Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Una connessione gateway VPN da punto a sito (P2S) consente di creare una connessione sicura alla rete virtuale da un singolo computer client. Una connessione da punto a sito viene stabilita avviandola dal computer client. Questa soluzione è utile per i telelavoratori che vogliono connettersi alle reti virtuali di Azure da una posizione remota, ad esempio da casa o durante una riunione. Una VPN da punto a sito è anche una soluzione utile da usare al posto di una VPN da sito a sito quando solo pochi client devono connettersi a una rete virtuale. Le configurazioni richiede un tipo di VPN basato su route.
Quale protocollo usa P2S?
Per la VPN da punto a sito può essere usato uno dei protocolli seguenti:
Protocollo OpenVPN®, un protocollo VPN basato su SSL/TLS. Una soluzione VPN TLS può penetrare i firewall perché la maggior parte dei firewall apre la porta TCP 443 in uscita usata da TLS. OpenVPN può essere usato per connettersi da dispositivi Android, iOS (versioni 11.0 e successive), Windows, Linux e Mac (versioni di macOS 10.13 e successive). Le versioni supportate sono TLS 1.2 e TLS 1.3 in base all'handshake TLS.
Secure Socket Tunneling Protocol (SSTP), un protocollo VPN proprietario basato su TLS. Una soluzione VPN TLS può penetrare i firewall perché la maggior parte dei firewall apre la porta TCP 443 in uscita usata da TLS. SSTP è supportato solo nei dispositivi Windows. Azure supporta tutte le versioni di Windows con SSTP e che supportano TLS 1.2 (Windows 8.1 e versioni successive).
VPN IKEv2, una soluzione VPN IPsec basata su standard. La soluzione VPN IKEv2 può essere usata per connettersi da dispositivi Mac (versioni di macOS 10.11 e successive).
Modalità di autenticazione dei client VPN da punto a sito
L'utente deve essere autenticato prima che Azure possa accettare una connessione VPN da punto a sito. Esistono tre tipi di autenticazione che è possibile selezionare quando si configura il gateway da punto a sito. Le opzioni disponibili sono le seguenti:
È possibile selezionare più tipi di autenticazione per la configurazione del gateway da punto a sito. Se si selezionano più tipi di autenticazione, il client VPN usato deve essere supportato da almeno un tipo di autenticazione e dal tipo di tunnel corrispondente. Ad esempio, se per i tipi di tunnel si seleziona "IKEv2 e OpenVPN" e si seleziona "Microsoft Entra ID e RADIUS" o "Microsoft Entra ID e Certificato di Azure" per il tipo di autenticazione, Microsoft Entra ID userà solo il tipo di tunnel OpenVPN poiché non è supportato da IKEv2.
La tabella seguente illustra i meccanismi di autenticazione compatibili con i tipi di tunnel selezionati. Ogni meccanismo richiede che il software client VPN corrispondente nel dispositivo di connessione sia configurato con le impostazioni appropriate disponibili nei file di configurazione del profilo client VPN.
| Tipo di tunnel | Meccanismo di autenticazione |
|---|---|
| OpenVPN | Qualsiasi subset di ID Microsoft Entra, Autenticazione Radius e Certificato di Azure |
| SSTP | Autenticazione Radius/Certificato di Azure |
| IKEv2 | Autenticazione Radius/Certificato di Azure |
| IKEv2 e OpenVPN | Autenticazione Radius/ Certificato di Azure/ ID Di Ingresso Microsoft e Autenticazione Radius/ ID di Microsoft Entra e certificato di Azure |
| IKEv2 e SSTP | Autenticazione Radius/Certificato di Azure |
Autenticazione del certificato
Quando si configura il gateway da punto a sito per l'autenticazione del certificato, si carica la chiave pubblica del certificato radice trusted nel gateway di Azure. È possibile usare un certificato radice generato tramite una soluzione aziendale oppure generare un certificato autofirmato.
Per eseguire l'autenticazione, ogni client che si connette deve avere un certificato client installato generato dal certificato radice trusted, oltre al software client VPN. La convalida del certificato client viene eseguita dal gateway VPN quando viene stabilita la connessione VPN da punto a sito.
