Klien VPN Azure - konfigurasi pengaturan DNS opsional dan perutean

Artikel ini membantu Anda mengonfigurasi pengaturan opsional untuk koneksi Azure VPN Client for VPN Gateway point-to-site (P2S). Anda dapat mengonfigurasi akhiran DNS, server DNS kustom, rute kustom, dan penerowongan paksa sisi klien VPN.

Catatan

Klien Azure VPN hanya didukung untuk koneksi protokol OpenVPN®.

Prasyarat

Langkah-langkah dalam artikel ini mengasumsikan bahwa Anda mengonfigurasi gateway P2S anda dan mengunduh Klien Azure VPN untuk menyambungkan komputer klien. Untuk langkah-langkahnya, lihat artikel berikut ini:

• Autentikasi sertifikat
• Autentikasi Microsoft Entra ID

Bekerja dengan file konfigurasi profil klien VPN

Langkah-langkah dalam artikel ini mengharuskan Anda mengubah dan mengimpor file konfigurasi profil Klien Azure VPN. File konfigurasi profil berikut dibuat, tergantung pada jenis autentikasi yang dikonfigurasi untuk gateway VPN P2S Anda.

• azurevpnconfig.xml: File ini dihasilkan ketika hanya satu jenis autentikasi yang dipilih.
• azurevpnconfig_aad.xml: File ini dihasilkan untuk autentikasi ID Microsoft Entra ketika ada beberapa jenis autentikasi yang dipilih.
• azurevpnconfig_cert.xml: File ini dibuat untuk autentikasi Sertifikat ketika ada beberapa jenis autentikasi yang dipilih.

Untuk bekerja dengan file konfigurasi profil klien VPN (file xml), gunakan langkah-langkah berikut:

1. Temukan file konfigurasi profil dan buka menggunakan editor pilihan Anda.

2. Menggunakan contoh di bagian berikut, ubah file seperlunya, lalu simpan perubahan Anda.

3. Impor file untuk mengonfigurasi klien Azure VPN. Anda dapat mengimpor file untuk Klien Azure VPN menggunakan metode ini:

   • Antarmuka Klien Azure VPN: Buka Klien Azure VPN lalu pilih + lalu Impor. Temukan file .xml yang dimodifikasi. Konfigurasikan pengaturan tambahan apa pun di antarmuka Klien Azure VPN (jika perlu), lalu pilih Simpan.

   • Prompt baris perintah: Tempatkan file xml konfigurasi yang diunduh yang sesuai di folder %userprofile%\AppData\Local\Packages\Microsoft.AzureVpn_8wekyb3d8bbwe\LocalState , lalu jalankan perintah yang sesuai dengan nama file konfigurasi. Contohnya,azurevpn -i azurevpnconfig_aad.xml. Untuk memaksa impor, gunakan pengalih -f .

DNS

Menambahkan akhiran DNS

Catatan

Saat ini, akhiran DNS tambahan untuk Klien Azure VPN tidak dihasilkan dalam format yang dapat digunakan dengan benar oleh macOS. Nilai yang ditentukan untuk akhiran DNS tidak disimpan untuk macOS.

Untuk menambahkan akhiran DNS, ubah file XML profil yang diunduh dan tambahkan tag <dnssuffixes><dnssufix></dnssufix></dnssuffixes>.

<azvpnprofile>
<clientconfig>

    <dnssuffixes>
          <dnssuffix>.mycorp.com</dnssuffix>
          <dnssuffix>.xyz.com</dnssuffix>
          <dnssuffix>.etc.net</dnssuffix>
    </dnssuffixes>

</clientconfig>
</azvpnprofile>

Tambahkan server DNS khusus

Untuk menambahkan server DNS kustom, ubah file XML profil yang diunduh dan tambahkan >.

<azvpnprofile>
<clientconfig>

    <dnsservers>
        <dnsserver>x.x.x.x</dnsserver>
            <dnsserver>y.y.y.y</dnsserver>
    </dnsservers>

</clientconfig>
</azvpnprofile>

Catatan

Saat menggunakan autentikasi ID Microsoft Entra, Klien Azure VPN menggunakan entri Dns Name Resolution Policy Table (NRPT), yang berarti server DNS tidak tercantum di bawah output ipconfig /all. Untuk mengonfirmasi pengaturan DNS yang digunakan, lihat Get-DnsClientNrptPolicy di PowerShell.

Perutean

Penerowongan terbagi

Penerowongan terpisah dikonfigurasi secara default untuk klien VPN.

