Décisions de routage VPN
Les itinéraires réseau sont nécessaires pour que la pile comprenne quelle interface utiliser pour le trafic sortant. L’un des éléments les plus importants lors de la configuration d’un VPN consiste à décider si vous voulez envoyer toutes les données par le biais d’un VPN (Forcer le tunneling) ou seulement certaines données (Fractionner le tunneling). La décision a un impact sur la configuration, la planification de la capacité et les attentes en matière de sécurité de la connexion.
Configuration de tunneling fractionné
Dans une configuration de tunneling fractionné, des itinéraires peuvent être spécifiés pour examiner le VPN et l’ensemble du trafic empruntera l’interface physique.
Les itinéraires peuvent être configurés à l’aide du VPNv2/<ProfileName>/RouteList
paramètre dans le fournisseur de services de configuration (CSP) VPNv2.
Pour chaque élément de routage de la liste, vous pouvez configurer les options suivantes :
-
Adresse :
VPNv2/<ProfileName>/RouteList/<routeRowId>/Address
-
Taille du préfixe :
VPNv2/<ProfileName>/RouteList/<routeRowId>/Prefix
-
Itinéraire d’exclusion : V
VPNv2/<ProfileName>/RouteList/<routeRowId>/ExclusionRoute
Avec le VPN Windows, vous pouvez spécifier des itinéraires d’exclusion qui ne doivent pas passer par l’interface physique.
Des itinéraires peuvent également être ajoutés au moment de la connexion par le biais du serveur pour les applications VPN UWP.
Configuration de tunneling forcé
Dans une configuration de tunneling forcé, l’ensemble du trafic passe par le VPN. Le tunnel de force est la configuration par défaut et prend effet lorsqu’aucun itinéraire n’est spécifié.
La seule implication du tunnel de force est la manipulation des entrées de routage : les itinéraires VPN V4 et V6 par défaut (par exemple 0.0.0.0/0) sont ajoutés à la table de routage avec une métrique inférieure à celle des autres interfaces. Cette configuration envoie le trafic via le VPN tant qu’il n’existe pas d’itinéraire spécifique sur l’interface physique :
- Pour le VPN intégré, la décision est contrôlée à l’aide du paramètre GPM
VPNv2/ProfileName/NativeProfile/RoutingPolicyType
- Pour un plug-in VPN UWP, l’application contrôle la propriété . Si le plug-in VPN indique l’itinéraire par défaut pour IPv4 et IPv6 comme les deux seuls itinéraires d’inclusion, la plateforme VPN marque la connexion comme étant forcée.
Configurer le routage
Pour la configuration XML, voir Options de profil VPN et Fournisseur de services de configuration (CSP) VPNv2.
Lorsque vous configurez un profil VPN dans Microsoft Intune, vous pouvez activer la configuration de tunnel fractionné :
Une fois activé, vous pouvez ajouter les itinéraires qui doivent utiliser la connexion VPN.