Creare una connessione da sito a sito usando il portale di Azure (distribuzione classica)

Questo articolo illustra come usare il portale di Azure per creare una connessione gateway VPN da sito a sito dalla rete locale alla rete virtuale. I passaggi descritti in questo articolo si applicano al modello di distribuzione classica (legacy) e non si applicano al modello di distribuzione corrente, Resource Manager. Vedere invece la versione di Resource Manager di questo articolo .

Una connessione gateway VPN da sito a sito viene usata per connettere la rete locale a una rete virtuale di Azure tramite un tunnel VPN IPsec/IKE (IKEv1 o IKEv2). Questo tipo di connessione richiede un dispositivo VPN che si trova in locale con un indirizzo IP pubblico esterno assegnato. Per altre informazioni al riguardo, vedere Informazioni sul gateway VPN.

Operazioni preliminari

Prima di iniziare la configurazione, verificare di soddisfare i criteri seguenti:

• Assicurarsi di voler usare il modello di distribuzione classica. Se si vuole usare il modello di distribuzione Resource Manager, vedere Creare una connessione da sito a sito (Resource Manager). È consigliabile usare il modello di distribuzione Resource Manager, perché il modello classico è legacy.
• Verificare di avere un dispositivo VPN compatibile e che sia presente un utente in grado di configurarlo. Per altre informazioni sui dispositivi VPN compatibili e sulla configurazione dei dispositivi, vedere Informazioni sui dispositivi VPN.
• Verificare di avere un indirizzo IPv4 pubblico esterno per il dispositivo VPN.
• Se non si ha familiarità con gli intervalli di indirizzi IP presenti nella configurazione di rete locale, è necessario coordinarsi con un utente che possa fornire tali dettagli. Quando si crea questa configurazione, è necessario specificare i prefissi degli intervalli di indirizzi IP che Azure instraderà alla posizione locale. Nessuna delle subnet della rete locale può sovrapporsi alle subnet della rete virtuale a cui ci si vuole connettere.
• PowerShell è necessario per specificare la chiave condivisa e creare la connessione gateway VPN. Quando si usa il modello di distribuzione classica, non è possibile usare Azure Cloud Shell. È invece necessario installare la versione più recente dei cmdlet powerShell di Gestione dei servizi di Azure (SM) in locale nel computer. Questi cmdlet sono diversi dai cmdlet AzureRM o Az. Per installare i cmdlet SM, vedere Installare i cmdlet di Gestione dei servizi. Per altre informazioni su Azure PowerShell in generale, vedere la documentazione di Azure PowerShell.

Valori di configurazione di esempio per questo esercizio

Gli esempi di questo articolo usano i valori seguenti. È possibile usare questi valori per creare un ambiente di test o farvi riferimento per comprendere meglio gli esempi di questo articolo. In genere, quando si utilizzano i valori degli indirizzi IP per lo spazio indirizzi, si vuole coordinare l'amministratore di rete per evitare la sovrapposizione degli spazi indirizzi, che possono influire sul routing. In questo caso, sostituire i valori degli indirizzi IP con i propri se si vuole creare una connessione funzionante.

• Gruppo di risorse: TestRG1
• Nome della rete virtuale: TestVNet1
• Spazio indirizzi: 10.11.0.0/16
• Nome subnet: FrontEnd
• Intervallo di indirizzi subnet: 10.11.0.0/24
• GatewaySubnet: 10.11.255.0/27
• Area: (Stati Uniti) Stati Uniti orientali
• Nome del sito locale: Site2
• Spazio indirizzi client: spazio di indirizzi nel sito locale.

Creare una rete virtuale

Quando si crea una rete virtuale da usare per una connessione da sito a sito, è necessario assicurarsi che gli spazi indirizzi specificati non si sovrappongano ad alcuno degli spazi indirizzi client per i siti locali a cui si vuole connettersi. Se sono presenti subnet che si sovrappongono, la connessione non funziona correttamente.

• Se si ha già una rete virtuale, verificare che le impostazioni siano compatibili con la progettazione del gateway VPN. Prestare particolare attenzione a tutte le subnet che potrebbero sovrapporsi ad altre reti.

• Se non si ha una rete virtuale, crearne una. Gli screenshot sono forniti come esempio. Assicurarsi di sostituire i valori con i propri.

Per creare una rete virtuale

1. In un browser passare al portale di Azure e, se necessario, accedere con l'account Azure.
2. Selezionare +Crea una risorsa. Nel campo Cerca nel Marketplace digitare "Rete virtuale". Individuare Rete virtuale dall'elenco restituito e selezionarlo per aprire la pagina Rete virtuale.
3. Nella pagina Rete virtuale, sotto il pulsante Crea, viene visualizzato "Deploy with Resource Manager (change to Classic)". Resource Manager è l'impostazione predefinita per la creazione di una rete virtuale. Non si vuole creare una rete virtuale di Resource Manager. Selezionare (passare alla versione classica) per creare una rete virtuale classica. Selezionare quindi la scheda Panoramica e selezionare Crea.
4. Nella pagina Crea rete virtuale (versione classica) della scheda Informazioni di base configurare le impostazioni della rete virtuale con i valori di esempio.
5. Selezionare Rivedi e crea per convalidare la rete virtuale.
6. Viene eseguita la convalida. Dopo aver convalidato la rete virtuale, selezionare Crea.

Le impostazioni DNS non sono una parte obbligatoria di questa configurazione, ma dns è necessario se si vuole risolvere i nomi tra le macchine virtuali. Se si specifica un valore, non verrà creato un nuovo server DNS. L'indirizzo IP del server DNS specificato deve essere un server DNS in grado di risolvere i nomi per le risorse a cui ci si connette.

Dopo aver creato la rete virtuale, è possibile aggiungere l'indirizzo IP di un server DNS per gestire la risoluzione dei nomi. Aprire le impostazioni per la rete virtuale, selezionare Server DNS e aggiungere l'indirizzo IP del server DNS da usare per la risoluzione dei nomi.

1. Individuare la rete virtuale nel portale.
2. Nella pagina della rete virtuale, nella sezione Impostazioni selezionare Server DNS.
3. Aggiungere un server DNS.
4. Per salvare le impostazioni, selezionare Salva nella parte superiore della pagina.

Configurare il sito e il gateway

Per configurare il sito

In genere il sito locale fa riferimento alla posizione locale. Contiene l'indirizzo IP del dispositivo VPN a cui si creerà una connessione e gli intervalli di indirizzi IP che verranno instradati attraverso il gateway VPN al dispositivo VPN.

1. Nella pagina della rete virtuale, in Impostazioni selezionare Connessioni da sito a sito.

2. Nella pagina Connessioni da sito a sito selezionare + Aggiungi.

3. Nella pagina Configura connessione VPN e gateway, per Connessione tipo di connessione lasciare selezionata l'opzione Da sito a sito. Per questo esercizio è necessario usare una combinazione di valori di esempio e valori personalizzati.

   • Indirizzo IP del gateway VPN: questo è l'indirizzo IP pubblico del dispositivo VPN per la rete locale. Per il dispositivo VPN è necessario usare un indirizzo IP IPv4 pubblico. Specificare un indirizzo IP pubblico valido per il dispositivo VPN a cui ci si vuole connettere. Deve essere raggiungibile da Azure. Se non si conosce l'indirizzo IP del dispositivo VPN, è possibile inserire un valore segnaposto, purché sia nel formato di un indirizzo IP pubblico valido, e quindi modificarlo in un secondo momento.

   • Spazio indirizzi client: elencare gli intervalli di indirizzi IP che devono essere indirizzati alla rete locale tramite il gateway. È possibile aggiungere più intervalli di spazi indirizzi. Assicurarsi che gli intervalli specificati qui non si sovrappongano agli intervalli di altre reti a cui si connette la rete virtuale o con gli intervalli di indirizzi della rete virtuale stessa.

4. Nella parte inferiore della pagina NON selezionare Rivedi e crea. Selezionare invece Avanti: Gateway>.

Per configurare il gateway di rete virtuale

1. Nella pagina Gateway selezionare i valori seguenti:

   • Dimensioni: si tratta dello SKU del gateway usato per creare il gateway di rete virtuale. I gateway VPN classici usano gli SKU del gateway legacy. Per altre informazioni sugli SKU del gateway legacy, vedere Lavorare con gli SKU del gateway di rete virtuale (SKU precedenti). È possibile selezionare Standard per questo esercizio.

   • Subnet del gateway: le dimensioni della subnet del gateway specificata dipendono dalla configurazione del gateway VPN che si vuole creare. Sebbene sia possibile creare una subnet del gateway di dimensioni minime pari a /29, è consigliabile usare /27 o /28. In questo modo viene creata una subnet più grande che include più indirizzi. L'uso di una subnet del gateway di dimensioni maggiori consente un numero sufficiente di indirizzi IP per eventuali configurazioni future.

2. Selezionare Rivedi e crea nella parte inferiore della pagina per convalidare le impostazioni. Selezionare Crea per la distribuzione. La creazione di un gateway di rete virtuale può richiedere fino a 45 minuti, a seconda dello SKU del gateway selezionato.

Configurare il dispositivo VPN

Le connessioni da sito a sito verso una rete locale richiedono un dispositivo VPN. In questo passaggio viene configurato il dispositivo VPN. Per la configurazione del dispositivo VPN è necessario specificare i valori seguenti:

• Chiave condivisa. Si tratta della stessa chiave condivisa che viene specificata durante la creazione della connessione VPN da sito a sito. In questi esempi viene usata una chiave condivisa semplice. È consigliabile generare una chiave più complessa per l'uso effettivo.
• Indirizzo IP pubblico del gateway di rete virtuale. È possibile visualizzare l'indirizzo IP pubblico usando il portale di Azure, PowerShell o l'interfaccia della riga di comando.

Per scaricare gli script di configurazione del dispositivo VPN:

A seconda del dispositivo VPN in uso, potrebbe essere possibile scaricare uno script di configurazione per il dispositivo VPN. Per altre informazioni, vedere Scaricare gli script di configurazione del dispositivo VPN.

Per altre informazioni sulla configurazione, vedere i collegamenti seguenti:

• Per informazioni sui dispositivi VPN compatibili, vedere l'articolo relativo ai dispositivi VPN.

• Prima di configurare il dispositivo VPN, verificare eventuali Problemi noti di compatibilità del dispositivo per il dispositivo VPN da usare.

• Per collegamenti alle impostazioni di configurazione dei dispositivi, vedere Dispositivi VPN convalidati. I collegamenti alla configurazione del dispositivo vengono forniti nel modo più efficiente possibile. È sempre consigliabile rivolgersi al produttore del dispositivo per le informazioni di configurazione più aggiornate. L'elenco include le versioni testate. Se il sistema operativo in uso non è incluso in tale elenco, è comunque possibile che la versione sia compatibile. Rivolgersi al produttore del dispositivo per verificare la compatibilità della versione del sistema operativo del dispositivo VPN.

• Per una panoramica della configurazione di dispositivi VPN, vedere Panoramica delle configurazioni di dispositivi VPN.

• Per informazioni sulla modifica degli esempi, vedere Modifica degli esempi di configurazione di dispositivo.

• Per i requisiti di crittografia, vedere About cryptographic requirements and Azure VPN gateways (Informazioni sui requisiti di crittografia e i gateway VPN di Azure).

• Per informazioni sui parametri IPsec/IKE, vedere Informazioni sui dispositivi VPN e sui parametri IPsec/IKE per connessioni del Gateway VPN da sito a sito. Tale articolo contiene informazioni su versione IKE, gruppo Diffie-Hellman, metodo di autenticazione, algoritmi di crittografia e hash, durata dell'associazione di sicurezza, PFS (Perfect Forward Secrecy) e rilevamento peer inattivo, oltre ad altre informazioni sui parametri necessarie per completare la configurazione.

• Per la procedura di configurazione dei criteri IPsec/IKE, vedere Configure IPsec/IKE policy for S2S VPN or VNet-to-VNet connections (Configurare i criteri IPsec/IKE per connessioni VPN S2S o tra reti virtuali).

• Per connettere più dispositivi VPN basati su criteri, vedere Connettere i gateway VPN di Azure a più dispositivi VPN basati su criteri locali usando PowerShell.

Recuperare i valori

Quando si creano reti virtuali classiche nel portale di Azure, il nome da visualizzare non è il nome completo usato per PowerShell. Ad esempio, una rete virtuale che sembra avere il nome TestVNet1 nel portale potrebbe avere un nome molto più lungo nel file di configurazione di rete. Per una rete virtuale nel nome "ClassicRG" del gruppo di risorse potrebbe essere simile a: Group ClassicRG TestVNet1. Quando si creano le connessioni, è importante usare i valori visualizzati nel file di configurazione di rete.

Nelle procedure seguenti, ci si connetterà al proprio account Azure per scaricare e visualizzare il file di configurazione di rete per ottenere i valori necessari alle connessioni.

1. Scaricare e installare la versione più recente dei cmdlet di PowerShell per Gestione del servizio di Azure. La maggior parte degli utenti ha i moduli di Resource Manager installati in locale, ma non dispone di moduli di gestione dei servizi. I moduli di gestione dei servizi sono legacy e devono essere installati separatamente. Per altre informazioni, vedere Installare i cmdlet di Gestione dei servizi.

2. Aprire la console di PowerShell con diritti elevati e connettersi all'account. Usare gli esempi seguenti per connettersi. È necessario eseguire questi comandi in locale usando il modulo Di gestione dei servizi PowerShell. Connettersi all'account. Per eseguire la connessione, usare gli esempi che seguono:

   Add-AzureAccount
   

3. Controllare le sottoscrizioni per l'account.

   Get-AzureSubscription
   

4. Se sono disponibili più sottoscrizioni, selezionare la sottoscrizione da usare.

   Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
   

5. Creare una directory nel computer. Ad esempio, C:\AzureVNet

6. Esportare il file di configurazione di rete nella directory . In questo esempio il file di configurazione di rete viene esportato in C:\AzureNet.

   Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
   

7. Aprire il file con un editor di testo e visualizzare il nome delle reti virtuali e dei siti. Questi nomi saranno i nomi usati quando si creano le connessioni.
   I nomi delle reti virtuali sono elencati come Nome sito di rete virtuale =
   I nomi dei siti sono elencati come LocalNetworkSiteRef name =

Creare la connessione

In questo passaggio, usando i valori dei passaggi precedenti, impostare la chiave condivisa e creare la connessione. La chiave impostata deve essere la stessa chiave usata nella configurazione del dispositivo VPN.

1. Impostare la chiave condivisa e creare la connessione.

   • Modificare il valore -VNetName e il valore -LocalNetworkSiteName. Quando si specifica un nome che contiene spazi, racchiudere il valore tra virgolette singole.
   • '-SharedKey' è un valore generato e quindi specificato. Nell'esempio è stato usato "abc123", ma è possibile (e dovrebbe) generare qualcosa di più complesso. È importante che il valore specificato qui sia lo stesso valore specificato durante la configurazione del dispositivo VPN.

   Set-AzureVNetGatewayKey -VNetName 'Group TestRG1 TestVNet1' `
   -LocalNetworkSiteName '6C74F6E6_Site2' -SharedKey abc123
   

2. Quando viene creata la connessione, il risultato è Stato: Operazione completata.

Verificare la connessione

Nel portale di Azure è possibile visualizzare lo stato della connessione di un gateway VPN di rete virtuale classica passando alla connessione. La procedura seguente illustra uno dei modi in cui è possibile accedere alla connessione e verificarla.

1. Nella portale di Azure passare alla rete virtuale classica.
2. Nella pagina della rete virtuale fare clic sul tipo di connessione da visualizzare. Ad esempio, connessioni da sito a sito.
3. Nella pagina Connessioni da sito a sito, in Nome, selezionare la connessione al sito da visualizzare.
4. Nella pagina Proprietà visualizzare le informazioni sulla connessione.

Se si verificano problemi di connessione, vedere la sezione Risoluzione dei problemi del sommario nel riquadro sinistro.

Come reimpostare un gateway VPN

La reimpostazione del gateway VPN di Azure è utile se si perde la connettività VPN cross-premise in uno o più tunnel VPN da sito a sito. In questa situazione tutti i dispositivi VPN funzionano correttamente, ma non sono in grado di stabilire tunnel IPsec con i gateway VPN di Azure. Per la procedura da seguire, vedere Reimpostare un gateway VPN.

Come ridimensionare uno SKU del gateway

Per ridimensionare un gateway per il modello di distribuzione classica, è necessario usare i cmdlet di PowerShell di Gestione dei servizi. Utilizza il seguente comando:

Resize-AzureVirtualNetworkGateway -GatewayId <Gateway ID> -GatewaySKU HighPerformance

Passaggi successivi

• Dopo aver completato la connessione, è possibile aggiungere macchine virtuali alle reti virtuali. Per altre informazioni, vedere Macchine virtuali.
• Per informazioni sul tunneling forzato, vedere Informazioni sul tunneling forzato.