Assegnare indirizzi IP da pool definiti agli utenti VPN da punto a sito - Azure PowerShell

È possibile assegnare agli utenti che si connettono al gateway VPN Point-to-site (P2S) indirizzi IP da pool di indirizzi specifici in base alla loro identità o credenziali di autenticazione, creando gruppi di criteri (gruppi di utenti). Questo articolo illustra come configurare gruppi di criteri, membri del gruppo e definire le priorità dei gruppi usando Azure PowerShell. Per altre informazioni sull'uso di gruppi di criteri e membri di gruppo per le connessioni da sito a sito, incluse considerazioni e limitazioni, vedere Informazioni sui gruppi di utenti.

Prerequisiti

Questo articolo presuppone la presenza di una configurazione della connessione da punto a sito del gateway VPN. Se non è ancora stato impostato un gateway VPN con connessione da punto a sito, vedere gli articoli seguenti:

• Configurare un gateway VPN con connessione da punto a sito con l'autenticazione con certificato:
  • Per il Portale vedere Configurare le impostazioni server per l'autenticazione con certificato del gateway VPN con connessione da punto a sito
  • Per PowerShell, consultare P2S Gateway VPN - autenticazione con certificato utilizzando PowerShell
• Procedura per configurare un gateway VPN con connessione da punto a sito con l'autenticazione con Microsoft Entra ID, vedere Gateway VPN con connessione da punto a sito per l'autenticazione con Microsoft Entra ID
• Per configurare un client VPN di Azure, vedere la Tabella di configurazione del client VPN.

Flusso di lavoro

Questo articolo usa il flusso di lavoro seguente per configurare gruppi utenti e pool di indirizzi IP per la connessione del gateway VPN da punto a sito.

1. Considerare i requisiti di configurazione.
2. Scegliere un meccanismo di autenticazione.
3. Creare un gruppo utenti.
4. Configurare le impostazioni del gateway

Considerare i requisiti di configurazione

Questa sezione elenca i requisiti di configurazione e le limitazioni per i gruppi utenti e i pool di indirizzi IP.

• Numero massimo di gruppi: un singolo gateway VPN con connessione da punto a sito può fare riferimento a un massimo di 90 gruppi.

• Numero massimo di membri: il numero totale di membri di criteri/gruppi in tutti i gruppi assegnati a un gateway è 390.

• Più assegnazioni: se un gruppo è assegnato a più configurazioni di connessione nello stesso gateway, i relativi membri vengono conteggiati più volte. Esempio: un gruppo di criteri con 10 membri assegnati a tre configurazioni di connessione VPN conta come tre gruppi con 30 membri, non un gruppo con 10 membri.

• Utenti simultanei: il numero totale di utenti simultanei è determinato dall'unità di scala del gateway e dal numero di indirizzi IP allocati a ogni gruppo utenti. Non è determinato dal numero di membri di criteri/gruppi associati al gateway.

• Dopo aver creato un gruppo come parte di una configurazione del server VPN, non è più possibile modificare il nome e l'impostazione predefinita di un gruppo.

• I nomi dei gruppi devono essere distinti.

• I gruppi con priorità numerica inferiore vengono elaborati prima dei gruppi con priorità numerica più alta. Se un utente che si connette è membro di più gruppi, il gateway li considera come membri del gruppo con priorità numerica inferiore ai fini dell'assegnazione di indirizzi IP.

• I gruppi usati dai gateway VPN da punto a sito esistenti non possono essere eliminati.

• È possibile riordinare le priorità dei gruppi facendo clic sui pulsanti freccia su/giù corrispondenti a quel gruppo.

• I pool di indirizzi non possono sovrapporsi ai pool di indirizzi usati in altre configurazioni di connessione (stessi o gateway diversi).
• I pool di indirizzi non possono sovrapporsi agli spazi di indirizzi della rete virtuale, agli spazi di indirizzi dell'hub virtuale o agli indirizzi locali.
• I pool di indirizzi non possono essere più piccoli di /24. Ad esempio, non è possibile assegnare un intervallo di /25 o /26.

Scegliere un meccanismo di autenticazione

Le sezioni seguenti elencano i meccanismi di autenticazione disponibili che è possibile usare durante la creazione di gruppi utenti.

Gruppi di Microsoft Entra

Per creare e gestire gruppi di Microsoft Entra, vedere Gestire i gruppi e l'appartenenza ai gruppi di Microsoft Entra.

• Il gruppo utenti di Microsoft Entra ID oggetto (e non il nome del gruppo) deve essere specificato come parte della configurazione da punto a sito.

