Creare una connessione VPN da sito a sito - Interfaccia della riga di comando di Azure

Questo articolo illustra come usare l'interfaccia della riga di comando di Azure per creare una connessione gateway VPN da sito a sito (S2S) dalla rete locale a una rete virtuale.

Una connessione gateway VPN da sito a sito viene usata per connettere la rete locale a una rete virtuale di Azure tramite un tunnel VPN IPsec/IKE (IKEv1 o IKEv2). Questo tipo di connessione richiede un dispositivo VPN che si trova in locale con un indirizzo IP pubblico esterno assegnato. I passaggi descritti in questo articolo creano una connessione tra il gateway VPN e il dispositivo VPN locale usando una chiave condivisa. Per altre informazioni al riguardo, vedere Informazioni sul gateway VPN.

Operazioni preliminari

Verificare che l'ambiente soddisfi i criteri seguenti prima di iniziare la configurazione:

• Verificare di avere un gateway VPN basato su route funzionante. Per creare un gateway VPN, vedere Creare un gateway VPN.

• Se non si ha familiarità con gli intervalli degli indirizzi IP disponibili nella configurazione della rete locale, è necessario coordinarsi con qualcuno che possa fornire tali dettagli. Quando si crea questa configurazione, è necessario specificare i prefissi degli intervalli di indirizzi IP che Azure instraderà alla posizione in locale. Nessuna delle subnet della rete locale può sovrapporsi alle subnet della rete virtuale a cui ci si vuole connettere.

• Dispositivi VPN:

  • Verificare di avere un dispositivo VPN compatibile e che sia presente un utente che possa configurarlo. Per altre informazioni sui dispositivi VPN compatibili e sulla configurazione dei dispositivi, vedere Informazioni sui dispositivi VPN.
  • Determinare se il dispositivo VPN supporta gateway in modalità active-active. In questo articolo si creerà un gateway VPN in modalità attiva, consigliato per la connettività a disponibilità elevata. La modalità attiva-attiva specifica che entrambe le istanze della macchina virtuale del gateway sono attive. Questa modalità richiede due indirizzi IP pubblici, uno per ogni istanza di macchina virtuale del gateway. Configurare il dispositivo VPN per connettersi all'indirizzo IP per ogni istanza di macchina virtuale del gateway.
    Se il dispositivo VPN non supporta questa modalità, non abilitarla per il gateway. Per altre informazioni, vedere Progettare connettività a disponibilità elevata per connessioni tra più località e da rete virtuale a rete virtuale e Informazioni sui gateway VPN in modalità attiva-attiva.

• Questo articolo richiede la versione 2.0 dell'interfaccia della riga di comando di Azure.

  • Usare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Avvio rapido su Bash in Azure Cloud Shell.

    

  • Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.

    • Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Accedere tramite l'interfaccia della riga di comando di Azure.

    • Quando richiesto, al primo utilizzo installare l'estensione dell'interfaccia della riga di comando di Azure. Per altre informazioni sulle estensioni, vedere Usare le estensioni con l'interfaccia della riga di comando di Azure.

    • Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.

Creare il gateway di rete locale

Il gateway di rete locale in genere fa riferimento al percorso locale. Assegnare al sito un nome che Azure possa usare come riferimento, quindi specificare l'indirizzo IP del dispositivo VPN locale con cui si creerà una connessione. Specificare anche i prefissi degli indirizzi IP che verranno instradati tramite il gateway VPN al dispositivo VPN. I prefissi degli indirizzi specificati sono quelli disponibili nella rete locale. Se la rete locale viene modificata, è possibile aggiornare facilmente i prefissi.

Usare i valori seguenti:

• --gateway-ip-address è l'indirizzo IP del dispositivo VPN locale.
• --local-address-prefixes sono gli spazi di indirizzi locali.

Usare il comando az network local-gateway create per aggiungere un gateway di rete locale. L'esempio seguente mostra un gateway di rete locale con prefissi di indirizzi multipli. Sostituire i valori con quelli personalizzati.

az network local-gateway create --gateway-ip-address [IP address of your on-premises VPN device] --name Site1 --resource-group TestRG1 --local-address-prefixes 10.3.0.0/16 10.0.0.0/24

Configurare il dispositivo VPN

Le connessioni da sito a sito verso una rete locale richiedono un dispositivo VPN. In questo passaggio viene configurato il dispositivo VPN. Quando si configura il dispositivo VPN, è necessario specificare i valori seguenti:

• Chiave condivisa: questa chiave condivisa è la stessa specificata quando si crea la connessione VPN da sito a sito. Negli esempi viene usata una chiave condivisa semplice. È consigliabile generare una chiave più complessa per l'uso effettivo.

• Indirizzi IP pubblici delle istanze del gateway di rete virtuale: ottenere l'indirizzo IP per ogni istanza di macchina virtuale. Se il gateway è in modalità attiva-attiva, si avrà un indirizzo IP per ogni istanza di macchina virtuale del gateway. Assicurarsi di configurare il dispositivo con entrambi gli indirizzi IP, uno per ogni macchina virtuale del gateway attiva. I gateway in modalità standby-attiva hanno un solo indirizzo IP.

  Per trovare l'indirizzo IP pubblico del gateway di rete virtuale, usare il comando az network public-ip list. Per facilitare la lettura, la formattazione dell'output visualizza l'elenco di IP pubblici in formato tabella. Nell'esempio VNet1GWpip1 è il nome della risorsa indirizzo IP pubblico.

  az network public-ip list --resource-group TestRG1 --output table
  

A seconda del dispositivo VPN usato, potrebbe essere possibile scaricare un apposito script di configurazione. Per altre informazioni, vedere Scaricare gli script di configurazione del dispositivo VPN.

Per altre informazioni sulla configurazione, vedere i collegamenti seguenti:

• Per informazioni sui dispositivi VPN compatibili, vedere Informazioni sui dispositivi VPN.

• Prima di configurare il dispositivo VPN, verificare la presenza di eventuali problemi noti di compatibilità del dispositivo.

• Per collegamenti alle impostazioni di configurazione dei dispositivi, vedere Dispositivi VPN convalidati. Sono disponibili collegamenti di configurazione del dispositivo il più esaurienti possibile, ma è sempre consigliabile rivolgersi al produttore del dispositivo per ottenere le informazioni di configurazione più recenti.

  L'elenco mostra le versioni testate. Se la versione del sistema operativo per il proprio dispositivo VPN non è presente nell'elenco, potrebbe comunque essere compatibile. Rivolgersi al produttore del dispositivo.

• Per informazioni di base sulla configurazione dei dispositivi VPN, vedere Panoramica delle configurazioni dei dispositivi VPN dei partner.

• Per informazioni sulla modifica degli esempi, vedere Modifica degli esempi di configurazione di dispositivo.

• Per i requisiti di crittografia, vedere About cryptographic requirements and Azure VPN gateways (Informazioni sui requisiti di crittografia e i gateway VPN di Azure).

• Per informazioni sui parametri necessari per completare la configurazione, vedere Parametri IPsec/IKE predefiniti. Le informazioni includono la versione IKE, il gruppo Diffie-Hellman (DH), il metodo di autenticazione, gli algoritmi di crittografia e hash, la durata dell'associazione di sicurezza (SA), l'impostazione PFS (Perfect Forward Secrecy) e il rilevamento di peer non recapitabili (DPD).

• Per i passaggi di configurazione dei criteri IPsec/IKE, vedere Configurare criteri di connessione IPsec/IKE personalizzati per VPN da sito a sito e da rete virtuale a rete virtuale.

• Per connettere più dispositivi VPN basati su criteri, vedere Connettere un gateway VPN a più dispositivi VPN basati su criteri locali basati su criteri.

Creare la connessione VPN

Creare una connessione VPN da sito a sito tra il gateway di rete virtuale e il dispositivo VPN locale. Se si usa un gateway in modalità attiva-attiva (scelta consigliata), ogni istanza della macchina virtuale del gateway ha un indirizzo IP diverso. Per configurare correttamente la connettività a disponibilità elevata, è necessario stabilire un tunnel tra ogni istanza di macchina virtuale e il dispositivo VPN. Entrambi i tunnel fanno parte della stessa connessione.

Creare la connessione usando il comando az network vpn-connection create. La chiave condivisa deve corrispondere al valore utilizzato per la configurazione del dispositivo VPN.

az network vpn-connection create --name VNet1toSite1 --resource-group TestRG1 --vnet-gateway1 VNet1GW -l eastus --shared-key abc123 --local-gateway2 Site1

La connessione verrà stabilita in breve tempo.

Verificare la connessione VPN

È possibile verificare se la connessione è riuscita usando il comando az network vpn-connection show. Il valore '--name' nell'esempio fa riferimento al nome della connessione che si vuole testare. Mentre è in corso l'operazione per stabilire la connessione, lo stato della connessione è "Connecting". Dopo che la connessione è stata stabilita, lo stato diventa "Connected". Modificare l'esempio seguente con i valori per l'ambiente in uso.

az network vpn-connection show --name <connection-name> --resource-group <resource-group-name>

Per usare un altro metodo per verificare la connessione, vedere Verificare una connessione di Gateway VPN.

Attività comuni

Questa sezione contiene i comandi comuni che risultano utili quando si usano configurazioni da sito a sito. Per l'elenco completo dei comandi di rete dell'interfaccia della riga di comando, vedere Azure CLI - Networking (Interfaccia della riga di comando di Azure - Rete).

