedere fino a 45 minuti, a seconda dello SKU del gateway selezionato.

Configurare il dispositivo VPN

Le connessioni da sito a sito verso una rete locale richiedono un dispositivo VPN. In questo passaggio viene configurato il dispositivo VPN. Per la configurazione del dispositivo VPN è necessario specificare i valori seguenti:

• Chiave condivisa. Si tratta della stessa chiave condivisa che viene specificata durante la creazione della connessione VPN da sito a sito. In questi esempi viene usata una chiave condivisa semplice. È consigliabile generare una chiave più complessa per l'uso effettivo.
• Indirizzo IP pubblico del gateway di rete virtuale. È possibile visualizzare l'indirizzo IP pubblico usando il portale di Azure, PowerShell o l'interfaccia della riga di comando.

A seconda del dispositivo VPN usato, potrebbe essere possibile scaricare un apposito script di configurazione. Per altre informazioni, vedere Scaricare gli script di configurazione del dispositivo VPN.

Per altre informazioni sulla configurazione, vedere i collegamenti seguenti:

• Per informazioni sui dispositivi VPN compatibili, vedere Informazioni sui dispositivi VPN.

• Prima di configurare il dispositivo VPN, verificare la presenza di eventuali problemi noti di compatibilità del dispositivo.

• Per collegamenti alle impostazioni di configurazione dei dispositivi, vedere Dispositivi VPN convalidati. Sono disponibili collegamenti di configurazione del dispositivo il più esaurienti possibile, ma è sempre consigliabile rivolgersi al produttore del dispositivo per ottenere le informazioni di configurazione più recenti.

  L'elenco mostra le versioni testate. Se la versione del sistema operativo per il proprio dispositivo VPN non è presente nell'elenco, potrebbe comunque essere compatibile. Rivolgersi al produttore del dispositivo.

• Per informazioni di base sulla configurazione dei dispositivi VPN, vedere Panoramica delle configurazioni dei dispositivi VPN dei partner.

• Per informazioni sulla modifica degli esempi, vedere Modifica degli esempi di configurazione di dispositivo.

• Per i requisiti di crittografia, vedere About cryptographic requirements and Azure VPN gateways (Informazioni sui requisiti di crittografia e i gateway VPN di Azure).

• Per informazioni sui parametri necessari per completare la configurazione, vedere Parametri IPsec/IKE predefiniti. Le informazioni includono la versione IKE, il gruppo Diffie-Hellman (DH), il metodo di autenticazione, gli algoritmi di crittografia e hash, la durata dell'associazione di sicurezza (SA), l'impostazione PFS (Perfect Forward Secrecy) e il rilevamento di peer non recapitabili (DPD).

• Per i passaggi di configurazione dei criteri IPsec/IKE, vedere Configurare criteri di connessione IPsec/IKE personalizzati per VPN da sito a sito e da rete virtuale a rete virtuale.

• Per connettere più dispositivi VPN basati su criteri, vedere Connettere un gateway VPN a più dispositivi VPN basati su criteri locali basati su criteri.

Recuperare i valori

Quando si creano reti virtuali classiche nel portale di Azure, il nome da visualizzare non è il nome completo usato per PowerShell. Ad esempio, una rete virtuale che sembra avere il nome TestVNet1 nel portale potrebbe avere un nome molto più lungo nel file di configurazione di rete. Per una rete virtuale nel gruppo di risorse "ClassicRG", il nome potrebbe essere simile a: Group ClassicRG TestVNet1. Quando si creano le connessioni, è importante usare i valori visualizzati nel file di configurazione di rete.

Nelle procedure seguenti, ci si connetterà al proprio account Azure per scaricare e visualizzare il file di configurazione di rete per ottenere i valori necessari alle connessioni.

1. Scaricare e installare la versione più recente dei cmdlet di PowerShell per Gestione del servizio di Azure. La maggior parte degli utenti ha i moduli Resource Manager installati localmente, ma non dispone di moduli Gestione dei servizi. I moduli Gestione dei servizi sono legacy e devono essere installati separatamente. Per altre informazioni, vedere Installare i cmdlet di Gestione dei servizi.

2. Aprire la console di PowerShell con diritti elevati e connettersi all'account. Per eseguire la connessione, usare gli esempi seguenti. È necessario eseguire questi comandi a livello locale usando il modulo Gestione dei servizi di PowerShell. Connettersi all'account. Per eseguire la connessione, usare gli esempi che seguono:

   Add-AzureAccount
   

3. Controllare le sottoscrizioni per l'account.

   Get-AzureSubscription
   

4. Se sono disponibili più sottoscrizioni, selezionare la sottoscrizione da usare.

   Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
   

5. Creare una directory sul computer. Ad esempio, C:\AzureVNet

6. Esportare il file di configurazione della rete nella directory. In questo esempio il file di configurazione di rete viene esportato in C:\AzureNet.

   Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
   

7. Aprire il file con un editor di testo e visualizzare il nome delle reti virtuali e dei siti. Questi saranno i nomi da usare nella creazione delle connessioni.
   I nomi delle reti virtuali sono elencati come VirtualNetworkSite name =
   I nomi dei siti sono elencati come LocalNetworkSiteRef name =

Creare la connessione

In questo passaggio, usando i valori dei passaggi precedenti, impostare la chiave condivisa e creare la connessione. La chiave impostata deve essere la stessa usata nella configurazione del dispositivo VPN.

1. Impostare la chiave condivisa e creare la connessione.

   • Modificare i valori -VNetName e -LocalNetworkSiteName. Quando si specifica un nome che contiene spazi, racchiudere il valore tra virgolette singole.
   • "'-SharedKey" è un valore che è possibile generare e quindi specificare. Per questo esempio è stato usato "abc123", ma è possibile e consigliabile generare un valore più complesso. È importante che il valore specificato qui sia lo stesso valore specificato durante la configurazione del dispositivo VPN.

   Set-AzureVNetGatewayKey -VNetName 'Group TestRG1 TestVNet1' `
   -LocalNetworkSiteName '6C74F6E6_Site2' -SharedKey abc123
   

2. Quando viene creata la connessione, il risultato è Stato: Operazione completata.

Verificare la connessione

Nel portale di Azure è possibile visualizzare lo stato della connessione di un gateway VPN di rete virtuale classica passando alla connessione. La procedura seguente illustra uno dei modi in cui è possibile accedere alla connessione e verificarla.

1. Nel portale di Azure passare alla rete virtuale classica.
2. Nella pagina della rete virtuale fare clic sul tipo di connessione da visualizzare. Ad esempio, Connessioni da sito a sito.
3. Nella pagina Connessioni da sito a sito, in Nome selezionare la connessione al sito da visualizzare.
4. Nella pagina Proprietà visualizzare le informazioni sulla connessione.

In caso di problemi di connessione, vedere la sezione Risoluzione dei problemi nel sommario nel riquadro sinistro.

Come reimpostare un gateway VPN

La reimpostazione del gateway VPN di Azure è utile se si perde la connettività VPN cross-premise in uno o più tunnel VPN da sito a sito. In questa situazione tutti i dispositivi VPN funzionano correttamente, ma non sono in grado di stabilire tunnel IPsec con i gateway VPN di Azure.

Il cmdlet per la reimpostazione di un gateway classico è Reset-AzureVNetGateway. I cmdlet di Azure PowerShell per Gestione dei servizi devono essere installati localmente sul desktop. Non è possibile usare Azure Cloud Shell. Prima di eseguire un ripristino assicurarsi di avere la versione più recente dei cmdlet di PowerShell per Gestione servizi.

Quando si usa questo comando, accertare di usare il nome completo della rete virtuale. Le reti virtuali classiche create con il portale hanno un nome di file lungo, necessario per PowerShell. Usando Get-AzureVNetConfig -ExportToFile C:\Myfoldername\NetworkConfig.xml, è possibile visualizzare il nome di file lungo.

L'esempio seguente reimposta il gateway per una rete virtuale denominata "Group TestRG1 TestVNet1" (nel portale mostra semplicemente "TestVNet1"):

Reset-AzureVNetGateway –VnetName 'Group TestRG1 TestVNet1'

Risultato:

Error          :
HttpStatusCode : OK
Id             : f1600632-c819-4b2f-ac0e-f4126bec1ff8
Status         : Successful
RequestId      : 9ca273de2c4d01e986480ce1ffa4d6d9
StatusCode     : OK

Come ridimensionare uno SKU del gateway

Per ridimensionare un gateway per il modello di distribuzione classica, è necessario usare i cmdlet di PowerShell per Gestione dei servizi. Utilizza il seguente comando:

Resize-AzureVirtualNetworkGateway -GatewayId <Gateway ID> -GatewaySKU HighPerformance

Passaggi successivi

• Dopo aver completato la connessione, è possibile aggiungere macchine virtuali alle reti virtuali. Per altre informazioni, vedere Macchine virtuali.
• Per informazioni sul tunneling forzato, vedere Informazioni sul tunneling forzato.