Azure VPN クライアント - オプションの DNS およびルーティング設定を構成する

この記事は、VPN Gateway ポイント対サイト (P2S) 接続用の Azure VPN クライアントのオプション設定を構成するのに役立ちます。 DNS サフィックス、カスタム DNS サーバー、カスタム ルート、VPN クライアント側の強制トンネリングを構成できます。

Note

Azure VPN クライアントは、OpenVPN® プロトコル接続のみでサポートされています。

前提条件

この記事の手順では、P2S ゲートウェイが構成され、接続するクライアント コンピューターに Azure VPN クライアントがダウンロードされていることを前提としています。 手順については、次の記事を参照してください。

• 証明書の認証
• Microsoft Entra ID 認証

VPN クライアント プロファイル構成ファイルの操作

このアーティクルの手順では、Azure VPN クライアント プロファイル構成ファイルを変更してインポートする必要があります。 P2S VPN ゲートウェイ用に構成された認証の種類に応じて、次のプロファイル構成ファイルが生成されます。

• azurevpnconfig.xml: このファイルは、認証の種類が 1 つだけ選択されている場合に生成されます。
• azurevpnconfig_aad.xml: このファイルは、複数の認証の種類が選択されている場合に、Microsoft Entra ID 認証用に生成されます。
• azurevpnconfig_cert.xml: このファイルは、複数の認証の種類が選択されている場合に、証明書認証用に生成されます。

VPN クライアント プロファイル構成ファイル (xml ファイル) を操作するには、以下の手順を実行します。

1. プロファイル構成ファイルを見つけ、任意のエディターで開きます。

2. 次のセクションの例を使って、必要に応じてファイルを変更し、変更を保存します。

3. ファイルをインポートして Azure VPN クライアントを構成します。 Azure VPN クライアント用のファイルは、次の方法でインポートできます。

   • Azure VPN クライアント インターフェイス: Azure VPN クライアントを開き、+ をクリックしてインポートします。 変更した .xml ファイルを見つけて、必要に応じて Azure VPN クライアント インターフェイスで追加の設定を構成し、[保存] をクリックします。

   • コマンド ライン プロンプト: ダウンロードした適切な構成 xml ファイルを %userprofile%\AppData\Local\Packages\Microsoft.AzureVpn_8wekyb3d8bbwe\LocalState フォルダーに配置し、構成ファイル名に対応するコマンドを実行します。 たとえば、azurevpn -i azurevpnconfig_aad.xml のようにします。 強制的にインポートするには、 -f スイッチを使用します。

DNS

DNS サフィックスを追加する

Note

現時点では、Azure VPN クライアントの追加の DNS サフィックスは、macOS で適切に使用できる形式では生成されません。 DNS サフィックスに指定された値は、macOS では保持されません。

DNS サフィックスを追加するには、ダウンロードしたプロファイル XML ファイルを変更して、<dnssuffixes><dnssufix></dnssufix></dnssuffixes> タグを追加します。

<azvpnprofile>
<clientconfig>

    <dnssuffixes>
          <dnssuffix>.mycorp.com</dnssuffix>
          <dnssuffix>.xyz.com</dnssuffix>
          <dnssuffix>.etc.net</dnssuffix>
    </dnssuffixes>

</clientconfig>
</azvpnprofile>

カスタム DNS サーバーを追加する

カスタム DNS サーバーを追加するには、ダウンロードしたプロファイル XML ファイルを変更して、<dnsservers><dnsserver></dnsserver></dnsservers> タグを追加します。

<azvpnprofile>
<clientconfig>

    <dnsservers>
        <dnsserver>x.x.x.x</dnsserver>
            <dnsserver>y.y.y.y</dnsserver>
    </dnsservers>

</clientconfig>
</azvpnprofile>

Note

Microsoft Entra ID 認証を使用する場合、Azure VPN クライアントは DNS 名前解決ポリシー テーブル (NRPT) のエントリを利用します。つまり、DNS サーバーは ipconfig /all の出力の一覧に表示されません。 使用中の DNS 設定を確認するには、PowerShell で Get-DnsClientNrptPolicy を参照してください。

ルーティング

分割トンネリング

既定では、分割トンネリングは VPN クライアント用に構成されています。

強制トンネリング

すべてのトラフィックを VPN トンネルに転送するように強制トンネリングを構成できます。 強制トンネリングを構成するには、カスタム ルートをアドバタイズするか、プロファイル XML ファイルを変更するという 2 つの異なる方法を使用できます。 Azure VPN Client バージョン 2.1900:39.0 以降を使用している場合は、0/0 を含めることができます。

Note

VPN ゲートウェイ経由でインターネット接続は提供されません。 その結果、インターネット向けのすべてのトラフィックが削除されます。

• カスタム ルートのアドバタイズ: カスタム ルート 0.0.0.0/1 と 128.0.0.0/1 をアドバタイズできます。 詳細については、「P2S VPN クライアント用のカスタム ルートをアドバタイズする」を参照してください。

• プロファイル XML: ダウンロードしたプロファイル xml ファイルを変更し、<includeroutes><route><destination><mask></destination></mask></route></includeroutes> タグを追加できます。

  <azvpnprofile>
  <clientconfig>
  
    <includeroutes>
        <route>
            <destination>0.0.0.0</destination><mask>1</mask>
        </route>
        <route>
            <destination>128.0.0.0</destination><mask>1</mask>
        </route>
    </includeroutes>
  
  </clientconfig>
  </azvpnprofile>
  

Note

• clientconfig タグの既定の状態は <clientconfig i:nil="true" /> です。これは、要件に基づいて変更できます。
• macOS では重複する clientconfig タグはサポートされていないため、clientconfig タグが XML ファイル内で重複していないことを確認してください。

カスタム ルートを追加する

カスタム ルートを追加できます。 ダウンロードしたプロファイル XML ファイルを変更して、<includeroutes><route><destination><mask></destination></mask></route></includeroutes> タグを追加します。

<azvpnprofile>
<clientconfig>

    <includeroutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
                <destination>y.y.y.y</destination><mask>24</mask>
            </route>
    </includeroutes>

</clientconfig>
</azvpnprofile>

ブロック (除外) ルート

ルートを完全にブロックする機能は、Azure VPN クライアントではサポートされていません。 Azure VPN クライアントでは、ローカル ルーティング テーブルからのルートの削除はサポートされていません。 代わりに、VPN インターフェイスからルートを除外できます。 ダウンロードしたプロファイル XML ファイルを変更して、<excluderoutes><route><destination><mask></destination></mask></route></excluderoutes> タグを追加します。

<azvpnprofile>
<clientconfig>

    <excluderoutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
            <destination>y.y.y.y</destination><mask>24</mask>
        </route>
    </excluderoutes>

</clientconfig>
</azvpnprofile>

注意

• 複数の宛先ルートを含める/除外するには、1 つのルート タグに複数の宛先アドレスを入れても機能しないため、(上記の例のように) 宛先アドレスごとに個別のルート タグを設定します。
• "Destination cannot be empty or have more than one entry inside route tag" (宛先は空にできません、またはルート タグに複数のエントリを含めることはできません) というエラーが発生した場合は、プロファイル XML ファイルを確認し、includeroutes/excluderoutes セクションでルート タグ内の宛先アドレスが 1 つだけであることを確認します。

Azure VPN クライアントのバージョン情報

Azure VPN クライアントのバージョン情報については、「Azure VPN クライアントのバージョン」を参照してください。

次のステップ

P2S VPN の詳細については、次の記事を参照してください。

• ポイント対サイト VPN について
• ポイント対サイト VPN ルーティングについて