Compartilhar via

Azure VPN Client - configure optional routing and DNS settings

This article helps you configure optional settings for the Azure VPN Client for Virtual WAN User VPN point-to-site connections. Você pode configurar sufixos DNS, servidores DNS personalizados, rotas personalizadas e tunelamento forçado no lado do cliente VPN.

Observação

O Cliente VPN do Azure só tem suporte para conexões de protocolo OpenVPN®.

Pré-requisitos

As etapas neste artigo pressupõem que você configurou seu gateway P2S e baixou o Cliente VPN do Azure para conectar computadores cliente. For steps, see the following point-to-site configuration articles:

To download VPN client profile configuration file (xml file), see Download a global or hub-based profile.

Trabalhando com arquivos de configuração de perfil de cliente VPN

As etapas neste artigo exigem que você modifique e importe o arquivo de configuração de perfil do Cliente VPN do Azure. Os seguintes arquivos de configuração de perfil são gerados, dependendo dos tipos de autenticação configurados para seu gateway VPN P2S.

  • azurevpnconfig.xml: Este arquivo é gerado quando apenas um tipo de autenticação é selecionado.
  • azurevpnconfig_aad.xml: Este arquivo é gerado para autenticação do Microsoft Entra ID quando há vários tipos de autenticação selecionados.
  • azurevpnconfig_cert.xml: Este arquivo é gerado para autenticação de certificado quando há vários tipos de autenticação selecionados.

Para trabalhar com arquivos de configuração de perfil de cliente VPN (arquivos xml), use as seguintes etapas:

  1. Localize o arquivo de configuração de perfil e abra-o usando o editor de sua escolha.

  2. Usando os exemplos nas seções a seguir, modifique o arquivo conforme necessário e salve as alterações.

  3. Importe o arquivo para configurar o cliente VPN do Azure. Você pode importar o arquivo para o Cliente VPN do Azure usando estes métodos:

    • Interface do Cliente VPN do Azure: Abra o Cliente VPN do Azure e selecione +e depois Importe. Localize o arquivo de .xml modificado. Configure quaisquer definições adicionais na interface do Cliente VPN do Azure (se necessário) e, em seguida, selecione Guardar.

    • Prompt de linha de comando: coloque o arquivo xml de configuração baixado apropriado na pasta %userprofile%\AppData\Local\Packages\Microsoft.AzureVpn_8wekyb3d8bbwe\LocalState e execute o comando que corresponde ao nome do arquivo de configuração. Por exemplo, azurevpn -i azurevpnconfig_aad.xml. Para forçar a importação, use o -f switch.

DNS (Sistema de Nomes de Domínio)

Adicionar sufixos DNS

Observação

No momento, sufixos DNS adicionais para o Cliente VPN do Azure não são gerados em um formato que possa ser usado corretamente pelo macOS. Os valores especificados para sufixos DNS não persistem para macOS.

To add DNS suffixes, modify the downloaded profile XML file and add the <dnssuffixes><dnssufix></dnssufix></dnssuffixes> tags.

<azvpnprofile>
<clientconfig>

    <dnssuffixes>
          <dnssuffix>.mycorp.com</dnssuffix>
          <dnssuffix>.xyz.com</dnssuffix>
          <dnssuffix>.etc.net</dnssuffix>
    </dnssuffixes>

</clientconfig>
</azvpnprofile>

Adicionar servidores DNS personalizados

Para adicionar servidores DNS personalizados, modifique o ficheiro XML do perfil descarregado e adicione as tags <dnsservers><dnsserver></dnsserver></dnsservers>.

<azvpnprofile>
<clientconfig>

    <dnsservers>
        <dnsserver>x.x.x.x</dnsserver>
            <dnsserver>y.y.y.y</dnsserver>
    </dnsservers>

</clientconfig>
</azvpnprofile>

Observação

When using Microsoft Entra ID authentication, the Azure VPN Client utilizes DNS Name Resolution Policy Table (NRPT) entries, which means DNS servers aren't listed under the output of ipconfig /all. Para confirmar suas configurações de DNS em uso, consulte Get-DnsClientNrptPolicy no PowerShell.

Roteamento

Túnel dividido

O túnel dividido é configurado por padrão para o cliente VPN.