Flusso di lavoro di autenticazione del certificato
A livello generale, è necessario eseguire la procedura seguente per configurare l'autenticazione del certificato:
- Abilitare l'autenticazione del certificato nel gateway da punto a sito, insieme alle impostazioni necessarie aggiuntive (pool di indirizzi client e così via) e caricare le informazioni sulla chiave pubblica della CA radice.
- Generare e scaricare i file di configurazione del profilo client VPN (pacchetto di configurazione del profilo).
- Installare il certificato client in ogni computer client da connettere.
- Configurare il client VPN nel computer client usando le impostazioni disponibili nel pacchetto di configurazione del profilo VPN.
- Connettere.
Autenticazione tramite Microsoft Entra ID
È possibile configurare il gateway da punto a sito per consentire agli utenti VPN di eseguire l'autenticazione usando le credenziali di Microsoft Entra ID. Con l'autenticazione di Microsoft Entra ID, è possibile usare le funzionalità di accesso condizionale e autenticazione a più fattori (MFA) di Microsoft Entra per la VPN. L'autenticazione di Microsoft Entra ID è supportata solo per il protocollo OpenVPN. Per eseguire l'autenticazione e connettersi, i client devono usare il client VPN di Azure.
Il gateway VPN ora supporta un nuovo ID app registrato in Microsoft e i valori corrispondenti per i Destinatari per le versioni più recenti del client VPN di Azure. Quando si configura un gateway VPN punto-a-sito utilizzando i nuovi valori di audience, si può saltare il processo di registrazione manuale dell'app client VPN di Azure precedentemente richiesto per il tenant Microsoft Entra. L'ID app è già stato creato e il tenant è in grado di usarlo automaticamente senza passaggi di registrazione aggiuntivi. Questo processo è più sicuro rispetto alla registrazione manuale del client VPN di Azure perché non è necessario autorizzare l'app o assegnare autorizzazioni tramite il ruolo Amministratore app cloud. Per comprendere meglio la differenza tra i tipi di oggetti applicazione, vedere Come e perché le applicazioni vengono aggiunte a Microsoft Entra ID.
- Se il gateway VPN utente da punto a sito è configurato usando i valori Destinatari per l'app client VPN di Azure configurata manualmente, è possibile modificare facilmente le impostazioni del gateway e del client per sfruttare il nuovo ID app registrato da Microsoft. Se si vuole che i client Linux si connettano, è necessario aggiornare il gateway P2S con il nuovo valore Audience. Il client VPN di Azure per Linux non è compatibile con i valori di Destinatari precedenti.
- Se si desidera creare o modificare un valore di gruppo di destinatari personalizzato, vedere Creare un ID app gruppo di destinatari personalizzato per una VPN da punto a sito.
- Se si vuole configurare o limitare l'accesso da punto a sito in base a utenti e gruppi, vedere Scenario: Configurare l'accesso VPN da punto a sito in base a utenti e gruppi.
Considerazioni
Un gateway VPN da punto a sito può supportare un solo valore per Destinatari. Non può supportare contemporaneamente più valori Destinatari.
Il client VPN di Azure per Linux non è compatibile con le versioni precedenti dei gateway da punto a sito configurati per l'uso dei valori Destinatari precedenti allineati all'app registrata manualmente. Tuttavia, il client VPN di Azure per Linux supporta i valori di destinatari personalizzati.
-
Sebbene sia possibile che il client VPN di Azure per Linux funzioni in altre distribuzioni e versioni di Linux, il client VPN di Azure per Linux è supportato solo nelle versioni seguenti:
- Ubuntu 20.04
- Ubuntu 22.04
-
Sebbene sia possibile che il client VPN di Azure per Windows funzioni in altre versioni del sistema operativo, il client VPN di Azure per Windows è supportato solo nelle versioni seguenti:
- Versioni di Windows supportate: Windows 10, Windows 11 nei processori X64.
- Il client VPN di Azure per Windows non è supportato per i sistemi in esecuzione in un processore ARM.
Le versioni più recenti dei client VPN di Azure per macOS e Windows sono compatibili con le versioni precedenti dei gateway con connessione da punto a sito configurati per usare i valori di destinatari precedenti allineati all'app registrata manualmente. Questi client supportano anche valori di destinatari personalizzati.
