Decisões de roteamento VPN

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

As rotas de rede são necessárias para a pilha saber qual interface usar para o tráfego de saída. Um dos pontos de decisão mais importantes para a configuração VPN é se você deseja enviar todos os dados via VPN (encapsulamento de força) ou apenas alguns dados via VPN (encapsulamento de divisão). A decisão afeta a configuração, o planeamento de capacidade e as expetativas de segurança da ligação.

Configuração do encapsulamento de divisão

Em uma configuração de encapsulamento de divisão, as rotas podem ser especificadas para passar pela VPN, e o restante do tráfego passará pela interface física.

As rotas podem ser configuradas com a VPNv2/<ProfileName>/RouteList definição no Fornecedor de Serviços de Configuração (CSP) VPNv2.

Para cada item de rota na lista, pode configurar as seguintes opções:

• Endereço: VPNv2/<ProfileName>/RouteList/<routeRowId>/Address
• Tamanho do prefixo: VPNv2/<ProfileName>/RouteList/<routeRowId>/Prefix
• Rota de exclusão: VVPNv2/<ProfileName>/RouteList/<routeRowId>/ExclusionRoute

Com a VPN do Windows, pode especificar rotas de exclusão que não devem passar pela interface física.

As rotas também podem ser adicionadas no momento da conexão por meio do servidor para aplicativos de VPN UWP.

Configuração de encapsulamento de força

Em uma configuração de encapsulamento de força, todo o tráfego passará pela VPN. O túnel de força é a configuração predefinida e entra em vigor quando não são especificadas rotas.

A única implicação do túnel de força é a manipulação de entradas de encaminhamento: as rotas predefinidas VPN V4 e V6 (por exemplo , 0.0.0.0/0) são adicionadas à tabela de encaminhamento com uma métrica inferior à das outras interfaces. Esta configuração envia tráfego através da VPN, desde que não exista uma rota específica na interface física:

• Para a VPN incorporada, a decisão é controlada com a definição de MDM VPNv2/ProfileName/NativeProfile/RoutingPolicyType
• Para um plug-in de VPN UWP, a aplicação controla a propriedade. Se o plug-in de VPN indicar a rota predefinida para IPv4 e IPv6 como as duas únicas rotas de Inclusão, a plataforma VPN marca a ligação como Force Tunneled

Configurar roteamento

Consulte Opções de perfil de VPN e CSP VPNv2 para saber a configuração XML.

Quando configura um perfil VPN no Microsoft Intune, pode ativar a configuração do túnel dividido:

Depois de ativada, pode adicionar as rotas que devem utilizar a ligação VPN.