  • Per questo caso specifico si userà:

    • Gruppo di progettazione come {ObjectId1}
    • Gruppo finanziario come {ObjectId2}

    

• Gli utenti di Microsoft Entra possono essere assegnati nell'ambito di più gruppi di Active Directory e il gateway VPN considera gli utenti come parte dei criteri/utenti della VPN. Se un utente appartiene a più gruppi, il gruppo con la priorità numerica più bassa viene selezionato nella connessione da punto a sito.

RADIUS - Attributi specifici del fornitore NPS

Per informazioni sulla configurazione degli attributi specifici del fornitore del Server dei criteri di rete (NPS), vedere RADIUS - Configurare il Server dei criteri di rete per attributi specifici del fornitore.

Certificates

Per generare certificati autofirmati, vedere Generare ed esportare certificati per la connessione da punto a sito usando PowerShell. Per generare un certificato con un nome comune specifico, impostare il parametro Subject sul valore appropriato (ad esempio, xx@domain.com) quando si esegue il comando New-SelfSignedCertificate di PowerShell. Ad esempio, è possibile generare certificati con il seguente parametroSubject:

La funzionalità del pool di indirizzi multipli con l'autenticazione con il certificato digitale si applica a un gruppo utenti specifico in base al campo Subject . I criteri di selezione non funzionano con i certificati SAN (Subject Alternative Name).

Se si vuole specificare un SAN nei relativi certificati, deve essere uguale a Subject per il corretto funzionamento della funzionalità multi-pool. La discrepanza tra Subject e SAN causerà problemi.

Creazione di gruppi di utenti

1. Dichiarare le variabili

$rg           = "TestRG2"
$location     = "EastUS"
$VNetName     = "TestVNet"
$AppSubName   = "AppSubnet"
$GWSubName    = "GatewaySubnet"
$VNetPrefix   = "10.0.0.0/24"
$AppSubPrefix = "10.0.0.0/26"
$GWSubPrefix  = "10.0.0.192/26"
$GWName       = "gw"
$GWIPName     = "gwIP1"
$GWIPconf     = "gwipconf1"

2. Creare il gateway VPN e della rete virtuale

Aprire la console di PowerShell e connettersi al proprio account. Per altre informazioni, vedere Uso di Windows PowerShell con Gestione risorse. Per connettersi, usare l'esempio seguente:

Connect-AzAccount
Select-AzSubscription -SubscriptionName <YourSubscriptionName>

New-AzResourceGroup -Name $rg -Location $location

$appsub = New-AzVirtualNetworkSubnetConfig -Name $AppSubName -AddressPrefix $AppSubPrefix
$gwsub = New-AzVirtualNetworkSubnetConfig -Name $GWSubName -AddressPrefix $GWSubPrefix

New-AzVirtualNetwork -Name $VNetName -ResourceGroupName $RG -Location $Location -AddressPrefix $VNetPrefix -Subnet $appsub,$gwsub

$gwpip    = New-AzPublicIpAddress -Name $GW2IPName1 -ResourceGroupName $RG -Location $Location -AllocationMethod Static `
               -Sku Standard -Tier Regional -Zone 1, 2, 3
$vnet     = Get-AzVirtualNetwork -Name $VNetName -ResourceGroupName $RG
$subnet   = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
$gwipconf = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconf1 -Subnet $subnet -PublicIpAddress $gwpip

New-AzVirtualNetworkGateway -Name $GWName -ResourceGroupName $RG -Location $Location `
        -IpConfigurations $gwipconf `
        -GatewayType Vpn `
        -VpnType RouteBased `            
        -VpnGatewayGeneration Generation2 `
        -GatewaySku VpnGw2AZ

La creazione del gateway VPN può richiedere circa 45 minuti.

3. Verificare di disporre del gateway VPN corretto

$gw = Get-AzVirtualNetworkGateway -Name $GWName -ResourceGroupName $RG

$. Creare gruppi utenti

In questo scenario si consideri un caso di quattro gruppi utenti, due gruppi utenti con autenticazione con certificati digitali e due gruppi utenti con l'autenticazione di Microsoft Entra ID:

• Due gruppi di certificati client con nomi comuni.

  • yourServiceName@marketing.contoso.com
  • yourServiceName@sale.contoso.com

• Due gruppi creati in Microsoft Entra ID (sostituire ObjectId1/ObjectId2 con il valore Object ID).

  • Gruppo progettazione {ObjectId1}
  • Finanza {ObjectId2}

5. Aggiungere la configurazione della connessione da punto a sito al gateway VPN

La configurazione del cmdlet seguente configura il gateway VPN per l'uso del pool di indirizzi client VpnClientAddressPool e le opzioni di autenticazione di:

• Autenticazione basata su certificati: certificato
• Microsoft Entra ID: AAD

Per altre informazioni sui valori di autenticazione di Microsoft Entra ID della connessione da punto a sito, vedere Configurare il gateway VPN con connessione da punto a sito per l'autenticazione di Microsoft Entra ID.