Valori destinatari del client VPN di Azure
La tabella seguente illustra le versioni del client VPN di Azure supportate per ogni ID app e i valori di Destinatari disponibili corrispondenti.
| ID app | Valori Destinatari supportati | Client supportati |
|---|---|---|
| Microsoft® registrato | Il valore dei destinatari c632b3df-fb67-4d84-bdcf-b95ad541b5c8 si applica a:- Pubblico di Azure - Azure per enti pubblici - Azure Germania - Microsoft Azure gestito da 21Vianet |
- Linux - Windows - macOS |
| Registrato manualmente | - Pubblico di Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4- Azure per enti pubblici: 51bb15d4-3a4f-4ebf-9dca-40096fe32426- Azure Germania: 538ee9e6-310a-468d-afef-ea97365856a9- Microsoft Azure gestito da 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa |
- Windows - macOS |
| Personalizzato | <custom-app-id> |
- Linux - Windows - macOS |
Flusso di lavoro di autenticazione di Microsoft Entra ID
A livello generale, è necessario eseguire la procedura seguente per configurare l'autenticazione di Microsoft Entra ID:
- Se si usa la registrazione app manuale, eseguire i passaggi necessari nel tenant Microsoft Entra.
- Abilitare l'autenticazione di Microsoft Entra ID nel gateway da punto a sito, insieme alle impostazioni necessarie aggiuntive (pool di indirizzi client e così via).
- Generare e scaricare i file di configurazione del profilo client VPN (pacchetto di configurazione del profilo).
- Scaricare, installare e configurare il client VPN di Azure nel computer client.
- Connettere.
RADIUS: autenticazione del server di dominio Active Directory (AD)
L'autenticazione con un dominio di AD consente agli utenti di connettersi ad Azure usando le credenziali di dominio dell'organizzazione. Richiede un server RADIUS che si integra con il server AD. Le organizzazioni possono anche sfruttare la distribuzione RADIUS esistente.
Il server RADIUS può essere distribuito in locale o nella rete virtuale di Azure. Durante l'autenticazione, il gateway VPN di Azure funge da pass-through e inoltra i messaggi di autenticazione tra il server RADIUS e il dispositivo che si connette e viceversa. È quindi importante che il gateway possa raggiungere il server RADIUS. Se il server RADIUS si trova in locale, per la raggiungibilità è necessaria una connessione VPN da sito a sito da Azure al sito locale.
È anche possibile integrare il server RADIUS con Servizi certificati AD. Ciò consente di usare il server RADIUS e la distribuzione di certificati dell'organizzazione per l'autenticazione del certificato da punto a sito in alternativa all'autenticazione del certificato di Azure. Il vantaggio è che non è necessario caricare i certificati radice e i certificati revocati in Azure.
Un server RADIUS può anche integrarsi con altri sistemi di identità esterni, offrendo così molte opzioni di autenticazione per le VPN da punto a sito, incluse le opzioni a più fattori.
Per le procedure di configurazione del gateway da punto a sito, vedere Configurare la connessione da punto a sito - RADIUS.
Requisiti di configurazione per i client
I requisiti di configurazione client variano in base al client VPN, al tipo di autenticazione e al protocollo usati. La tabella seguente illustra i client disponibili e gli articoli corrispondenti per ogni configurazione.
| Metodo di autenticazione | Tipo di tunnel | Sistema operativo client | Client VPN |
|---|---|---|---|
| Certificato | |||
| IKEv2, SSTP | Windows | Client VPN nativo | |
| IKEv2 | macOS | Client VPN nativo | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Client VPN di Azure Client OpenVPN versione 2.x Client OpenVPN versione 3.x |
|
| OpenVPN | macOS | Client OpenVPN | |
| OpenVPN | iOS | Client OpenVPN | |
| OpenVPN | Linux | Client VPN di Azure Client OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Client VPN di Azure | |
| OpenVPN | macOS | Client VPN di Azure | |
| OpenVPN | Linux | Client VPN di Azure |
Quali versioni del client VPN di Azure sono disponibili?
Per informazioni sulle versioni disponibili del client VPN di Azure, sulle date di rilascio e sulle novità di ogni versione, vedere Versioni del client VPN di Azure.