Penerowongan paksa

Anda dapat mengonfigurasi penerowongan paksa untuk mengarahkan semua lalu lintas ke terowongan VPN. Penerowongan paksa dapat dikonfigurasi menggunakan dua metode yang berbeda; baik dengan mengiklankan rute kustom, atau dengan memodifikasi file XML profil.

Catatan

Konektivitas internet tidak disediakan melalui gateway VPN. Akibatnya, semua lalu lintas yang menuju ke Internet terputus.

• Mengiklankan rute kustom: Anda dapat mengiklankan rute 0.0.0.0/1 kustom dan 128.0.0.0/1.

• XML Profil: Anda dapat mengubah file xml profil yang diunduh dan menambahkan tag <includeroutes><route><destination><mask></destination></mask></route></includeroutes>

Untuk Klien Azure VPN untuk Windows:

• Versi 2.1900:39.0 atau lebih tinggi. Anda dapat menyertakan rute 0/0. Ubah file xml profil yang diunduh dan tambahkan tag <includeroutes><route><destination><mask></destination></mask></route></includeroutes>. Pastikan untuk memperbarui nomor versi ke 2.
• Versi yang lebih rendah dari 2.1900:39.0: Anda perlu menambahkan dua rute kustom: 0.0.0.0/1 dan 128.0.0.0/1.

Untuk Klien Azure VPN di macOS:

• macOS versi 14 atau lebih tinggi. Hanya rute kustom 0/0 yang didukung. Rute 0.0.0.0/1 dan 128.0.0.0/1 tidak didukung.

Anda dapat menyertakan rute 0.0.0.0/0 kustom dalam file xml:

 <azvpnprofile>
 <clientconfig>

   <includeroutes>
       <route>
           <destination>0.0.0.0</destination><mask>0</mask>
       </route>
   </includeroutes>

 </clientconfig>
 </azvpnprofile>

Anda dapat menambahkan rute 0.0.0.0/1 kustom dan 128.0.0.0/1 dalam file xml:

<azvpnprofile>
<clientconfig>

 <includeroutes>
     <route>
         <destination>0.0.0.0</destination><mask>1</mask>
     </route>
     <route>
         <destination>128.0.0.0</destination><mask>1</mask>
     </route>
 </includeroutes>

</clientconfig>
</azvpnprofile>

Catatan

• Status default untuk tag clientconfig adalah <clientconfig i:nil="true" />, yang dapat dimodifikasi berdasarkan persyaratan.
• Tag konfigurasi klien duplikat tidak didukung di macOS, jadi pastikan tag clientconfig tidak diduplikasi dalam file XML.

Tambahkan rute kustom

Anda dapat menambahkan rute kustom. Ubah file XML profil yang diunduh dan tambahkan tag <includeroutes><route><destination><mask></destination></mask></route></includeroutes>.

<azvpnprofile>
<clientconfig>

    <includeroutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
                <destination>y.y.y.y</destination><mask>24</mask>
            </route>
    </includeroutes>

</clientconfig>
</azvpnprofile>

Memblokir (mengecualikan) rute

Kemampuan untuk sepenuhnya memblokir rute tidak didukung oleh Klien Azure VPN. Klien Azure VPN tidak mendukung penghapusan rute dari tabel perutean lokal. Sebagai gantinya, Anda dapat mengecualikan rute dari antarmuka VPN. Ubah file XML profil yang diunduh dan tambahkan tag <excluderoutes><<route><destination><mask></destination></mask></route></excluderoutes>.

<azvpnprofile>
<clientconfig>

    <excluderoutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
            <destination>y.y.y.y</destination><mask>24</mask>
        </route>
    </excluderoutes>

</clientconfig>
</azvpnprofile>

Catatan

• Untuk menyertakan/mengecualikan beberapa rute tujuan, letakkan setiap alamat tujuan di bawah tag rute terpisah (seperti yang ditunjukkan pada contoh di atas), karena beberapa alamat tujuan dalam satu tag rute tidak akan berfungsi.
• Jika Anda mengalami kesalahan "Tujuan tidak boleh kosong atau memiliki lebih dari satu entri di dalam tag rute", periksa file XML profil dan pastikan bahwa bagian includeroutes/excluderoutes hanya memiliki satu alamat tujuan di dalam tag rute.

Informasi versi Klien Azure VPN

Untuk informasi versi Klien Azure VPN, lihat Versi Klien Azure VPN.

Langkah berikutnya

Untuk informasi selengkapnya tentang P2S VPN, lihat artikel berikut ini:

• Tentang VPN point-to-site
• Tentang perutean VPN titik-ke-situs
• Mengiklankan rute kustom untuk klien P2S VPN