Esportare i dati pubblici del certificato radice in formato .cer, raccogliere i dati e assegnare i dati pubblici del certificato radice nella variabile $rootCert:

$rootCert = 'MIIC5zCCAc+gAwIBAgIQH0n3xp1vV7FBfqhwRvJOljA...............'

In seguito, impostare il gateway della rete virtuale. Nel comando riportato di seguito sostituire i valori seguenti:

• {TenantID} con l'ID tenant Microsoft Entra corrispondente (senza parentesi graffe).
• AadAudienceID con il valore corrispondente per l'ID app client della VPN di Azure registrato da Microsoft. È anche possibile usare gruppi di destinatari personalizzati in questo campo.
• x.x.0.0/24 con il pool di indirizzi per connettere i client VPN che non appartengono alla configurazione di più pool di indirizzi.

$gw = Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw1 `
-VpnAuthenticationType Certificate, AAD -VpnClientAddressPool x.x.0.0/24 `
-VpnClientRootCertificates $rootCert -VpnClientProtocol IkeV2, OpenVPN `
-AadTenantUri 'https://login.microsoftonline.com/{TenantID}' `
-AadIssuerUri 'https://sts.windows.net/{TenantID}/' `
-AadAudienceId 'c632b3df-fb67-4d84-bdcf-b95ad541b5c8'

6. Creare membri del gruppo di criteri

Configurare quattro membri, uno per ogni gruppo:

• member1 e member2 sono basati sull'autenticazione con certificato digitale (tipo di autenticazione : CertificateGroupID).

• member3 e member4 sono basati sull'autenticazione con Microsoft Entra ID (tipo di autenticazione:AADGroupID)

  • {ObjectId1} e {ObjectId2} sono i valori che rappresentano l'ID di due gruppi diversi nel tenant di Microsoft Entra ID.

$member1 = New-AzVirtualNetworkGatewayPolicyGroupMember -Name "member1" `
-AttributeType "CertificateGroupId" -AttributeValue "marketing.contoso.com"

$member2 = New-AzVirtualNetworkGatewayPolicyGroupMember -Name "member2" `
-AttributeType "CertificateGroupId" -AttributeValue "sale.contoso.com"

$member3 = New-AzVirtualNetworkGatewayPolicyGroupMember -Name "member3" `
-AttributeType "AADGroupId" -AttributeValue "{ObjectId1}"

$member4 = New-AzVirtualNetworkGatewayPolicyGroupMember -Name "member4" `
-AttributeType "AADGroupId" -AttributeValue "{ObjectId2}"

7. Creare gruppi di criteri del gateway di rete virtuale

La configurazione crea tre gruppi di criteri del gateway responsabili dell'autorizzazione delle connessioni tramite certificati digitali che specificano quanto segue nel campo Nome comune (CN) e nei gruppi di Microsoft Entra ID che specificano gli ObjectID del gruppo:

• policyGroup1: marketing.contoso.com, $member1
• policyGroup2: sale.contoso.com, $member2
• policyGroup3: {ObjectId1}, noto anche come $member3
• policyGroup4: {ObjectId2}, noto anche come $member4

Nella tabella vengono creati tre gruppi di criteri del gateway:

$policyGroup1 = New-AzVirtualNetworkGatewayPolicyGroup -Name "policyGroup1" `
     -Priority 0 -DefaultPolicyGroup -PolicyMember $member1 

$policyGroup2 = New-AzVirtualNetworkGatewayPolicyGroup -Name "policyGroup2" `
     -Priority 10 -PolicyMember $member2 

$policyGroup3 = New-AzVirtualNetworkGatewayPolicyGroup -Name "policyGroup3" `
    -Priority 20 -PolicyMember $member3 

$policyGroup4 = New-AzVirtualNetworkGatewayPolicyGroup -Name "policyGroup4" `
    -Priority 30 -PolicyMember $member4 

8. Creare configurazioni con connessione client VPN

La configurazione della VPN definisce quattro pool di indirizzi distinti, ognuno collegato a un policyGroup specifico.

