Decisões de roteamento VPN

As rotas de rede são necessárias para a pilha saber qual interface usar para o tráfego de saída. Um dos pontos de decisão mais importantes para a configuração VPN é se você deseja enviar todos os dados via VPN (encapsulamento de força) ou apenas alguns dados via VPN (encapsulamento de divisão). Essa decisão afeta a configuração e o planejamento da capacidade, bem como às expectativas de segurança da conexão.

Configuração do encapsulamento de divisão

Em uma configuração de encapsulamento de divisão, as rotas podem ser especificadas para passar pela VPN, e o restante do tráfego passará pela interface física.

As rotas podem ser configuradas usando a configuração VPNv2/ProfileName/RouteList no Provedor de Serviços de Configuração (CSP) VPNv2.

Para cada item de rota na lista, os parâmetros a seguir podem ser especificados:

  • Endereço: VPNv2/ProfileName/RouteList/routeRowId/Address

  • Tamanho do prefixo: VPNv2/ProfileName/RouteList/routeRowId/Prefix

  • Rota de exclusão: VPNv2/ProfileName/RouteList/routeRowId/ExclusionRoute

    Agora a plataforma de VPN do Windows permite especificar rotas de exclusão que, especificamente, não devem passar pela interface física.

As rotas também podem ser adicionadas no momento da conexão por meio do servidor para aplicativos de VPN UWP.

Configuração de encapsulamento de força

Em uma configuração de encapsulamento de força, todo o tráfego passará pela VPN. Essa é a configuração padrão e entra em vigor quando nenhuma rota é especificada.

A única implicação dessa configuração é a manipulação de entradas de roteamento. No caso de um encapsulamento de força VPN V4 e V6, rotas de padrão (por exemplo, 0.0.0.0/0) são adicionadas à tabela de roteamento com uma métrica menor do que as de outras interfaces. Isso envia o tráfego pela VPN, contanto que não haja uma rota específica na interface física em si.

Para VPN interna, essa decisão é controlada usando a configuração de MDM VPNv2/ProfileName/NativeProfile/RoutingPolicyType.

Para um plug-in de VPN UWP, essa propriedade é controlada diretamente pelo aplicativo. Se o plug-in da VPN indicar a rota padrão para IPv4 e IPv6 como as duas únicas rotas de inclusão, a plataforma VPN marcará a conexão como Encapsulamento Forçado.

Configurar roteamento

Consulte Opções de perfil de VPN e CSP VPNv2 para saber a configuração XML.

Ao configurar um perfil de VPN no Microsoft Intune, você marca uma caixa de seleção para habilitar a configuração de encapsulamento de divisão.

túnel dividido.

Em seguida, em Limites Corporativos, você adiciona as rotas que devem usar a conexão VPN.

adicionar rota para túnel dividido.