Informazioni sulle impostazioni di configurazione del Gateway VPN
L'architettura di connessione del Gateway VPN si basa sulla configurazione di più risorse, ognuna delle quali contiene impostazioni configurabili. Le sezioni di questo articolo illustrano le risorse e le impostazioni correlate a un gateway VPN per una rete virtuale. Le descrizioni e i diagrammi della topologia per ogni soluzione di connessione sono disponibili nell'articolo Topologia e progettazione del Gateway VPN.
I valori riportati in questo articolo si applicano in maniera specifica ai Gateway VPN (gateway di rete virtuale che usano GatewayType Vpn). Per informazioni sui tipi di gateway seguenti, consultare gli articoli riportati di seguito:
- Per i valori che si applicano a ExpressRoute come -GatewayType, vedere Gateway di rete virtuale per ExpressRoute.
- Per i gateway con ridondanza della zona, vedere le informazioni sui gateway con ridondanza della zona.
- Per i gateway di rete WAN virtuale, vedere Informazioni sulla rete WAN virtuale.
Gateway e tipi di gateway
Un gateway di rete virtuale è costituito da due o più VM gestite da Azure configurate e distribuite automaticamente in una subnet specifica creata, denominata subnet del gateway. Le macchine virtuali di un gateway contengono tabelle di routing ed eseguono servizi gateway specifici. Quando si crea un gateway di rete virtuale, le VM del gateway vengono distribuite automaticamente nella subnet del gateway (sempre denominata GatwaySubnet), quindi vengono configurate con le impostazioni specificate. Il completamento di questo processo può richiedere almeno 45 minuti, a seconda dello SKU di gateway selezionato.
Una delle impostazioni specificate durante la creazione di un gateway di rete virtuale è il tipo di gateway. Il tipo di gateway determina la modalità di utilizzo del gateway di rete virtuale, oltre che le azioni che dovrà eseguire. In una rete virtuale possono coesistere due gateway di rete virtuale, un gateway VPN e un gateway ExpressRoute. Il tipo del gateway 'Vpn' specifica che il tipo di gateway di rete virtuale creato è un gateway VPN. Questo lo distingue da un gateway ExpressRoute.
SKU e prestazioni del gateway
Vedere l'articolo Informazioni sugli SKU del gateway per informazioni aggiornate sugli SKU, sulle prestazioni e sulle funzionalità supportate del gateway.
Tipi di VPN
Azure supporta due differenti tipi di VPN per i Gateway VPN: basati su criteri e basati su route. I Gateway VPN basati su route vengono creati su una piattaforma differente rispetto ai Gateway VPN basati su criteri. Nel risultano specifiche differenti per il gateway. La tabella seguente illustra gli SKU del gateway che supportano ognuno dei tipi di VPN e le versioni IKE supportate associate.
Tipo di gateway VPN | SKU del gateway | Versioni IKE supportate |
---|---|---|
Gateway basato su criteri | Di base | IKEv1 |
Gateway basato su route | Di base | IKEv2 |
Gateway basato su route | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 e IKEv2 |
Gateway basato su route | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 e IKEv2 |
Nella maggior parte dei casi si crea un Gateway VPN basato su route. In precedenza, gli SKU del gateway meno recenti non supportavano IKEv1 per i gateway basati su route. Ora, la maggior parte degli SKU del gateway corrente supporta sia IKEv1 che IKEv2.
A partire dal 1° ottobre 2023, i gateway basati su criteri possono essere configurati solo usando PowerShell o l'interfaccia della riga di comando e non sono disponibili nel portale di Azure. Per creare un gateway basato su criteri, vedere Creare un gateway VPN SKU basic con PowerShell.
Se si dispone già di un gateway basato su criteri, non è necessario modificarlo in gateway basato su route, a meno che non si voglia usare una configurazione che richiede un gateway basato su route, ad esempio, da punto a sito.
Non è possibile convertire un gateway basato su criteri in uno basato su route. Il gateway esistente deve essere eliminato, solo dopo sarà possibile creare un nuovo gateway basato su route.
Informazioni sui gateway con modalità attiva-attiva
I gateway VPN di Azure possono essere configurati con modalità attiva-standby o attiva-attiva. In una configurazione di tipo attivo-attivo, entrambe le istanze delle VM del gateway stabiliscono tunnel VPN da sito a sito con il dispositivo o i dispositivi VPN locali. I gateway in modalità attivo-attivo sono una parte fondamentale della progettazione della connettività gateway a disponibilità elevata. Per altre informazioni, vedere gli articoli seguenti:
- Informazioni sul gateway attivo-attivo
- Progettare la connettività del gateway a disponibilità elevata per connessioni cross-premise e da rete virtuale a rete virtuale
Indirizzi IP privati del gateway
Questa impostazione viene usata per determinate configurazioni di peering privato di ExpressRoute. Per altre informazioni, vedere Configurare una connessione VPN da sito a sito tramite peering privato ExpressRoute.
Tipi di connessioni
Ogni connessione richiede un tipo di connessione gateway di rete virtuale specifico. I valori di PowerShell disponibili per New-AzVirtualNetworkGatewayConnection-Connection Type
sono IPsec, Vnet2Vnet, ExpressRoute, VPNClient.
