Client VPN di Azure: configurare le impostazioni facoltative di DNS e routing

  • Articolo

Questo articolo illustra come configurare le impostazioni facoltative per il client VPN di Azure per le connessioni da sito a sito Gateway VPN. È possibile configurare suffissi DNS, server DNS personalizzati, route personalizzate e tunneling forzato lato client VPN.

Nota

Il client VPN di Azure è supportato solo per le connessioni al protocollo OpenVPN®.

Operazioni preliminari

Se non è già stato fatto, assicurarsi di completare gli elementi seguenti:

  • Generare e scaricare i file di configurazione del profilo client VPN per la distribuzione da sito a sito. Eseguire la procedura descritta di seguito:

    1. Nella portale di Azure passare al gateway di rete virtuale.
    2. Fare clic su Configurazione da punto a sito.
    3. Fare clic su Scarica client VPN.
    4. Selezionare il client e compilare le informazioni richieste.
    5. Fare clic su Scarica per generare il file .zip.
    6. Il file .zip verrà scaricato, in genere nella cartella Download.

  • Scaricare e installare il client VPN di Azure. Per la procedura, vedere uno degli articoli seguenti:

Uso dei file di configurazione del profilo client VPN

I passaggi descritti in questo articolo richiedono di modificare e importare il file di configurazione del profilo del client VPN di Azure. Per usare i file di configurazione del profilo client VPN (file xml), seguire questa procedura:

  1. Individuare il file di configurazione del profilo e aprirlo usando l'editor preferito.

  2. Usando gli esempi nelle sezioni seguenti, modificare il file in base alle esigenze, quindi salvare le modifiche.

  3. Importare il file per configurare il client VPN di Azure. È possibile importare il file per il client VPN di Azure usando questi metodi:

    • Interfaccia client VPN di Azure: aprire il client VPN di Azure e fare clic su e quindi su + Importa. Individuare il file XML modificato, configurare eventuali impostazioni aggiuntive nell'interfaccia client VPN di Azure (se necessario), quindi fare clic su Salva.

    • Prompt della riga di comando: posizionare il file azurevpnconfig.xml scaricato nella cartella %userprofile%\AppData\Local\Packages\Microsoft.AzureVpn_8wekyb3d8bbwe\LocalState, quindi eseguire il comando seguente: azurevpn -i azurevpnconfig.xml. Per forzare l'importazione, usare l'opzione -f .

DNS

Aggiungere suffissi DNS

Nota

Al momento, i suffissi DNS aggiuntivi per il client VPN di Azure non vengono generati in un formato che può essere usato correttamente da macOS. I valori specificati per i suffissi DNS non vengono mantenuti per macOS.

Per aggiungere suffissi DNS, modificare il file XML del profilo scaricato e aggiungere i tag dnssuffixes><dnssufix></dnssufix></dnssuffixes>.<

<azvpnprofile>
<clientconfig>

    <dnssuffixes>
          <dnssuffix>.mycorp.com</dnssuffix>
          <dnssuffix>.xyz.com</dnssuffix>
          <dnssuffix>.etc.net</dnssuffix>
    </dnssuffixes>

</clientconfig>
</azvpnprofile>

Aggiungere server DNS personalizzati

Per aggiungere server DNS personalizzati, modificare il file XML del profilo scaricato e aggiungere i tag dnsservers><dnsserver/dnsserver><></dnsservers>.<

<azvpnprofile>
<clientconfig>

    <dnsservers>
        <dnsserver>x.x.x.x</dnsserver>
            <dnsserver>y.y.y.y</dnsserver>
    </dnsservers>

</clientconfig>
</azvpnprofile>

Nota

Il client Microsoft Entra OpenVPN utilizza voci NRPT (DNS Name Resolution Policy Table), il che significa che i server DNS non verranno elencati sotto l'output di ipconfig /all. Per confermare le impostazioni DNS in uso, vedere Get-DnsClientNrptPolicy in PowerShell.

Definizione dei percorsi di trasferimento

Split tunneling

Il tunneling di divisione è configurato per impostazione predefinita per il client VPN.

Tunneling forzato

È possibile configurare il tunneling forzato per indirizzare tutto il traffico al tunnel VPN. Il tunneling forzato può essere configurato usando due metodi diversi; tramite la pubblicità di route personalizzate o modificando il file XML del profilo. Se si usa il client VPN di Azure versione 2.1900:39.0 o successiva, è possibile includere 0/0.

Nota

La connettività Internet non viene fornita tramite il gateway VPN. Di conseguenza, tutto il traffico associato a Internet viene eliminato.

  • Pubblicizzare route personalizzate: è possibile annunciare route 0.0.0.0/1 personalizzate e 128.0.0.0/1. Per altre informazioni, vedere Annunciare route personalizzate per i client VPN da sito a sito.

  • XML del profilo: è possibile modificare il file XML del profilo scaricato e aggiungere i< tag includeroutes><><route destination><mask<>/destination></mask></route></includeroutes.> Assicurarsi di aggiornare il numero di versione a 2.

    <azvpnprofile>
<clientconfig>

  <includeroutes>
      <route>
          <destination>0.0.0.0</destination><mask>1</mask>
      </route>
      <route>
          <destination>128.0.0.0</destination><mask>1</mask>
      </route>
  </includeroutes>

</clientconfig>
</azvpnprofile>

Nota

  • Lo stato predefinito per il tag clientconfig è <clientconfig i:nil="true" />, che può essere modificato in base al requisito.
  • Un tag clientconfig duplicato non è supportato in macOS, quindi assicurarsi che il tag clientconfig non sia duplicato nel file XML.

Aggiungere route personalizzate

È possibile aggiungere route personalizzate. Modificare il file XML del profilo scaricato e aggiungere i tag includeroutes><><route destination><mask></destination></mask></route></includeroutes>.<

<azvpnprofile>
<clientconfig>

    <includeroutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
                <destination>y.y.y.y</destination><mask>24</mask>
            </route>
    </includeroutes>

</clientconfig>
</azvpnprofile>

Blocca (escludi) route

La possibilità di bloccare completamente le route non è supportata dal client VPN di Azure. Il client VPN di Azure non supporta l'eliminazione di route dalla tabella di routing locale. È invece possibile escludere route dall'interfaccia VPN. Modificare il file XML del profilo scaricato e aggiungere i tag excluderoutes><><route destination><mask></destination></mask></route></excluderoutes>.<

<azvpnprofile>
<clientconfig>

    <excluderoutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
            <destination>y.y.y.y</destination><mask>24</mask>
        </route>
    </excluderoutes>

</clientconfig>
</azvpnprofile>

Nota

  • Per includere/escludere più route di destinazione, inserire ogni indirizzo di destinazione in un tag di route separato (come illustrato negli esempi precedenti), perché più indirizzi di destinazione in un singolo tag di route non funzioneranno.
  • Se viene visualizzato l'errore "Destination cannot be empty or have more than one entry inside route tag", check the profile XML file and ensure that the includeroutes/excluderoutes section has only one destination address inside a route tag.If you encounter the error "Destination cannot be empty or have more than one entry inside a route tag", check the profile XML file and ensure that the include includeroutes/excluderoutes section has only one destination address inside a route tag.

Informazioni sulla versione del client VPN di Azure

Per informazioni sulla versione del client VPN di Azure, vedere Versioni del client VPN di Azure.

Passaggi successivi

Per altre informazioni sulla VPN da sito a sito, vedere gli articoli seguenti: