Udostępnij za pośrednictwem

Klient sieci VPN platformy Azure — konfigurowanie opcjonalnych ustawień DNS i routingu

  • Artykuł

Ten artykuł pomaga skonfigurować opcjonalne ustawienia dla klienta sieci VPN platformy Azure dla połączeń punkt-lokacja bramy sieci VPN (P2S). Można skonfigurować sufiksy DNS, niestandardowe serwery DNS, trasy niestandardowe i wymuszone tunelowanie po stronie klienta sieci VPN.

Uwaga

Klient sieci VPN platformy Azure jest obsługiwany tylko w przypadku połączeń protokołu OpenVPN®.

Wymagania wstępne

W krokach opisanych w tym artykule przyjęto założenie, że skonfigurowano bramę punkt-lokacja i pobrano klienta sieci VPN platformy Azure do łączenia komputerów klienckich. Aby uzyskać instrukcje, zobacz następujące artykuły:

Praca z plikami konfiguracji profilu klienta sieci VPN

Kroki opisane w tym artykule wymagają zmodyfikowania i zaimportowania pliku konfiguracji profilu klienta sieci VPN platformy Azure. Następujące pliki konfiguracji profilu są generowane w zależności od typów uwierzytelniania skonfigurowanych dla bramy sieci VPN typu punkt-lokacja.

  • azurevpnconfig.xml: ten plik jest generowany w przypadku wybrania tylko jednego typu uwierzytelniania.
  • azurevpnconfig_aad.xml: ten plik jest generowany dla uwierzytelniania identyfikatora Entra firmy Microsoft, jeśli wybrano wiele typów uwierzytelniania.
  • azurevpnconfig_cert.xml: ten plik jest generowany na potrzeby uwierzytelniania certyfikatu w przypadku wybrania wielu typów uwierzytelniania.

Aby pracować z plikami konfiguracji profilu klienta sieci VPN (plikami XML), wykonaj następujące kroki:

  1. Znajdź plik konfiguracji profilu i otwórz go przy użyciu wybranego edytora.

  2. Korzystając z przykładów w poniższych sekcjach, zmodyfikuj plik zgodnie z potrzebami, a następnie zapisz zmiany.

  3. Zaimportuj plik, aby skonfigurować klienta sieci VPN platformy Azure. Plik klienta sieci VPN platformy Azure można zaimportować przy użyciu następujących metod:

    • Interfejs klienta sieci VPN platformy Azure: otwórz klienta sieci VPN platformy Azure, a następnie kliknij pozycję + Importuj. Znajdź zmodyfikowany plik .xml, skonfiguruj wszelkie dodatkowe ustawienia w interfejsie klienta sieci VPN platformy Azure (w razie potrzeby), a następnie kliknij przycisk Zapisz.

    • Wiersz polecenia: Umieść odpowiedni pobrany plik XML konfiguracji w folderze %userprofile%\AppData\Local\Packages\Microsoft.AzureVpn_8wekyb3d8bbwe\LocalState , a następnie uruchom polecenie odpowiadające nazwie pliku konfiguracji. Na przykład azurevpn -i azurevpnconfig_aad.xml. Aby wymusić importowanie, użyj przełącznika -f .

DNS

Dodawanie sufiksów DNS

Uwaga

Obecnie dodatkowe sufiksy DNS dla klienta sieci VPN platformy Azure nie są generowane w formacie, który może być prawidłowo używany przez system macOS. Określone wartości sufiksów DNS nie są utrwalane w systemie macOS.

Aby dodać sufiksy DNS, zmodyfikuj pobrany plik XML profilu i dodaj tagi dnssufix></dnssufix><></dnssuffixes>.<

<azvpnprofile>
<clientconfig>

    <dnssuffixes>
          <dnssuffix>.mycorp.com</dnssuffix>
          <dnssuffix>.xyz.com</dnssuffix>
          <dnssuffix>.etc.net</dnssuffix>
    </dnssuffixes>

</clientconfig>
</azvpnprofile>

Dodawanie niestandardowych serwerów DNS

Aby dodać niestandardowe serwery DNS, zmodyfikuj pobrany plik XML profilu i dodaj tagi dnsservers><dnsserver<>/dnsserver></dnsservers>.<

<azvpnprofile>
<clientconfig>

    <dnsservers>
        <dnsserver>x.x.x.x</dnsserver>
            <dnsserver>y.y.y.y</dnsserver>
    </dnsservers>

</clientconfig>
</azvpnprofile>

Uwaga

W przypadku korzystania z uwierzytelniania identyfikatora entra firmy Microsoft klient sieci VPN platformy Azure korzysta z wpisów tabeli zasad rozpoznawania nazw DNS (NRPT), co oznacza, że serwery DNS nie będą wyświetlane w danych wyjściowych ipconfig /all. Aby potwierdzić ustawienia DNS w użyciu, zapoznaj się z tematem Get-DnsClientNrptPolicy w programie PowerShell.

Routing

Tunelowanie podzielone

Tunelowanie podzielone jest domyślnie skonfigurowane dla klienta sieci VPN.

Wymuszone tunelowanie

Możesz skonfigurować wymuszone tunelowanie w celu kierowania całego ruchu do tunelu VPN. Wymuszone tunelowanie można skonfigurować przy użyciu dwóch różnych metod; anonsując trasy niestandardowe lub modyfikując plik XML profilu. Jeśli używasz klienta sieci VPN platformy Azure w wersji 2.1900:39.0 lub nowszej, możesz dołączyć wartość 0/0.

Uwaga

Łączność z Internetem nie jest zapewniana za pośrednictwem bramy sieci VPN. W związku z tym cały ruch związany z Internetem zostanie porzucony.

  • Anonsuj trasy niestandardowe: możesz anonsować trasy 0.0.0.0/1 niestandardowe i 128.0.0.0/1. Aby uzyskać więcej informacji, zobacz Anonsuj trasy niestandardowe dla klientów sieci VPN P2S.

  • Plik XML profilu: możesz zmodyfikować pobrany plik XML profilu i dodać maskę<> docelową><< trasy><includeroutes></destination></mask></route></includeroutes tagi.>

    <azvpnprofile>
<clientconfig>

  <includeroutes>
      <route>
          <destination>0.0.0.0</destination><mask>1</mask>
      </route>
      <route>
          <destination>128.0.0.0</destination><mask>1</mask>
      </route>
  </includeroutes>

</clientconfig>
</azvpnprofile>

Uwaga

  • Domyślny stan tagu clientconfig to <clientconfig i:nil="true" />, który można zmodyfikować na podstawie wymagania.
  • Zduplikowany tag clientconfig nie jest obsługiwany w systemie macOS, dlatego upewnij się, że tag clientconfig nie został zduplikowany w pliku XML.

Dodawanie tras niestandardowych

Możesz dodać trasy niestandardowe. Zmodyfikuj pobrany plik XML profilu i dodaj tagi includeroutes><route><destination><mask<>/><mask></route></includeroutes>.<

<azvpnprofile>
<clientconfig>

    <includeroutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
                <destination>y.y.y.y</destination><mask>24</mask>
            </route>
    </includeroutes>

</clientconfig>
</azvpnprofile>

Blokuj (wykluczanie) tras

Możliwość całkowitego blokowania tras nie jest obsługiwana przez klienta sieci VPN platformy Azure. Klient sieci VPN platformy Azure nie obsługuje usuwania tras z lokalnej tabeli routingu. Zamiast tego można wykluczyć trasy z interfejsu sieci VPN. Zmodyfikuj pobrany plik XML profilu i dodaj maskę docelową trasy excluderoutes></destination><></mask<><>/route></excluderoutes tagów.>><<

<azvpnprofile>
<clientconfig>

    <excluderoutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
            <destination>y.y.y.y</destination><mask>24</mask>
        </route>
    </excluderoutes>

</clientconfig>
</azvpnprofile>

Uwaga

  • Aby uwzględnić/wykluczyć wiele tras docelowych, umieść każdy adres docelowy w osobnym tagu trasy (jak pokazano w powyższych przykładach), ponieważ wiele adresów docelowych w jednym tagu trasy nie będzie działać.
  • Jeśli wystąpi błąd "Miejsce docelowe nie może być puste lub ma więcej niż jeden wpis wewnątrz tagu trasy", sprawdź plik XML profilu i upewnij się, że sekcja includeroutes/excluderoutes ma tylko jeden adres docelowy wewnątrz tagu trasy.

Informacje o wersji klienta sieci VPN platformy Azure

Aby uzyskać informacje o wersji klienta sieci VPN platformy Azure, zobacz Wersje klienta sieci VPN platformy Azure.

Następne kroki

Aby uzyskać więcej informacji na temat sieci VPN P2S, zobacz następujące artykuły: