VPN-клиент Azure— настройка дополнительных параметров DNS и маршрутизации

В этой статье описаны дополнительные параметры для VPN-клиента Azure для VPN-шлюз подключений типа "точка — сеть" (P2S). Суффиксы DNS, пользовательские DNS-серверы, пользовательские маршруты и принудительное туннелирование НА стороне VPN-клиента.

Примечание.

VPN-клиент Azure поддерживается только для подключений по протоколу OpenVPN®.

Необходимые компоненты

В этой статье предполагается, что вы настроили шлюз P2S и скачали VPN-клиент Azure для подключения клиентских компьютеров. Инструкции см. в следующих статьях:

• Проверка подлинности сертификата
• Проверка подлинности идентификатора Microsoft Entra

Работа с файлами конфигурации профиля VPN-клиента

Для выполнения действий, описанных в этой статье, необходимо изменить и импортировать файл конфигурации профиля VPN-клиента Azure. Следующие файлы конфигурации профиля создаются в зависимости от типов проверки подлинности, настроенных для VPN-шлюза P2S.

• azurevpnconfig.xml. Этот файл создается при выборе только одного типа проверки подлинности.
• azurevpnconfig_aad.xml. Этот файл создается для проверки подлинности идентификатора Microsoft Entra ID при выборе нескольких типов проверки подлинности.
• azurevpnconfig_cert.xml. Этот файл создается для проверки подлинности сертификата при выборе нескольких типов проверки подлинности.

Чтобы работать с файлами конфигурации профиля VPN-клиента (XML-файлы), выполните следующие действия:

1. Найдите файл конфигурации профиля и откройте его с помощью любого выбранного редактора.

2. Используя примеры в следующих разделах, измените файл по мере необходимости, а затем сохраните изменения.

3. Импортируйте файл, чтобы настроить VPN-клиент Azure. Файл для VPN-клиента Azure можно импортировать с помощью следующих методов:

   • Интерфейс VPN-клиента Azure: откройте VPN-клиент Azure и нажмите кнопку "+Импорт". Найдите измененный файл .xml, настройте дополнительные параметры в интерфейсе VPN-клиента Azure (при необходимости) и нажмите кнопку "Сохранить".

   • Командная строка: поместите соответствующий скачанный XML-файл конфигурации в папку %userprofile%\AppData\Local\Packages\Microsoft.AzureVpn_8wekyb3d8bbwe\LocalState , а затем выполните команду, соответствующую имени файла конфигурации. Например, azurevpn -i azurevpnconfig_aad.xml. Чтобы принудительно выполнить импорт, используйте параметр -f.

DNS

Добавление DNS-суффиксов

Примечание.

В настоящее время дополнительные DNS-суффиксы для VPN-клиента Azure не создаются в формате, который можно правильно использовать macOS. Указанные значения dns-суффиксов не сохраняются для macOS.

Чтобы добавить суффиксы DNS, измените скачанный XML-файл профиля и добавьте теги dnssuffixes><dnssufix/dnssufix<>/dnssuffixes>><.<

<azvpnprofile>
<clientconfig>

    <dnssuffixes>
          <dnssuffix>.mycorp.com</dnssuffix>
          <dnssuffix>.xyz.com</dnssuffix>
          <dnssuffix>.etc.net</dnssuffix>
    </dnssuffixes>

</clientconfig>
</azvpnprofile>

Добавление пользовательских DNS-серверов

Чтобы добавить настраиваемые DNS-серверы, измените скачанный XML-файл профиля и добавьте теги dnsservers><dnsserver<>/dnsserver></dnsservers>.<

<azvpnprofile>
<clientconfig>

    <dnsservers>
        <dnsserver>x.x.x.x</dnsserver>
            <dnsserver>y.y.y.y</dnsserver>
    </dnsservers>

</clientconfig>
</azvpnprofile>

Примечание.

При использовании проверки подлинности идентификатора Microsoft Entra VPN-клиент Azure использует записи таблицы политик разрешения DNS (NRPT), что означает, что DNS-серверы не будут перечислены в выходных ipconfig /allданных. Чтобы подтвердить использование параметров DNS, см. раздел Get-DnsClientNrptPolicy в PowerShell.

Маршрутизация

Раздельное туннелирование

Раздельное туннелирование настраивается для VPN-клиента по умолчанию.

Принудительное туннелирование

Принудительное туннелирование можно настроить для перенаправления всего трафика в VPN-туннель. Принудительное туннелирование можно настроить с помощью двух различных методов; либо рекламируя пользовательские маршруты, либо изменяя XML-файл профиля. Вы можете включить 0/0 при использовании VPN-клиента Azure версии 2.1900:39.0 или выше.

Примечание.

Подключение к Интернету через VPN-шлюз не предоставляется. В результате удаляется весь трафик, привязанный к Интернету.

• Объявление настраиваемых маршрутов: можно объявлять настраиваемые маршруты 0.0.0.0/1 и 128.0.0.0/1. Дополнительные сведения см. в статье Объявление пользовательских маршрутов для VPN-клиентов P2S.

• XML профиля. Вы можете изменить скачанный XML-файл профиля и добавить <теги includeroutes><route destination mask/destination></mask><></route><><></includeroutes.>

  <azvpnprofile>
  <clientconfig>
  
    <includeroutes>
        <route>
            <destination>0.0.0.0</destination><mask>1</mask>
        </route>
        <route>
            <destination>128.0.0.0</destination><mask>1</mask>
        </route>
    </includeroutes>
  
  </clientconfig>
  </azvpnprofile>
  

Примечание.

• Состояние по умолчанию для тега clientconfig — <clientconfig i:nil="true" />это состояние, которое можно изменить на основе требования.
• Повторяющийся тег clientconfig не поддерживается в macOS, поэтому убедитесь, что тег clientconfig не дублируется в XML-файле.

Добавление пользовательских маршрутов

Можно добавить настраиваемые маршруты. Измените скачанный XML-файл профиля и добавьте <теги назначения маршрута><><<> includeroutes><, назначения, назначения><, маски><, маршрута>< или includeroutes.>

<azvpnprofile>
<clientconfig>

    <includeroutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
                <destination>y.y.y.y</destination><mask>24</mask>
            </route>
    </includeroutes>

</clientconfig>
</azvpnprofile>

Блокировка (исключение) маршрутов

Возможность полностью блокировать маршруты не поддерживается VPN-клиентом Azure. VPN-клиент Azure не поддерживает удаление маршрутов из локальной таблицы маршрутизации. Вместо этого можно исключить маршруты из VPN-интерфейса. Измените скачанный XML-файл профиля и добавьте <><теги назначения для><<> маршрутов><, назначения, назначения><, маски><, маршрута>< или исключения.>

<azvpnprofile>
<clientconfig>

    <excluderoutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
            <destination>y.y.y.y</destination><mask>24</mask>
        </route>
    </excluderoutes>

</clientconfig>
</azvpnprofile>

Примечание.

• Чтобы включить или исключить несколько маршрутов назначения, поместите каждый адрес назначения в отдельный тег маршрута (как показано в приведенных выше примерах), так как несколько адресов назначения в одном теге маршрута не будут работать.
• Если возникла ошибка "Назначение не может быть пустым или иметь несколько записей внутри тега маршрута", проверьте XML-файл профиля и убедитесь, что раздел includeroutes/excluderoutes имеет только один целевой адрес внутри тега маршрута.

Сведения о версии VPN-клиента Azure

Сведения о версии VPN-клиента Azure см. в версиях VPN-клиента Azure.

Следующие шаги

Дополнительные сведения о VPN P2S см. в следующих статьях:

• Сведения о VPN типа "точка — сеть"
• Сведения о маршрутизации VPN типа "точка — сеть"