Per visualizzare i gateway di rete locali

Per visualizzare un elenco di gateway di rete locali, usare il comando az network local-gateway list.

az network local-gateway list --resource-group TestRG1

Per modificare i prefissi degli indirizzi IP del gateway di rete locale senza connessione gateway

Se si vogliono aggiungere o rimuovere prefissi di indirizzi IP e il gateway non ha ancora una connessione, è possibile aggiornare i prefissi usando az network local-gateway create. Per sovrascrivere le impostazioni correnti, usare il nome esistente del gateway di rete locale. Se si usa un nome diverso, creare un nuovo gateway di rete locale, invece di sovrascrivere il valore esistente. È anche possibile usare questo comando per aggiornare l'indirizzo IP del gateway per il dispositivo VPN.

Ogni volta che si apporta una modifica, deve essere specificato l'intero elenco di prefissi, non solo quelli che si vuole modificare. Specificare solo i prefissi da mantenere. In questo caso, 10.0.0.0/24 e 10.3.0.0/16

az network local-gateway create --gateway-ip-address 23.99.221.164 --name Site2 -g TestRG1 --local-address-prefixes 10.0.0.0/24 10.3.0.0/16

Per modificare i prefissi degli indirizzi IP del gateway di rete locale con connessione gateway esistente

Se si ha una connessione gateway e si vogliono aggiungere o rimuovere prefissi degli indirizzi IP, è possibile aggiornare i prefissi usando il comando az network local-gateway update. Questo comporterà periodi di inattività per la connessione VPN.

Ogni volta che si apporta una modifica, deve essere specificato l'intero elenco di prefissi, non solo quelli che si vuole modificare. In questo esempio sono già presenti 10.0.0.0/24 e 10.3.0.0/16. Aggiungere i prefissi 10.5.0.0/16 e 10.6.0.0/16 e specificare tutti i 4 dei prefissi durante l'aggiornamento.

az network local-gateway update --local-address-prefixes 10.0.0.0/24 10.3.0.0/16 10.5.0.0/16 10.6.0.0/16 --name VNet1toSite2 -g TestRG1

Per modificare il gateway di rete locale 'gatewayIpAddress'

Se si modifica l'indirizzo IP pubblico per il dispositivo VPN, è necessario modificare il gateway di rete locale con l'indirizzo IP aggiornato. Quando si modifica il gateway, assicurarsi di specificare il nome esistente del gateway di rete locale. Se si usa un nome diverso, si crea un nuovo gateway di rete locale anziché sovrascrivere le informazioni del gateway esistenti.

Per modificare l'indirizzo IP del gateway, sostituire i valori 'Site2' e 'TestRG1' con i valori personalizzati usando il comando az network local-gateway update.

az network local-gateway update --gateway-ip-address 23.99.222.170 --name Site2 --resource-group TestRG1

Verificare che l'indirizzo IP sia corretto nell'output:

"gatewayIpAddress": "23.99.222.170",

Per verificare i valori della chiave condivisa

Verificare che il valore della chiave condivisa sia lo stesso usato per la configurazione del dispositivo VPN. In caso contrario, eseguire di nuovo la connessione usando il valore del dispositivo o aggiornare il dispositivo con il valore restituito. I valori devono corrispondere. Per visualizzare la chiave condivisa, usare il comando az network vpn-connection-list.

az network vpn-connection shared-key show --connection-name VNet1toSite2 --resource-group TestRG1

Per visualizzare l'indirizzo IP pubblico del gateway VPN

Per trovare l'indirizzo IP pubblico del gateway di rete virtuale, usare il comando az network public-ip list. Per facilitare la lettura, la formattazione dell'output di questo esempio visualizza l'elenco di IP pubblici in formato tabella.

az network public-ip list --resource-group TestRG1 --output table

Passaggi successivi

• Per informazioni su BGP, vedere Informazioni generali di BGP e Come configurare BGP.
• Per informazioni sul tunneling forzato, vedere Informazioni sul tunneling forzato.
• Per informazioni sulle connessioni attive-attive a disponibilità elevata, vedere Connettività cross-premise e da rete virtuale a rete virtuale a disponibilità elevata.
• Per un elenco di comandi dell'interfaccia della riga di comando di Azure di rete, vedere Azure CLI (Interfaccia della riga di comando di Azure).
• Per informazioni sulla creazione di una connessione VPN da sito a sito usando il modello di Azure Resource Manager, vedere Creare una connessione VPN da sito a sito.
• Per informazioni sulla creazione di una connessione VPN da rete virtuale a rete virtuale con il modello di Azure Resource Manager, vedere Distribuire la replica geografica HBase.