$vngconnectionConfig1 = New-AzVpnClientConnectionConfiguration -Name "config1" `
-VirtualNetworkGatewayPolicyGroup $policyGroup1 `
-VpnClientAddressPool "x.x.1.0/24" 

$vngconnectionConfig2 = New-AzVpnClientConnectionConfiguration -Name "config2" `
-VirtualNetworkGatewayPolicyGroup $policyGroup2 `
-VpnClientAddressPool "x.x.2.0/24" 

$vngconnectionConfig3 = New-AzVpnClientConnectionConfiguration -Name "config3" `
-VirtualNetworkGatewayPolicyGroup $policyGroup3 `
-VpnClientAddressPool "x.x.3.0/24"

$vngconnectionConfig4 = New-AzVpnClientConnectionConfiguration -Name "config4" `
-VirtualNetworkGatewayPolicyGroup $policyGroup4 `
-VpnClientAddressPool "x.x.4.0/24" 

9. Applicare configurazioni al gateway VPN

$gw = Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw `
      -VirtualNetworkGatewayPolicyGroup `
$policyGroup1, $policyGroup2, $policyGroup3, $policyGroup4 `
     -ClientConnectionConfiguration $vngconnectionConfig1, $vngconnectionConfig2, `
      $vngconnectionConfig3, $vngconnectionConfig4 

Alla fine dell'impostazione di più pool di indirizzi, la configurazione può essere rappresentata dalla struttura logica seguente:

Se le cose vanno storte

Di seguito sono riportati alcuni problemi comuni che possono verificarsi durante la configurazione di gruppi di criteri e pool di indirizzi IP per le connessioni da sito a sito, insieme alla procedura di risoluzione dei problemi per risolverli.

• Verificare che i pacchetti abbiano gli attributi corretti? Wireshark o un'altra acquisizione di pacchetti può essere eseguita in modalità NPS e decrittografare i pacchetti utilizzando la chiave condivisa. È possibile verificare che i pacchetti vengano inviati dal server RADIUS al gateway VPN da punto a sito con il VSA RADIUS corretto configurato.

• Gli utenti ricevono un indirizzo IP errato? Configurare e controllare la registrazione eventi di Server dei criteri di rete per l'autenticazione, indipendentemente dal fatto che gli utenti corrispondano o meno ai criteri.

• Problemi con i pool di indirizzi? Ogni pool di indirizzi viene specificato nel gateway. I pool di indirizzi vengono suddivisi in due pool di indirizzi e assegnati a ogni istanza attiva-attiva in una coppia di gateway VPN da punto a sito. Questi indirizzi suddivisi devono essere visualizzati nella tabella di route valida. Ad esempio, se si specifica 10.0.0.0/24, dovrebbero essere visibili due route "/25" nella tabella di route effettiva. In caso contrario, provare a modificare i pool di indirizzi definiti nel gateway.

• Il client da punto a sito non è in grado di ricevere le route? Assicurarsi che tutte le configurazioni di connessione VPN da punto a sito siano associate all'oggetto defaultRouteTable e propagate allo stesso set di tabelle di route. Questa operazione deve essere configurata automaticamente se si usa il portale, ma se si usa REST, PowerShell o l'interfaccia della riga di comando, assicurarsi che tutte le propagazioni e le associazioni siano impostate in modo appropriato.

• Non è possibile abilitare Multipool usando il client VPN di Azure? Se si usa il client VPN di Azure, assicurarsi che il client VPN di Azure installato nei dispositivi degli utenti sia la versione più recente. Per abilitare questa funzionalità, è necessario scaricare di nuovo il client.

• Tutti gli utenti vengono assegnati al gruppo Predefinito? Se si usa l'autenticazione con Microsoft Entra, verificare che l'input dell'URL del tenant nella configurazione del server (https://login.microsoftonline.com/<tenant ID>) non termini con un \. Se l'URL viene immesso per terminare con \, il gateway non sarà in grado di elaborare correttamente i gruppi utenti di Microsoft Entra e tutti gli utenti vengono assegnati al gruppo predefinito. Per correggere il problema, modificare la configurazione del server per rimuovere \ finale e modificare i pool di indirizzi configurati nel gateway per applicare le modifiche al gateway. Si tratta di un problema noto.

• Si sta tentando di invitare utenti esterni a usare la funzionalità Multipool? Se si usa l'autenticazione Microsoft Entra e si prevede di invitare utenti esterni (utenti che non fanno parte del dominio Microsoft Entra configurato nel gateway VPN) per connettersi al gateway VPN, assicurarsi che il tipo di utente dell'utente esterno sia Member e non Guest. Assicurarsi inoltre che il "Nome" dell'utente sia impostato sull'indirizzo di posta elettronica dell'utente. Se il tipo di utente e il nome dell'utente che si connette non sono impostati correttamente o non è possibile impostare un membro esterno come "Membro" del dominio Microsoft Entra, l'utente che si connette viene assegnato al gruppo predefinito e gli viene assegnato un indirizzo IP dal pool di indirizzi IP predefinito.

Passo successivo