Ankündigen von benutzerdefinierten Routen für P2S-VPN-Clients

  • Artikel

Möglicherweise möchten Sie benutzerdefinierte Routen für alle Ihre Point-to-Site-Clients ankündigen. Beispielsweise dann, wenn Sie Speicherendpunkte in Ihrem VNET aktiviert haben und möchten, dass die Remotebenutzer über die VPN-Verbindung auf diese Speicherkonten zugreifen können. Sie können die IP-Adresse des Speicherendpunkts für alle Remotebenutzer ankündigen, damit der Datenverkehr zum Speicherkonto über den VPN-Tunnel und nicht über das öffentliche Internet geleitet wird. Sie können auch die benutzerdefinierten Routen verwenden, um das erzwungene Tunneling für VPN-Clients zu konfigurieren.

Diagramm der Ankündigung benutzerdefinierter Routen

Azure-Portal

Sie können benutzerdefinierte Routen mithilfe des Azure-Portals auf der Seite für die Point-to-Site-Konfiguration anzeigen. Sie können mithilfe dieser Schritte auch benutzerdefinierte Routen anzeigen und ändern/löschen. Wenn Sie das erzwungene Tunneling konfigurieren möchten, lesen Sie den Abschnitt Erzwungenes Tunneling in diesem Artikel.

Screenshot: Zusätzliche Routen im Portal

  1. Navigieren Sie zum Gateway des virtuellen Netzwerks.
  2. Wählen Sie im linken Navigationsbereich Point-to-Site-Konfiguration aus.
  3. Fügen Sie auf der Seite „Point-to-Site-Konfiguration“ die Routen hinzu. Verwenden Sie keine Leerzeichen.
  4. Wählen Sie im oberen Bereich der Seite Speichern aus.

PowerShell

Wenn Sie benutzerdefinierte Routen ankündigen möchten, verwenden Sie das Set-AzVirtualNetworkGateway cmdlet. Im folgenden Beispiel wird gezeigt, wie Sie die IP-Adresse für die Contoso-Speicherkontotabellen ankündigen.

  1. Pingen Sie contoso.table.core.windows.net, und notieren Sie sich die IP-Adresse. Beispiel:

    C:\>ping contoso.table.core.windows.net
Pinging table.by4prdstr05a.store.core.windows.net [13.88.144.250] with 32 bytes of data:

  2. Führen Sie die folgenden PowerShell-Befehle aus:

    $gw = Get-AzVirtualNetworkGateway -Name <name of gateway> -ResourceGroupName <name of resource group>
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -CustomRoute 13.88.144.250/32

  3. Verwenden Sie zum Hinzufügen mehrerer benutzerdefinierter Routen ein Komma und Leerzeichen, um die Adressen voneinander zu trennen. Beispiel:

    Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -CustomRoute x.x.x.x/xx , y.y.y.y/yy

Anzeigen benutzerdefinierter Routen

Verwenden Sie das folgende Beispiel, um benutzerdefinierte Routen anzuzeigen:

$gw = Get-AzVirtualNetworkGateway -Name <name of gateway> -ResourceGroupName <name of resource group>
$gw.CustomRoutes | Format-List

Löschen benutzerdefinierter Routen

Verwenden Sie das folgende Beispiel, um benutzerdefinierte Routen zu löschen:

$gw = Get-AzVirtualNetworkGateway -Name <name of gateway> -ResourceGroupName <name of resource group>
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -CustomRoute @0

Tunnelerzwingung

Sie können den gesamten Datenverkehr an den VPN-Tunnel leiten, indem Sie 0.0.0.0/1 und 128.0.0.0/1 als benutzerdefinierte Routen an die Clients ankündigen. Der Grund für die Aufteilung von 0.0.0.0/0 in zwei kleinere Subnetze ist, dass diese kleineren Präfixe spezifischer sind als die Standardroute, die möglicherweise bereits auf dem lokalen Netzwerkadapter konfiguriert ist und daher beim Weiterleiten von Datenverkehr bevorzugt wird.

Hinweis

Internetkonnektivität wird nicht über das VPN-Gateway bereitgestellt. Daher wird der für das Internet gebundene Datenverkehr verworfen.

Verwenden Sie die folgenden Befehle, um das erzwungene Tunneln zu aktivieren:

$gw = Get-AzVirtualNetworkGateway -Name <name of gateway> -ResourceGroupName <name of resource group>
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -CustomRoute 0.0.0.0/1 , 128.0.0.0/1

Nächste Schritte

Weitere Informationen zum P2S-Routing finden Sie unter Informationen zum Point-to-Site-Routing.