Túneis obrigatórios

Você pode configurar o túnel forçado para direcionar todo o tráfego para o túnel VPN. O tunelamento forçado pode ser configurado usando dois métodos diferentes; anunciando rotas personalizadas ou modificando o arquivo XML do perfil.

Observação

A conectividade com a Internet não é fornecida através do gateway VPN. Como resultado, todo o tráfego destinado à Internet é descartado.

  • Anunciar rotas personalizadas: Você pode anunciar rotas 0.0.0.0/1 personalizadas e 128.0.0.0/1.

  • Profile XML: You can modify the downloaded profile xml file and add the <includeroutes><route><destination><mask></destination></mask></route></includeroutes> tags.

Para o Cliente VPN do Azure para Windows:

  • Versão 2.1900:39.0 ou superior. You can include the route 0/0. Modify the downloaded profile xml file and add the <includeroutes><route><destination><mask></destination></mask></route></includeroutes> tags. Certifique-se de atualizar o número da versão para 2.
  • Versão inferior a 2.1900:39.0: Você precisa adicionar duas rotas personalizadas: 0.0.0.0/1 e 128.0.0.0/1.

Para o Cliente VPN do Azure no macOS:

  • macOS versão 14 ou superior. Apenas a rota personalizada 0/0 é suportada. As rotas 0.0.0.0/1 e 128.0.0.0/1 não são suportadas.

Você pode incluir a rota 0.0.0.0/0 personalizada no arquivo xml:

 <azvpnprofile>
 <clientconfig>

   <includeroutes>
       <route>
           <destination>0.0.0.0</destination><mask>0</mask>
       </route>
   </includeroutes>

 </clientconfig>
 </azvpnprofile>

Você pode adicionar as rotas 0.0.0.0/1 personalizadas e 128.0.0.0/1 no arquivo xml:

<azvpnprofile>
<clientconfig>

 <includeroutes>
     <route>
         <destination>0.0.0.0</destination><mask>1</mask>
     </route>
     <route>
         <destination>128.0.0.0</destination><mask>1</mask>
     </route>
 </includeroutes>

</clientconfig>
</azvpnprofile>

Observação

  • O status padrão para a tag clientconfig é <clientconfig i:nil="true" />, que pode ser modificado com base no requisito.
  • Uma tag clientconfig duplicada não é suportada no macOS, portanto, certifique-se de que a tag clientconfig não esteja duplicada no arquivo XML.

Adicionar rotas personalizadas

Você pode adicionar rotas personalizadas. Modify the downloaded profile XML file and add the <includeroutes><route><destination><mask></destination></mask></route></includeroutes> tags.

<azvpnprofile>
<clientconfig>

    <includeroutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
                <destination>y.y.y.y</destination><mask>24</mask>
            </route>
    </includeroutes>

</clientconfig>
</azvpnprofile>

Bloquear (excluir) rotas

A capacidade de bloquear completamente rotas não é suportada pelo Cliente VPN do Azure. O Cliente VPN do Azure não suporta a eliminação de rotas da tabela de roteamento local. Em vez disso, você pode excluir rotas da interface VPN. Modify the downloaded profile XML file and add the <excluderoutes><route><destination><mask></destination></mask></route></excluderoutes> tags.

<azvpnprofile>
<clientconfig>

    <excluderoutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
            <destination>y.y.y.y</destination><mask>24</mask>
        </route>
    </excluderoutes>

</clientconfig>
</azvpnprofile>

Observação

  • Para incluir/excluir várias rotas de destino, coloque cada endereço de destino sob uma tag de rota separada (como mostrado nos exemplos acima), porque vários endereços de destino em uma única tag de rota não funcionarão.
  • Se você encontrar o erro "O destino não pode estar vazio ou ter mais de uma entrada dentro da tag route", verifique o arquivo XML do perfil e verifique se a seção includeroutes/excluderoutes tem apenas um endereço de destino dentro de uma tag route.

Versões do Cliente VPN do Azure

Para obter informações sobre a versão do Cliente VPN do Azure, consulte Versões do Cliente VPN do Azure.

Próximos passos

For more information about P2S VPN, see About point-to-site VPN.