Creare una connessione VPN da sito a sito - Azure PowerShell

Questo articolo illustra come usare PowerShell per creare una connessione gateway VPN da sito a sito dalla rete locale a una rete virtuale.

Una connessione gateway VPN da sito a sito viene usata per connettere la rete locale a una rete virtuale di Azure tramite un tunnel VPN IPsec/IKE (IKEv1 o IKEv2). Questo tipo di connessione richiede un dispositivo VPN che si trova in locale con un indirizzo IP pubblico esterno assegnato. I passaggi descritti in questo articolo creano una connessione tra il gateway VPN e il dispositivo VPN locale usando una chiave condivisa. Per altre informazioni al riguardo, vedere Informazioni sul gateway VPN.

Operazioni preliminari

Verificare che l'ambiente soddisfi i criteri seguenti prima di iniziare la configurazione:

• Verificare di avere un gateway VPN basato su route funzionante. Per creare un gateway VPN, vedere Creare un gateway VPN.

• Se non si ha familiarità con gli intervalli degli indirizzi IP disponibili nella configurazione della rete locale, è necessario coordinarsi con qualcuno che possa fornire tali dettagli. Quando si crea questa configurazione, è necessario specificare i prefissi degli intervalli di indirizzi IP che Azure instraderà alla posizione in locale. Nessuna delle subnet della rete locale può sovrapporsi alle subnet della rete virtuale a cui ci si vuole connettere.

• Dispositivi VPN:

  • Verificare di avere un dispositivo VPN compatibile e che sia presente un utente che possa configurarlo. Per altre informazioni sui dispositivi VPN compatibili e sulla configurazione dei dispositivi, vedere Informazioni sui dispositivi VPN.
  • Determinare se il dispositivo VPN supporta gateway in modalità active-active. In questo articolo si creerà un gateway VPN in modalità attiva, consigliato per la connettività a disponibilità elevata. La modalità attiva-attiva specifica che entrambe le istanze della macchina virtuale del gateway sono attive. Questa modalità richiede due indirizzi IP pubblici, uno per ogni istanza di macchina virtuale del gateway. Configurare il dispositivo VPN per connettersi all'indirizzo IP per ogni istanza di macchina virtuale del gateway.
    Se il dispositivo VPN non supporta questa modalità, non abilitarla per il gateway. Per altre informazioni, vedere Progettare connettività a disponibilità elevata per connessioni tra più località e da rete virtuale a rete virtuale e Informazioni sui gateway VPN in modalità attiva-attiva.

Azure PowerShell

Questo articolo usa i cmdlet di PowerShell. Per eseguire i cmdlet, è possibile usare Azure Cloud Shell. Cloud Shell è una shell interattiva gratuita che può essere usata per eseguire la procedura di questo articolo. Include strumenti comuni di Azure preinstallati e configurati per l'uso con l'account.

Per aprire Cloud Shell, basta selezionare Apri Cloud Shell nell'angolo superiore destro di un blocco di codice. È anche possibile aprire Cloud Shell in una scheda separata del browser andando su https://shell.azure.com/powershell. Selezionare Copia per copiare i blocchi di codice e incollarli in Cloud Shell, poi premere INVIO per eseguirli.

È anche possibile installare ed eseguire i cmdlet di Azure PowerShell in locale nel computer. I cmdlet di PowerShell vengono aggiornati di frequente. Se non è stata installata la versione più recente, i valori specificati nelle istruzioni potrebbero non avere successo. Per trovare le versioni di Azure PowerShell installate nel computer, usare il cmdlet Get-Module -ListAvailable Az. Per installare o aggiornare, vedere Installare il modulo Azure PowerShell.

Creare un gateway di rete locale

Il gateway di rete locale in genere fa riferimento al percorso locale. Non si tratta di un gateway di rete virtuale. Assegnare al sito un nome che Azure possa usare come riferimento, quindi specificare l'indirizzo IP del dispositivo VPN locale con cui si creerà una connessione. Specificare anche i prefissi degli indirizzi IP che saranno instradati tramite il gateway VPN al dispositivo VPN. I prefissi degli indirizzi specificati sono quelli disponibili nella rete locale. Se la rete locale viene modificata, è possibile aggiornare facilmente i prefissi.

Selezionare uno dei seguenti esempi. I valori usati negli esempi sono:

• GatewayIPAddress è l'indirizzo IP del dispositivo VPN locale, non del gateway VPN di Azure.
• AddressPrefix corrisponde allo spazio degli indirizzi locale.

Esempio di prefisso indirizzo singolo

New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '[IP address of your on-premises VPN device]' -AddressPrefix '10.0.0.0/24'

Esempio di prefisso indirizzo multiplo

New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '[IP address of your on-premises VPN device]' -AddressPrefix @('10.3.0.0/16','10.0.0.0/24')

Configurare il dispositivo VPN

Le connessioni da sito a sito verso una rete locale richiedono un dispositivo VPN. In questo passaggio viene configurato il dispositivo VPN. Per la configurazione del dispositivo VPN è necessario quanto segue:

• Chiave condivisa: questa chiave condivisa è la stessa specificata quando si crea la connessione VPN da sito a sito. Negli esempi viene usata una chiave condivisa semplice. È consigliabile generare una chiave più complessa per l'uso effettivo.

• Indirizzi IP pubblici delle istanze del gateway di rete virtuale: ottenere l'indirizzo IP per ogni istanza di macchina virtuale. Se il gateway è in modalità attiva-attiva, si avrà un indirizzo IP per ogni istanza di macchina virtuale del gateway. Assicurarsi di configurare il dispositivo con entrambi gli indirizzi IP, uno per ogni macchina virtuale del gateway attiva. I gateway in modalità standby-attiva hanno un solo indirizzo IP. Nell'esempio VNet1GWpip1 è il nome della risorsa indirizzo IP pubblico.

  Get-AzPublicIpAddress -Name VNet1GWpip1 -ResourceGroupName TestRG1
  

A seconda del dispositivo VPN usato, potrebbe essere possibile scaricare un apposito script di configurazione. Per altre informazioni, vedere Scaricare gli script di configurazione del dispositivo VPN.

Per altre informazioni sulla configurazione, vedere i collegamenti seguenti:

• Per informazioni sui dispositivi VPN compatibili, vedere Informazioni sui dispositivi VPN.

• Prima di configurare il dispositivo VPN, verificare la presenza di eventuali problemi noti di compatibilità del dispositivo.

• Per collegamenti alle impostazioni di configurazione dei dispositivi, vedere Dispositivi VPN convalidati. Sono disponibili collegamenti di configurazione del dispositivo il più esaurienti possibile, ma è sempre consigliabile rivolgersi al produttore del dispositivo per ottenere le informazioni di configurazione più recenti.

  L'elenco mostra le versioni testate. Se la versione del sistema operativo per il proprio dispositivo VPN non è presente nell'elenco, potrebbe comunque essere compatibile. Rivolgersi al produttore del dispositivo.

• Per informazioni di base sulla configurazione dei dispositivi VPN, vedere Panoramica delle configurazioni dei dispositivi VPN dei partner.

• Per informazioni sulla modifica degli esempi, vedere Modifica degli esempi di configurazione di dispositivo.

• Per i requisiti di crittografia, vedere About cryptographic requirements and Azure VPN gateways (Informazioni sui requisiti di crittografia e i gateway VPN di Azure).

• Per informazioni sui parametri necessari per completare la configurazione, vedere Parametri IPsec/IKE predefiniti. Le informazioni includono la versione IKE, il gruppo Diffie-Hellman (DH), il metodo di autenticazione, gli algoritmi di crittografia e hash, la durata dell'associazione di sicurezza (SA), l'impostazione PFS (Perfect Forward Secrecy) e il rilevamento di peer non recapitabili (DPD).

• Per i passaggi di configurazione dei criteri IPsec/IKE, vedere Configurare criteri di connessione IPsec/IKE personalizzati per VPN da sito a sito e da rete virtuale a rete virtuale.

• Per connettere più dispositivi VPN basati su criteri, vedere Connettere un gateway VPN a più dispositivi VPN basati su criteri locali basati su criteri.

Creare la connessione VPN

Creare una connessione VPN da sito a sito tra il gateway di rete virtuale e il dispositivo VPN locale. Se si usa un gateway in modalità attiva-attiva (scelta consigliata), ogni istanza della macchina virtuale del gateway ha un indirizzo IP diverso. Per configurare correttamente la connettività a disponibilità elevata, è necessario stabilire un tunnel tra ogni istanza di macchina virtuale e il dispositivo VPN. Entrambi i tunnel fanno parte della stessa connessione.

