Decisões de roteamento VPN

As rotas de rede são necessárias para a pilha saber qual interface usar para o tráfego de saída. Um dos pontos de decisão mais importantes para a configuração VPN é se você deseja enviar todos os dados via VPN (encapsulamento de força) ou apenas alguns dados via VPN (encapsulamento de divisão). A decisão afeta a configuração, o planejamento de capacidade e as expectativas de segurança da conexão.

Configuração do encapsulamento de divisão

Em uma configuração de encapsulamento de divisão, as rotas podem ser especificadas para passar pela VPN, e o restante do tráfego passará pela interface física.

As rotas podem ser configuradas usando a VPNv2/<ProfileName>/RouteList configuração no CSP (Provedor de Serviços de Configuração) VPNv2.

Para cada item de rota na lista, você pode configurar as seguintes opções:

  • Endereço: VPNv2/<ProfileName>/RouteList/<routeRowId>/Address
  • Tamanho do prefixo: VPNv2/<ProfileName>/RouteList/<routeRowId>/Prefix
  • Rota de exclusão: VVPNv2/<ProfileName>/RouteList/<routeRowId>/ExclusionRoute

Com o Windows VPN, você pode especificar rotas de exclusão que não devem passar pela interface física.

As rotas também podem ser adicionadas no momento da conexão por meio do servidor para aplicativos de VPN UWP.

Configuração de encapsulamento de força

Em uma configuração de encapsulamento de força, todo o tráfego passará pela VPN. O túnel force é a configuração padrão e entra em vigor quando nenhuma rota é especificada.

A única implicação do túnel de força é a manipulação de entradas de roteamento: as rotas padrão VPN V4 e V6 (por exemplo , 0.0.0.0/0) são adicionadas à tabela de roteamento com uma métrica menor que as de outras interfaces. Essa configuração envia tráfego por meio da VPN desde que não haja uma rota específica na interface física:

  • Para VPN interna, a decisão é controlada usando a configuração MDM VPNv2/ProfileName/NativeProfile/RoutingPolicyType
  • Para um plug-in de VPN UWP, o aplicativo controla a propriedade. Se o plug-in VPN indicar a rota padrão para IPv4 e IPv6 como as duas únicas rotas de inclusão, a plataforma VPN marcará a conexão como Force Tunneled

Configurar roteamento

Consulte Opções de perfil de VPN e CSP VPNv2 para saber a configuração XML.

Ao configurar um perfil VPN no Microsoft Intune, você pode habilitar a configuração de túnel dividido:

túnel dividido.

Depois de habilitado, você pode adicionar as rotas que devem usar a conexão VPN.