Modalità di connessione
La proprietà Modalità di connessione si applica esclusivamente ai Gateway VPN basati su route che usano connessioni IKEv2. Le modalità di connessione definiscono la direzione di avvio della connessione e si applicano soltanto alla definizione iniziale della connessione IKE. Qualsiasi entità può avviare la reimpostazione delle chiavi e di messaggi aggiuntivi. InitiatorOnly indica che la connessione deve essere avviata da Azure. ResponderOnly indica che la connessione deve essere avviata dal dispositivo locale. Il comportamento Predefinito prevede di accettare e connettersi con la prima connessione.
Subnet gateway
Prima di creare un gateway VPN, è necessario creare una subnet del gateway. La subnet del gateway contiene gli indirizzi IP usati dalle VM e dai servizi del gateway di rete virtuale. Quando si crea il gateway di rete virtuale, le VM del gateway vengono distribuite nella subnet del gateway e configurate con le impostazioni del gateway VPN necessarie. Non si devono mai distribuire altri elementi (ad esempio, altre VM) nella subnet del gateway. Per poter funzionare correttamente, la subnet del gateway deve essere denominata "GatewaySubnet". Denominando la subnet del gateway 'GatewaySubnet', Azure la riconosce come quella in cui distribuire i servizi e le VM del gateway di rete virtuale.
Quando si crea la subnet del gateway, si specifica il numero di indirizzi IP inclusi nella subnet. Gli indirizzi IP inclusi nella subnet del gateway sono allocati alle VM del gateway e ai servizi del gateway. Alcune configurazioni richiedono più indirizzi IP di altre.
Quando si pianificano le dimensioni della subnet del gateway, vedere la documentazione per la configurazione che si intende creare. La configurazione per la coesistenza di gateway ExpressRoute/VPN richiede una subnet del gateway di dimensioni maggiori di quelle della maggior parte delle altre configurazioni. Sebbene sia possibile creare una subnet del gateway di dimensioni pari a /29 (applicabile solo allo SKU Basic), tutti gli altri SKU richiedono una subnet del gateway di dimensioni pari a /27 o superiori (/27, /26, /25, e così via). Potrebbe essere necessario creare una subnet del gateway di dimensioni superiori a /27 affinché la subnet abbia indirizzi IP sufficienti per supportare le possibili configurazioni future.
L'esempio seguente di PowerShell Resource Manager illustra una subnet del gateway denominata GatewaySubnet. La notazione CIDR specifica /27. Questa dimensione ammette un numero di indirizzi IP sufficiente per la maggior parte delle configurazioni attualmente esistenti.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Considerazioni:
Le route definite dall'utente con destinazione 0.0.0.0/0 e gruppi di sicurezza di rete in GatewaySubnet non sono supportate. La creazione dei gateway con questa configurazione viene bloccata. Per il corretto funzionamento è necessario che i gateway possano accedere ai controller di gestione. Per assicurare la disponibilità del gateway, l'opzione Propagazione route BGP deve essere impostata su "Abilitato" in GatewaySubnet. Se la propagazione della route BGP è impostata su disabilitata, il gateway non funzionerà.
La diagnostica, il percorso dati e il percorso di controllo possono essere interessati se una route definita dall'utente si sovrappone all'intervallo di subnet del gateway o all'intervallo ip pubblico del gateway.
Gateway di rete locali
Un gateway di rete locale è diverso da un gateway di rete virtuale. Se si utilizza un'architettura da sito a sito del Gateway VPN, il gateway di rete locale rappresenta solitamente la rete locale e il dispositivo VPN corrispondente.
Quando si configura un gateway di rete locale, si specifica il nome, l'indirizzo IP pubblico o il nome di dominio completo (FQDN) del dispositivo VPN locale, come anche i prefissi di indirizzo che si trovano nel percorso locale. Azure esamina i prefissi di indirizzo di destinazione per il traffico di rete, consulta la configurazione specificata per il gateway di rete locale e indirizza i pacchetti di conseguenza. Se si usa Border Gateway Protocol (BGP) nel dispositivo VPN, si dovrà specificare l'indirizzo IP peer BGP del dispositivo VPN e il numero del sistema autonomo (ASN) della rete locale. È anche possibile specificare i gateway di rete locale per le configurazioni da rete virtuale a rete virtuale che usano una connessione di gateway VPN.
L'esempio seguente di PowerShell consente di creare un nuovo gateway di rete locale:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Talvolta è necessario modificare le impostazioni di gateway di rete locale. Ad esempio, quando si aggiunge o si modifica l'intervallo di indirizzi oppure se viene modificato l'indirizzo IP del dispositivo VPN. Per altre informazioni, vedere Modificare le impostazioni del gateway di rete locale.
API REST, cmdlet di PowerShell e interfaccia della riga di comando
Per altre risorse tecniche e requisiti di sintassi specifici quando si usano le API REST, i cmdlet PowerShell o l'interfaccia della riga di comando di Azure per le configurazioni di Gateway VPN, vedere le pagine seguenti:
Passaggi successivi
Per altre informazioni sulle configurazioni delle connessioni disponibili, vedere Informazioni sul gateway VPN.