La chiave condivisa deve corrispondere al valore utilizzato per la configurazione del dispositivo VPN. Si noti che "-ConnectionType" per la connessione da sito a sito è IPsec.

1. Impostare le variabili.

   $gateway1 = Get-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1
   $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
   

2. Creare la connessione.

   New-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1 `
   -Location 'East US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
   -ConnectionType IPsec -SharedKey 'abc123'
   

Verificare la connessione VPN

Esistono diversi modi per verificare la connessione VPN.

Per verificare l'esito positivo della connessione è possibile usare il cmdlet 'Get-AzVirtualNetworkGatewayConnection' con o senza '-Debug'.

1. Per configurare i valori in modo che corrispondano ai propri, usare l'esempio di cmdlet seguente. Quando richiesto, selezionare "A" per eseguire "Tutti". Il valore " -Name" nell'esempio fa riferimento al nome della connessione che si vuole testare.

   Get-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1
   

2. Al termine dell'esecuzione del cmdlet, visualizzare i valori. Nell'esempio seguente lo stato di connessione risulta "Connesso" ed è possibile visualizzare i byte in ingresso e in uscita.

   "connectionStatus": "Connected",
   "ingressBytesTransferred": 33509044,
   "egressBytesTransferred": 4142431
   

Per modificare i prefissi di indirizzo IP per un gateway di rete locale

In caso di modifica dei prefissi degli indirizzi IP da indirizzare alla posizione locale, è possibile modificare il gateway di rete locale. Quando si usano questi esempi, modificare i valori per adattarli all'ambiente.

Per aggiungere altri prefissi di indirizzo:

1. Impostare la variabile per LocalNetworkGateway.

   $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
   

2. Modificare i prefissi. I valori specificati sovrascrivono i valori precedenti.

   Set-AzLocalNetworkGateway -LocalNetworkGateway $local `
   -AddressPrefix @('10.101.0.0/24','10.101.1.0/24','10.101.2.0/24')
   

Per rimuovere prefissi degli indirizzi:

Escludere i prefissi non più necessari. In questo esempio non è più necessario il prefisso 10.101.2.0/24 (dall'esempio precedente), quindi aggiorniamo il gateway di rete locale ed escludiamo tale prefisso.

1. Impostare la variabile per LocalNetworkGateway.

   $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
   

2. Impostare il gateway con i prefissi aggiornati.

   Set-AzLocalNetworkGateway -LocalNetworkGateway $local `
   -AddressPrefix @('10.101.0.0/24','10.101.1.0/24')
   

Per modificare l'indirizzo IP del gateway per un gateway di rete locale

Se si modifica l'indirizzo IP pubblico per il dispositivo VPN, è necessario modificare il gateway di rete locale con l'indirizzo IP aggiornato. Quando si modifica questo valore, è anche possibile modificare contemporaneamente i prefissi degli indirizzi. Quando si modifica, assicurarsi di usare il nome esistente del gateway di rete locale. Se si usa un nome diverso, si crea un nuovo gateway di rete locale anziché sovrascrivere le informazioni del gateway esistenti.

New-AzLocalNetworkGateway -Name Site1 `
-Location "East US" -AddressPrefix @('10.101.0.0/24','10.101.1.0/24') `
-GatewayIpAddress "5.4.3.2" -ResourceGroupName TestRG1

Per eliminare una connessione gateway

Se non si conosce il nome della connessione, è possibile trovarla usando il cmdlet 'Get-AzVirtualNetworkGatewayConnection'.

Remove-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 `
-ResourceGroupName TestRG1

Passaggi successivi

• Dopo aver completato la connessione, è possibile aggiungere macchine virtuali alle reti virtuali. Per altre informazioni, vedere Macchine virtuali.
• Per informazioni su BGP, vedere Panoramica di BGP e Come configurare BGP.
• Per informazioni sulla creazione di una connessione VPN da sito a sito con un modello di Azure Resource Manager, vedere Create a Site-to-Site VPN Connection (Creare una connessione VPN da sito a sito).
• Per informazioni sulla creazione di una connessione VPN da rete virtuale a rete virtuale con il modello di Azure Resource Manager, vedere Deploy HBase geo replication (Distribuire una replica geografica HBase).