Aggiungere o rimuovere connessioni da sito a sito gateway VPN
Questo articolo illustra come aggiungere o rimuovere connessioni da sito a sito (S2S) per un gateway VPN. È anche possibile aggiungere connessioni da sito a sito a un gateway VPN che dispone già di una connessione da punto a sito, una connessione da punto a sito o una connessione da rete virtuale a rete virtuale. Quando si aggiungono delle connessioni, esistono alcune limitazioni di cui è necessario tenere conto. Prima di iniziare la configurazione, verificare quanto riportato nella sezione Prerequisiti di questo articolo.
Informazioni sulle coesistenti ExpressRoute/da sito a sito
- È possibile usare la procedura descritta in questo articolo per aggiungere una nuova connessione VPN a una connessione coesistenti ExpressRoute/da sito a sito già esistente.
- Non è possibile usare la procedura descritta in questo articolo per configurare una nuova connessione coesistenti ExpressRoute/da sito a sito. Per creare una nuova connessione coesistenti, vedere: Connessioni coesistenti di ExpressRoute/da sito a sito.
Prerequisiti
Verificare quanto segue:
- Non si sta configurando una nuova connessione da sito a sito di ExpressRoute e gateway VPN coesistenti.
- Si dispone di una rete virtuale creata usando il modello di distribuzione Resource Manager con una connessione esistente.
- Il gateway di rete virtuale per la rete virtuale è RouteBased. Se si dispone di un gateway VPN basato su criteri, è necessario eliminare il gateway di rete virtuale e creare un nuovo gateway VPN di tipo RouteBased.
- Nessuno degli intervalli di indirizzi si sovrappone a una delle reti virtuali a cui si connette la rete virtuale.
- Si dispone di un dispositivo VPN compatibile ed è presente un utente in grado di configurarlo. Vedere Informazioni sui dispositivi VPN. Se non si ha familiarità con la configurazione del dispositivo VPN o con gli intervalli di indirizzi IP disponibili nella configurazione di rete locale, è necessario coordinarsi con qualcuno che possa fornire tali dettagli.
- Si dispone di un indirizzo IP pubblico esterno per il dispositivo VPN.
Creare un gateway di rete locale
Il gateway di rete locale è un oggetto specifico distribuito da Azure che rappresenta la posizione locale (il sito) a scopo di routing. Assegnare al sito un nome che Azure possa usare come riferimento, quindi specificare l'indirizzo IP del dispositivo VPN locale con cui si creerà una connessione. Specificare anche i prefissi degli indirizzi IP che verranno instradati tramite il gateway VPN al dispositivo VPN. I prefissi degli indirizzi specificati sono quelli disponibili nella rete locale. Se la rete locale viene modificata o è necessario modificare l'indirizzo IP pubblico del dispositivo VPN, è possibile aggiornare facilmente i valori in un secondo momento.
Creare un gateway di rete locale con i valori seguenti di esempio:
- Nome: Site1
- Gruppo di risorse: TestRG1
- Località: Stati Uniti orientali
Considerazioni sulla configurazione:
- Il Gateway VPN supporta un solo indirizzo IPv4 per ogni FQDN. Se il nome di dominio si risolve in più indirizzi IP, il gateway VPN usa il primo restituito dai server DNS. Per eliminare l'incertezza, è consigliabile che il nome FQDN si risolva sempre in un singolo indirizzo IPv4. IPv6 non è supportato.
- Il gateway VPN mantiene una cache DNS che viene aggiornata ogni 5 minuti. Il gateway prova a risolvere i nomi FQDN solo per i tunnel disconnessi. La reimpostazione del gateway attiva anche la risoluzione FQDN.
- Anche se il Gateway VPN supporta più le connessioni a gateway di rete locali diversi con FQDN diversi, tutti i nomi di dominio completi devono essere risolti in indirizzi IP diversi.
Nel portale, passare a Gateway di rete locale e quindi aprire la pagina Crea gateway di rete locale.
Nella scheda Informazioni di base, specificare i valori per il gateway di rete locale.
- Sottoscrizione: verificare che sia visualizzata la sottoscrizione corretta.
- Gruppo di risorse: selezionare il gruppo di risorse che si desidera usare. È possibile creare un nuovo gruppo di risorse o selezionarne uno già creato.
- Area: selezionare l'area per questo oggetto. È possibile selezionare la stessa posizione in cui risiede la rete virtuale, ma non è necessario farlo.
- Nome: specificare un nome per l'oggetto gateway di rete locale.
- Endpoint: selezionare il tipo di endpoint per il dispositivo VPN locale come indirizzo IP o un FQDN (nome di dominio completo).
- Indirizzo IP: se si dispone di un indirizzo IP pubblico statico allocato dal provider di servizi Internet (ISP) per il dispositivo VPN, selezionare l'opzione Indirizzo IP. Compilare l'indirizzo IP come illustrato nell'esempio. Si tratta dell'indirizzo IP pubblico del dispositivo VPN a cui si dovrà connettere il gateway VPN di Azure. Se non si ha l'indirizzo IP al momento, è possibile usare i valori mostrati nell'esempio. Successivamente, è necessario tornare indietro e sostituire l'indirizzo IP segnaposto con l'indirizzo IP pubblico del dispositivo VPN. In caso contrario, Azure non può connettersi.
- FQDN: se è disponibile un indirizzo IP pubblico dinamico che potrebbe cambiare dopo un certo periodo di tempo, spesso specificato dall’ISP, è possibile usare un nome DNS costante con un servizio DNS dinamico da puntare all'indirizzo IP pubblico corrente del dispositivo VPN. Il gateway VPN di Azure risolve il nome di dominio completo per determinare l'indirizzo IP pubblico a cui connettersi.
- Spazio indirizzi: lo spazio indirizzi fa riferimento agli intervalli di indirizzi per la rete rappresentata da questa rete locale. È possibile aggiungere più intervalli di spazi indirizzi. Assicurarsi che gli intervalli specificati non si sovrappongano con gli intervalli di altre reti a cui ci si vuole connettere. Azure indirizza l'intervallo di indirizzi specificato all'indirizzo IP del dispositivo VPN locale. Usare valori personalizzati se si vuole stabilire la connessione con il sito locale, non i valori mostrati nell'esempio.
Nella scheda Avanzate è possibile configurare le impostazioni BGP, se necessario.
Dopo aver specificato i valori, selezionare Rivedi + crea nella parte inferiore della pagina per convalidare la pagina.
Selezionare Crea per creare l’oggetto gateway di rete locale.
Configurare il dispositivo VPN
Le connessioni da sito a sito verso una rete locale richiedono un dispositivo VPN. In questo passaggio viene configurato il dispositivo VPN. Per la configurazione del dispositivo VPN è necessario specificare i valori seguenti:
- Chiave condivisa. Si tratta della stessa chiave condivisa che viene specificata durante la creazione della connessione VPN da sito a sito. In questi esempi viene usata una chiave condivisa semplice. È consigliabile generare una chiave più complessa per l'uso effettivo.
- Indirizzo IP pubblico del gateway di rete virtuale. È possibile visualizzare l'indirizzo IP pubblico usando il portale di Azure, PowerShell o l'interfaccia della riga di comando. Per trovare l'indirizzo IP pubblico del gateway VPN usando il portale di Azure, andare a Gateway di rete virtuale e selezionare il nome del gateway.
A seconda del dispositivo VPN usato, potrebbe essere possibile scaricare un apposito script di configurazione. Per altre informazioni, vedere Scaricare gli script di configurazione del dispositivo VPN.
Per altre informazioni sulla configurazione, vedere i collegamenti seguenti:
- Per informazioni sui dispositivi VPN compatibili, vedere Dispositivi VPN.
- Prima di configurare il dispositivo VPN, verificare eventuali Problemi noti di compatibilità del dispositivo per il dispositivo VPN da usare.
- Per collegamenti alle impostazioni di configurazione dei dispositivi, vedere Dispositivi VPN convalidati. I collegamenti alla configurazione del dispositivo vengono forniti nel modo più efficiente possibile. È sempre consigliabile rivolgersi al produttore del dispositivo per le informazioni di configurazione più aggiornate. L'elenco include le versioni testate. Se il sistema operativo in uso non è incluso in tale elenco, è comunque possibile che la versione sia compatibile. Rivolgersi al produttore del dispositivo per verificare la compatibilità della versione del sistema operativo del dispositivo VPN.
- Per una panoramica della configurazione di dispositivi VPN, vedere Panoramica delle configurazioni di dispositivi VPN di terze parti.
- Per informazioni sulla modifica degli esempi, vedere Modifica degli esempi di configurazione di dispositivo.
- Per i requisiti di crittografia, vedere About cryptographic requirements and Azure VPN gateways (Informazioni sui requisiti di crittografia e i gateway VPN di Azure).
- Per informazioni sui parametri IPsec/IKE, vedere Informazioni sui dispositivi VPN e sui parametri IPsec/IKE per connessioni del Gateway VPN da sito a sito. Tale articolo contiene informazioni su versione IKE, gruppo Diffie-Hellman, metodo di autenticazione, algoritmi di crittografia e hash, durata dell'associazione di sicurezza, PFS (Perfect Forward Secrecy) e rilevamento peer inattivo, oltre ad altre informazioni sui parametri necessarie per completare la configurazione.
- Per la procedura di configurazione dei criteri IPsec/IKE, vedere Configurare i criteri IPsec/IKE per connessioni VPN da sito a sito o tra reti virtuali.
- Per connettere più dispositivi VPN basati su criteri, vedere Connettere i gateway VPN di Azure a più dispositivi VPN basati su criteri locali usando PowerShell.
Configurare una connessione
Creare una connessione VPN da sito a sito tra il gateway di rete virtuale e il dispositivo VPN locale. In queste sezione, si usano i valori di esempio seguenti:
- Nome del gateway di rete locale: Site1
- Nome connessione: VNet1toSite1
- Chiave condivisa: in questo esempio si usa abc123. È possibile usare qualsiasi valore compatibile con l'hardware VPN, ma è importante che i valori corrispondano su entrambi i lati della connessione.
Nel portale, passare al gateway di rete virtuale e aprirlo.
Nella pagina del gateway selezionare Connessioni.
Nella parte superiore della pagina Connessioni selezionare +Aggiungi per aprire la pagina Aggiungi connessione.
Nella pagina Crea connessione, all’interno della scheda Informazioni di base configurare i valori per la connessione:
In Dettagli progetto selezionare la sottoscrizione e il gruppo di risorse in cui si trovano le risorse.
In Dettagli dell’istanza configurare le impostazioni seguenti:
- Tipo di connessione: selezionare Da sito a sito (IPSec).
- Nome: assegnare un nome alla connessione.
- Area: selezionare l'area per questa connessione.
Selezionare la scheda Impostazioni e configurare i valori seguenti:
- Gateway di rete virtuale: selezionare il gateway di rete virtuale dall'elenco a discesa.
- Gateway di rete locale: selezionare il gateway di rete locale dall'elenco a discesa.
- Chiave condivisa: il valore di questo campo deve corrispondere a quello che si usa per il dispositivo VPN locale. Se questo campo non viene visualizzato nella pagina del portale, o se si vuole aggiornare questa chiave in un secondo momento, è possibile farlo dopo aver creato l'oggetto connessione. Passare all'oggetto connessione creato (nome di esempio VNet1toSite1) e aggiornare la chiave nella pagina Autenticazione.
- Protocollo IKE: selezionare IKEv2.
- Usa indirizzo IP privato di Azure: non selezionare.
- Abilita BGP: non selezionare.
- FastPath: non selezionare.
- Criterio IPsec/IKE: selezionare Impostazione predefinita.
- Usa selettore del traffico basato su criteri: selezionare Disabilita.
- Timeout DPD in secondi: selezionare 45.
- Modalità di connessione: selezionare Impostazione predefinita. Questa impostazione viene usata per specificare il gateway che può avviare la connessione. Per altre informazioni, vedere Impostazioni del gateway VPN - Modalità di connessione.
Per Associazioni di regole NAT lasciare sia l'opzione In ingresso che In uscitaimpostata su 0.
Selezionare Rivedi + crea per convalidare le impostazioni di connessione.
Seleziona Crea per creare la connessione.
Al termine della distribuzione, è possibile visualizzare la connessione nella pagina Connessioni del gateway di rete virtuale. Lo stato passa da Sconosciuto a Connessione e quindi a Operazione completata.
Visualizzare e verificare la connessione VPN
Nel portale di Azure è possibile visualizzare lo stato della connessione di un gateway VPN passando alla connessione. La procedura seguente illustra uno dei modi in cui è possibile andare alla connessione e verificarla.
- Nel menu del portale di Azure selezionare Tutte le risorse o cercare e selezionare Tutte le risorse in qualsiasi pagina.
- Selezionare il gateway di rete virtuale.
- Nel riquadro per il gateway di rete virtuale selezionare Connessioni. È possibile visualizzare lo stato di ogni connessione.
- Selezionare il nome della connessione da verificare per aprire Essentials. In Informazioni di base è possibile visualizzare altre informazioni sulla connessione. Lo stato è Eseguito con successo e Connesso dopo aver stabilito una connessione con successo.
Rimuovere una connessione
- Nel portale andare alla pagina Connessioni del gateway VPN.
- Fare clic sulla connessione da rimuovere. Verrà aperta la pagina per la connessione.
- Fare clic su Elimina per rimuovere la connessione.
Passaggi successivi
Per altre informazioni sulle configurazioni del gateway VPN da sito a sito, vedere Esercitazione: specificare una configurazione del gateway VPN da sito a sito.