Configurare il tunneling forzato usando il sito predefinito per le connessioni da sito a sito
La procedura descritta in questo articolo illustra come configurare il tunneling forzato per le connessioni da sito a sito (S2S) IPsec specificando un sito predefinito. Per informazioni sui metodi di configurazione per il tunneling forzato, inclusa la configurazione del tunneling forzato tramite BGP, vedere Informazioni sul tunneling forzato per Gateway VPN.
Per impostazione predefinita, il traffico associato a Internet dalle macchine virtuali passa direttamente a Internet. Se si vuole forzare tutto il traffico associato a Internet attraverso il gateway VPN a un sito locale per l'ispezione e il controllo, è possibile farlo configurando il tunneling forzato. Dopo aver configurato il tunneling forzato, se necessario, è possibile instradare il traffico associato a Internet direttamente a Internet per le subnet specificate usando route definite dall'utente personalizzate.
I passaggi seguenti consentono di configurare uno scenario di tunneling forzato specificando un sito predefinito. Facoltativamente, usando la route definita dall'utente personalizzata, è possibile instradare il traffico specificando che il traffico associato a Internet dalla subnet front-end passa direttamente a Internet anziché al sito locale.
- La rete virtuale creata ha tre subnet: front-end, livello intermedio e back-end con quattro connessioni cross-premise: DefaultSiteHQ e tre rami.
- Specificare il sito predefinito per il gateway VPN usando PowerShell, che forza tutto il traffico Internet verso la posizione locale. Il sito predefinito non può essere configurato usando il portale di Azure.
- Alla subnet front-end viene assegnata una route definita dall'utente per inviare il traffico Internet direttamente a Internet, ignorando il gateway VPN. In genere viene instradato un altro traffico.
- Le subnet di livello intermedio e back-end continuano ad avere il tunneling forzato del traffico Internet nel sito locale tramite il gateway VPN perché è specificato un sito predefinito.
Creare una rete virtuale e subnet
Creare prima di tutto l'ambiente di test. È possibile usare Azure Cloud Shell oppure eseguire PowerShell in locale. Per altre informazioni, vedere Come installare e configurare Azure PowerShell.
Nota
Potrebbero essere visualizzati avvisi indicanti che il tipo di oggetto di output del cmdlet verrà modificato in una versione futura. Si tratta del comportamento previsto ed è possibile ignorare questi avvisi.
Creare un gruppo di risorse usando New-AzResourceGroup.
New-AzResourceGroup -Name "TestRG1" -Location "EastUS"
Creare la rete virtuale usando New-AzVirtualNetwork.
$vnet = New-AzVirtualNetwork ` -ResourceGroupName "TestRG1" ` -Location "EastUS" ` -Name "VNet1" ` -AddressPrefix 10.1.0.0/16
Creare subnet usando New-AzVirtualNetworkSubnetConfig. Creare subnet front-end, di livello intermedio e back-end e una subnet del gateway ,denominata GatewaySubnet.
$subnetConfigFrontend = Add-AzVirtualNetworkSubnetConfig ` -Name Frontend ` -AddressPrefix 10.1.0.0/24 ` -VirtualNetwork $vnet $subnetConfigMid-tier = Add-AzVirtualNetworkSubnetConfig ` -Name Mid-tier ` -AddressPrefix 10.1.1.0/24 ` -VirtualNetwork $vnet $subnetConfigBackend = Add-AzVirtualNetworkSubnetConfig ` -Name Backend ` -AddressPrefix 10.1.2.0/24 ` -VirtualNetwork $vnet $subnetConfigGW = Add-AzVirtualNetworkSubnetConfig ` -Name GatewaySubnet ` -AddressPrefix 10.1.200.0/27 ` -VirtualNetwork $vnet
Scrivere le configurazioni della subnet nella rete virtuale con Set-AzVirtualNetwork, che crea le subnet nella rete virtuale:
$vnet | Set-AzVirtualNetwork
Creare gateway di rete locali
In questa sezione creare i gateway di rete locali per i siti usando New-AzLocalNetworkGateway. È presente una leggera pausa tra ogni comando durante la creazione di ogni gateway di rete locale. In questo esempio i -GatewayIpAddress
valori sono segnaposto. Per stabilire una connessione, è necessario sostituire questi valori in un secondo momento con gli indirizzi IP pubblici dei rispettivi dispositivi VPN locali.
$lng1 = New-AzLocalNetworkGateway -Name "DefaultSiteHQ" -ResourceGroupName "TestRG1" -Location "EastUS" -GatewayIpAddress "111.111.111.111" -AddressPrefix "192.168.1.0/24"
$lng2 = New-AzLocalNetworkGateway -Name "Branch1" -ResourceGroupName "TestRG1" -Location "EastUS" -GatewayIpAddress "111.111.111.112" -AddressPrefix "192.168.2.0/24"
$lng3 = New-AzLocalNetworkGateway -Name "Branch2" -ResourceGroupName "TestRG1" -Location "EastUS" -GatewayIpAddress "111.111.111.113" -AddressPrefix "192.168.3.0/24"
$lng4 = New-AzLocalNetworkGateway -Name "Branch3" -ResourceGroupName "TestRG1" -Location "EastUS" -GatewayIpAddress "111.111.111.114" -AddressPrefix "192.168.4.0/24"
Creare un gateway VPN
In questa sezione viene richiesto un indirizzo IP pubblico e viene creato un gateway VPN associato all'oggetto indirizzo IP pubblico. L'indirizzo IP pubblico viene usato quando si connette un dispositivo VPN locale o esterno al gateway VPN per le connessioni cross-premise.
Richiedere un indirizzo IP pubblico per il gateway VPN usando New-AzPublicIpAddress.
$gwpip = New-AzPublicIpAddress -Name "GatewayIP" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard
Creare la configurazione dell'indirizzo IP del gateway usando New-AzVirtualNetworkGatewayIpConfig. Questa configurazione viene fatto riferimento quando si crea il gateway VPN.
$vnet = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1" $gwsubnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet $gwipconfig = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $gwsubnet.Id -PublicIpAddressId $gwpip.Id
Creare il gateway di rete virtuale con il tipo di gateway "Vpn" usando New-AzVirtualNetworkGateway. La creazione di un gateway può richiedere almeno 45 minuti, a seconda dello SKU del gateway selezionato selezionato.
In questo esempio viene usato lo SKU VpnGw2, generazione 2. Se vengono visualizzati errori ValidateSet riguardo al valore GatewaySKU, verificare di avere installato la versione più recente dei cmdlet di PowerShell. La versione più recente contiene i nuovi valori convalidati per gli SKU del gateway più recenti.
New-AzVirtualNetworkGateway -Name "VNet1GW" -ResourceGroupName "TestRG1" -Location "EastUS" -IpConfigurations $gwipconfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku VpnGw2 -VpnGatewayGeneration "Generation2"
Configurare il tunneling forzato - Sito predefinito
Configurare il tunneling forzato assegnando un sito predefinito al gateway di rete virtuale. Se non si specifica un sito predefinito, il traffico Internet non viene forzato attraverso il gateway VPN e attraversa direttamente Internet per tutte le subnet (per impostazione predefinita).
Per assegnare un sito predefinito per il gateway, usare il parametro -GatewayDefaultSite . Assicurarsi di assegnarlo correttamente.
In primo luogo, dichiarare le variabili che specificano le informazioni sul gateway di rete virtuale e il gateway di rete locale per il sito predefinito, in questo caso DefaultSiteHQ.
$LocalGateway = Get-AzLocalNetworkGateway -Name "DefaultSiteHQ" -ResourceGroupName "TestRG1" $VirtualGateway = Get-AzVirtualNetworkGateway -Name "VNet1GW" -ResourceGroupName "TestRG1"
Impostare quindi il sito predefinito del gateway di rete virtuale usando Set-AzVirtualNetworkGatewayDefaultSite.
Set-AzVirtualNetworkGatewayDefaultSite -GatewayDefaultSite $LocalGateway -VirtualNetworkGateway $VirtualGateway
A questo punto, tutto il traffico associato a Internet è ora configurato per essere sottoposto a tunneling forzato a DefaultSiteHQ. È necessario configurare il dispositivo VPN locale usando 0.0.0.0/0 come selettori di traffico.
- Se si vuole configurare solo il tunneling forzato e non instradare il traffico Internet direttamente a Internet per subnet specifiche, è possibile passare alla sezione Stabilire Connessione ions di questo articolo per creare le connessioni.
- Se si desidera che subnet specifiche inviino il traffico associato a Internet direttamente a Internet, continuare con le sezioni successive per configurare route definite dall'utente personalizzate e assegnare route.
Instradare il traffico associato a Internet per subnet specifiche
Se si vuole che il traffico associato a Internet venga inviato direttamente a Internet per subnet specifiche (anziché per la rete locale), seguire questa procedura. Questi passaggi si applicano al tunneling forzato configurato specificando un sito predefinito o configurato tramite BGP.
Creare tabelle e route di route
Per specificare che il traffico associato a Internet deve passare direttamente a Internet, creare la tabella di route e la route necessarie. Successivamente si assegnerà la tabella di route alla subnet Front-end.
Creare le tabelle di route usando New-AzRouteTable.
$routeTable1 = New-AzRouteTable ` -Name 'RouteTable1' ` -ResourceGroupName "TestRG1" ` -location "EastUS"
Creare route usando i cmdlet seguenti: GetAzRouteTable, Add-AzRouteConfig e Set-AzRouteConfig. Creare la route per il tipo di hop successivo "Internet" in RouteTable1. Questa route viene assegnata in un secondo momento alla subnet Front-end.
Get-AzRouteTable ` -ResourceGroupName "TestRG1" ` -Name "RouteTable1" ` | Add-AzRouteConfig ` -Name "ToInternet" ` -AddressPrefix 0.0.0.0/0 ` -NextHopType "Internet" ` | Set-AzRouteTable
Assegnare route
In questa sezione si assegnano la tabella di route e le route alla subnet front-end usando i comandi di PowerShell seguenti: GetAzRouteTable, Set-AzRouteConfig e Set-AzVirtualNetwork.
Assegnare la subnet front-end a RouteTable1 con route "ToInternet" che specifica 0.0.0.0/0 con hop successivo Internet.
$vnet = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1" $routeTable1 = Get-AzRouteTable ` -ResourceGroupName "TestRG1" ` -Name "RouteTable1" Set-AzVirtualNetworkSubnetConfig ` -VirtualNetwork $vnet ` -Name 'Frontend' ` -AddressPrefix 10.1.0.0/24 ` -RouteTable $routeTable1 | ` Set-AzVirtualNetwork
Stabilire connessioni VPN da sito a sito
Usare New-AzVirtualNetworkGateway Connessione ion per stabilire le connessioni da sito a sito.
Dichiarare le variabili.
$gateway = Get-AzVirtualNetworkGateway -Name "VNet1GW" -ResourceGroupName "TestRG1" $lng1 = Get-AzLocalNetworkGateway -Name "DefaultSiteHQ" -ResourceGroupName "TestRG1" $lng2 = Get-AzLocalNetworkGateway -Name "Branch1" -ResourceGroupName "TestRG1" $lng3 = Get-AzLocalNetworkGateway -Name "Branch2" -ResourceGroupName "TestRG1" $lng4 = Get-AzLocalNetworkGateway -Name "Branch3" -ResourceGroupName "TestRG1"
Creare le connessioni.
New-AzVirtualNetworkGatewayConnection -Name "Connection1" -ResourceGroupName "TestRG1" -Location "EastUS" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng1 -ConnectionType IPsec -SharedKey "preSharedKey" New-AzVirtualNetworkGatewayConnection -Name "Connection2" -ResourceGroupName "TestRG1" -Location "EastUS" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng2 -ConnectionType IPsec -SharedKey "preSharedKey" New-AzVirtualNetworkGatewayConnection -Name "Connection3" -ResourceGroupName "TestRG1" -Location "EastUS" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng3 -ConnectionType IPsec -SharedKey "preSharedKey" New-AzVirtualNetworkGatewayConnection -Name "Connection4" -ResourceGroupName "TestRG1" -Location "EastUS" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng4 -ConnectionType IPsec -SharedKey "preSharedKey"
Per visualizzare una connessione, usare l'esempio seguente. Modificare i valori necessari per specificare la connessione da visualizzare.
Get-AzVirtualNetworkGatewayConnection -Name "Connection1" -ResourceGroupName "TestRG1"
Passaggi successivi
Per altre informazioni sulle Gateway VPN, vedere le domande frequenti Gateway VPN.