Quali SKU del gateway supportano la VPN da punto a sito?
La tabella seguente illustra gli SKU del gateway per tunnel, connessione e velocità effettiva. Per altre informazioni, vedere Informazioni sugli SKU del gateway.
| VPN Porta di accesso Generazione |
SKU | S2S/Da rete virtuale a rete virtuale Tunnel |
Connessione da punto a sito Connessioni SSTP |
Connessione da punto a sito Connessioni IKEv2/OpenVPN |
Aggregare Benchmark velocità effettiva |
BGP | Zone-redundant | Numero di macchine virtuali supportate nella rete virtuale |
|---|---|---|---|---|---|---|---|---|
| Generazione1 | Base | Max. 10 | Max. 128 | Non supportato | 100 Mbps | Non supportato | NO | 200 |
| Generazione1 | VpnGw1 | Max. 30 | Max. 128 | Max. 250 | 650 Mbps | Supportato | NO | 450 |
| Generazione1 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1 Gbps | Supportato | NO | 1300 |
| Generazione1 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbps | Supportato | NO | 4000 |
| Generazione1 | VpnGw1AZ | Max. 30 | Max. 128 | Max. 250 | 650 Mbps | Supportato | Sì | 1000 |
| Generazione1 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1 Gbps | Supportato | Sì | 2000 |
| Generazione1 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbps | Supportato | Sì | 5000 |
| Generazione2 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbps | Supportato | NO | 685 |
| Generazione2 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbps | Supportato | NO | 2240 |
| Generazione2 | VpnGw4 | Max. 100* | Max. 128 | Max. 5000 | 5 Gbps | Supportato | NO | 5300 |
| Generazione2 | VpnGw5 | Max. 100* | Max. 128 | Max. 10.000 | 10 Gbps | Supportato | NO | 6700 |
| Generazione2 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbps | Supportato | Sì | 2000 |
| Generazione2 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbps | Supportato | Sì | 3300 |
| Generazione2 | VpnGw4AZ | Max. 100* | Max. 128 | Max. 5000 | 5 Gbps | Supportato | Sì | 4400 |
| Generazione2 | VpnGw5AZ | Max. 100* | Max. 128 | Max. 10.000 | 10 Gbps | Supportato | Sì | 9.000 |
Note
Lo SKU Basic presenta limitazioni e non supporta il tunnel IKEv2, gli indirizzi IPv6 o l'autenticazione RADIUS. Per altre informazioni, vedere Impostazioni del gateway VPN.
Quali criteri IKE/IPsec sono configurati nei gateway VPN da punto a sito?
Le tabelle di questa sezione mostrano i valori per i criteri predefiniti. Tuttavia, non riflettono i valori supportati disponibili per i criteri personalizzati. Per i criteri personalizzati, vedere i Valori accettati elencati nel cmdlet di PowerShell New-AzVpnClientIpsecParameter.
IKEv2
| Cifrario | Integrità | PRF | Gruppo DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| Cifrario | Integrità | Gruppo PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | Gruppo_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
Quali criteri TLS sono configurati nei gateway VPN per connessione da punto a sito?
TLS
| Criteri |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**Supportato solo in TLS1.3 con OpenVPN
Come si configura una connessione da punto a sito?
La configurazione di una connessione da punto a sito richiede alcuni passaggi specifici. Gli articoli seguenti contengono le istruzioni per i passaggi di configurazione comuni per le connessioni da punto a sito.
Per rimuovere la configurazione di una connessione da punto a sito
È possibile rimuovere la configurazione di una connessione usando PowerShell o l'interfaccia della riga di comando. Per alcuni esempi, vedere le Domande frequenti.
Funzionamento del routing da punto a sito
Vedere gli articoli seguenti:
Domande frequenti
Sono disponibili più domande frequenti per le connessioni da punto a sito. Vedere le Domande frequenti sul gateway VPN, prestando particolare attenzione alle sezioni Autenticazione del certificato e RADIUS, in base alle esigenze.
Passaggi successivi
- Configurare una connessione da punto a sito usando l'autenticazione del certificato di Azure
- Configurare una connessione da punto a sito - Autenticazione di Microsoft Entra ID
"OpenVPN" è un marchio di OpenVPN Inc.