VPN ルーティングの決定
ネットワーク ルートは、送信トラフィックに使用するインターフェイスをスタックで判断する際に必要となります。 VPN 構成に関する最も重要な決定事項の 1 つは、すべてのデータを VPN 経由で送信するか (強制トンネル)、または一部のデータのみを VPN 経由で送信するか (分割トンネル) という点です。 この決定は、接続からの構成、容量計画、およびセキュリティの期待に影響します。
分割トンネル構成
分割トンネル構成では、VPN を経由するようにルートを指定することができ、他のすべてのトラフィックは物理インターフェイスを経由します。
ルートは、VPNv2 構成サービス プロバイダー (CSP) の設定を使用してVPNv2/<ProfileName>/RouteList構成できます。
一覧の各ルート 項目に対して、次のオプションを構成できます。
-
アドレス:
VPNv2/<ProfileName>/RouteList/<routeRowId>/Address -
プレフィックス サイズ:
VPNv2/<ProfileName>/RouteList/<routeRowId>/Prefix -
除外ルート: V
VPNv2/<ProfileName>/RouteList/<routeRowId>/ExclusionRoute
Windows VPN では、物理インターフェイスを経由してはならない除外ルートを指定できます。
ルートは、UWP VPN アプリ用のサーバーを介して接続するときに追加することもできます。
強制トンネル構成
強制トンネル構成では、すべてのトラフィックが VPN を経由します。 強制トンネルは既定の構成であり、ルートが指定されていない場合に有効になります。
フォース トンネルの唯一の影響は、ルーティング エントリの操作です。VPN V4 と V6 の既定のルート ( 0.0.0.0/0 など) は、他のインターフェイスのメトリックよりも低いメトリックでルーティング テーブルに追加されます。 この構成は、物理インターフェイスに特定のルートがない限り、VPN 経由でトラフィックを送信します。
- 組み込みの VPN の場合、MDM 設定を使用して決定が制御されます
VPNv2/ProfileName/NativeProfile/RoutingPolicyType - UWP VPN プラグインの場合、アプリは プロパティを制御します。 VPN プラグインが IPv4 と IPv6 の既定のルートを唯一の 2 つの包含ルートとして示している場合、VPN プラットフォームは接続を強制的にトンネリング済みとしてマークします
ルーティングの構成
XML 構成については、「VPN プロファイル オプション」と「VPNv2 CSP」をご覧ください。
Microsoft Intuneで VPN プロファイルを構成する場合は、スプリット トンネル構成を有効にすることができます。
有効にすると、VPN 接続を使用する必要があるルートを追加できます。