Client VPN di Azure: configurare le impostazioni facoltative di DNS e routing
Questo articolo illustra come configurare le impostazioni facoltative per il Client VPN di Azure per le connessioni da sito a sito del Gateway VPN. È possibile configurare suffissi DNS, server DNS personalizzati, route personalizzate e tunneling forzato lato client VPN.
Nota
Il client VPN di Azure è supportato solo per le connessioni al protocollo OpenVPN®.
Prerequisiti
I passaggi descritti in questo articolo presuppongono che il gateway da punto a sito sia stato configurato e che sia stato scaricato il Client VPN di Azure per la connessione dei computer client. Per la procedura, vedere gli articoli seguenti:
Uso dei file di configurazione del profilo client VPN
I passaggi descritti in questo articolo richiedono di modificare e importare il file di configurazione del profilo del client VPN di Azure. Vengono generati i file di configurazione del profilo seguenti, a seconda dei tipi di autenticazione configurati per il gateway VPN da sito a sito.
- azurevpnconfig.xml: questo file viene generato quando viene selezionato un solo tipo di autenticazione.
- azurevpnconfig_aad.xml: questo file viene generato per l'autenticazione di Microsoft Entra ID quando sono selezionati più tipi di autenticazione.
- azurevpnconfig_cert.xml: questo file viene generato per l'autenticazione del certificato quando sono selezionati più tipi di autenticazione.
Per usare i file di configurazione del profilo client VPN (file xml), seguire questa procedura:
Individuare il file di configurazione del profilo e aprirlo usando l'editor preferito.
Usando gli esempi nelle sezioni seguenti, modificare il file in base alle esigenze, quindi salvare le modifiche.
Importare il file per configurare il client VPN di Azure. È possibile importare il file per il client VPN di Azure usando questi metodi:
Interfacciaclient VPN di Azure: aprire il client VPN di Azure e fare clic su + e successivamente su Importa. Individuare il file XML modificato, configurare eventuali impostazioni aggiuntive nell'interfaccia client VPN di Azure (se necessario), quindi fare clic su Salva.
Prompt della riga di comando: posizionare il file XML di configurazione scaricato appropriato nella cartella %userprofile%\AppData\Local\Packages\Microsoft.AzureVpn_8wekyb3d8bbwe\LocalState, quindi eseguire il comando corrispondente al nome del file di configurazione. Ad esempio:
azurevpn -i azurevpnconfig_aad.xml
. Per forzare l'importazione, usare lo switch -f.
DNS
Aggiungere i suffissi DNS
Nota
Al momento, i suffissi DNS aggiuntivi per il Client VPN di Azure non vengono generati in un formato che può essere usato correttamente da macOS. I valori specificati per i suffissi DNS non vengono mantenuti per macOS.
Per aggiungere suffissi DNS, modificare il file XML del profilo scaricato e aggiungere i tag <dnssuffixes><dnssufix></dnssufix></dnssuffixes>.
<azvpnprofile>
<clientconfig>
<dnssuffixes>
<dnssuffix>.mycorp.com</dnssuffix>
<dnssuffix>.xyz.com</dnssuffix>
<dnssuffix>.etc.net</dnssuffix>
</dnssuffixes>
</clientconfig>
</azvpnprofile>
Aggiungere server DNS personalizzati
Per aggiungere server DNS personalizzati, modificare il file XML del profilo scaricato e aggiungere i tag <dnsservers><dnsserver></dnsserver></dnsservers>.
<azvpnprofile>
<clientconfig>
<dnsservers>
<dnsserver>x.x.x.x</dnsserver>
<dnsserver>y.y.y.y</dnsserver>
</dnsservers>
</clientconfig>
</azvpnprofile>
Nota
Quando si usa l'autenticazione Microsoft Entra ID, il Client VPN di Azure utilizza voci NRPT (DNS Name Resolution Policy Table), il che significa che i server DNS non verranno elencati sotto l'output di ipconfig /all
. Per confermare le impostazioni DNS in uso, vedere Get-DnsClientNrptPolicy in PowerShell.
Definizione dei percorsi di trasferimento
Split tunneling
Il tunneling di divisione è configurato per impostazione predefinita per il client VPN.
Tunneling forzato
È possibile configurare il tunneling forzato per indirizzare tutto il traffico al tunnel VPN. Il tunneling forzato può essere configurato usando due metodi diversi; tramite la pubblicità di route personalizzate o modificando il file XML del profilo. Se si usa il client VPN di Azure versione 2.1900:39.0 o successiva, è possibile includere 0/0.
Nota
La connettività Internet non viene fornita tramite il gateway VPN. Di conseguenza, tutto il traffico associato a Internet viene eliminato.
Pubblicizzare route personalizzate: è possibile annunciare route personalizzate
0.0.0.0/1
e128.0.0.0/1
. Per altre informazioni, vedere Annunciare route personalizzate per i client VPN da sito a sito.XML del profilo: è possibile modificare il file XML del profilo scaricato e aggiungere i tag <includeroutes><route><destination><mask></destination></mask></route></includeroutes>.
<azvpnprofile> <clientconfig> <includeroutes> <route> <destination>0.0.0.0</destination><mask>1</mask> </route> <route> <destination>128.0.0.0</destination><mask>1</mask> </route> </includeroutes> </clientconfig> </azvpnprofile>
Nota
- Lo stato predefinito per il tag clientconfig è
<clientconfig i:nil="true" />
, che può essere modificato in base al requisito. - Un tag clientconfig duplicato non è supportato in macOS, quindi assicurarsi che il tag clientconfig non sia duplicato nel file XML.
Aggiungere route personalizzate
È possibile aggiungere route personalizzate. Modificare il file XML del profilo scaricato e aggiungere i tag <includeroutes><route>< destination><mask></destination></mask></route></includeroutes>.
<azvpnprofile>
<clientconfig>
<includeroutes>
<route>
<destination>x.x.x.x</destination><mask>24</mask>
</route>
<route>
<destination>y.y.y.y</destination><mask>24</mask>
</route>
</includeroutes>
</clientconfig>
</azvpnprofile>
Blocca (escludi) route
La possibilità di bloccare completamente le route non è supportata dal client VPN di Azure. Il client VPN di Azure non supporta l'eliminazione di route dalla tabella di routing locale. È invece possibile escludere route dall'interfaccia VPN. Modificare il file XML del profilo scaricato e aggiungere i tag <excluderoutes><route>< destination><mask></destination></mask></route></excluderoutes>.
<azvpnprofile>
<clientconfig>
<excluderoutes>
<route>
<destination>x.x.x.x</destination><mask>24</mask>
</route>
<route>
<destination>y.y.y.y</destination><mask>24</mask>
</route>
</excluderoutes>
</clientconfig>
</azvpnprofile>
Nota
- Per includere/escludere più route di destinazione, inserire ogni indirizzo di destinazione in un tag di route separato (come illustrato negli esempi precedenti), perché più indirizzi di destinazione in un singolo tag di route non funzioneranno.
- Se viene visualizzato l'errore "La destinazione non può essere vuota o contenere più di una voce nel tag di route" verificare il file XML del profilo e accertarsi che la sezione includeroutes/excluderoutes comprenda solo un indirizzo di destinazione all’interno di un tag route.
Informazioni sulla versione del client VPN di Azure
Per informazioni sulla versione del client VPN di Azure, vedere Versioni del client VPN di Azure.
Passaggi successivi
Per altre informazioni sulla VPN da sito a sito, vedere gli articoli seguenti: