Partilhar via


Cliente VPN do Azure - defina DNS opcional e configurações de roteamento

Este artigo ajuda você a definir configurações opcionais para o Cliente VPN do Azure para conexões ponto a site (P2S) do Gateway VPN. Você pode configurar sufixos DNS, servidores DNS personalizados, rotas personalizadas e túnel forçado do lado do cliente VPN.

Nota

O Cliente VPN do Azure só tem suporte para conexões de protocolo OpenVPN®.

Pré-requisitos

As etapas neste artigo pressupõem que você configurou seu gateway P2S e baixou o Cliente VPN do Azure para conectar computadores cliente. Para conhecer as etapas, consulte os seguintes artigos:

Trabalhando com arquivos de configuração de perfil de cliente VPN

As etapas neste artigo exigem que você modifique e importe o arquivo de configuração de perfil do Cliente VPN do Azure. Os seguintes arquivos de configuração de perfil são gerados, dependendo dos tipos de autenticação configurados para seu gateway VPN P2S.

  • azurevpnconfig.xml: Este arquivo é gerado quando apenas um tipo de autenticação é selecionado.
  • azurevpnconfig_aad.xml: Este arquivo é gerado para autenticação do Microsoft Entra ID quando há vários tipos de autenticação selecionados.
  • azurevpnconfig_cert.xml: Este arquivo é gerado para autenticação de certificado quando há vários tipos de autenticação selecionados.

Para trabalhar com arquivos de configuração de perfil de cliente VPN (arquivos xml), use as seguintes etapas:

  1. Localize o arquivo de configuração de perfil e abra-o usando o editor de sua escolha.

  2. Usando os exemplos nas seções a seguir, modifique o arquivo conforme necessário e salve as alterações.

  3. Importe o arquivo para configurar o cliente VPN do Azure. Você pode importar o arquivo para o Cliente VPN do Azure usando estes métodos:

    • Interface do Cliente VPN do Azure: Abra o Cliente VPN do Azure e clique em e, em seguida, em + Importar. Localize o arquivo de .xml modificado, defina quaisquer configurações adicionais na interface do Cliente VPN do Azure (se necessário) e clique em Salvar.

    • Prompt de linha de comando: coloque o arquivo xml de configuração baixado apropriado na pasta %userprofile%\AppData\Local\Packages\Microsoft.AzureVpn_8wekyb3d8bbwe\LocalState e execute o comando que corresponde ao nome do arquivo de configuração. Por exemplo, azurevpn -i azurevpnconfig_aad.xml. Para forçar a importação, use a opção -f .

DNS

Adicionar sufixos DNS

Nota

No momento, sufixos DNS adicionais para o Cliente VPN do Azure não são gerados em um formato que possa ser usado corretamente pelo macOS. Os valores especificados para sufixos DNS não persistem para macOS.

Para adicionar sufixos DNS, modifique o arquivo XML do perfil baixado e adicione as tags dnssuffixes><dnssufix></dnssufix></dnssuffixs>.<

<azvpnprofile>
<clientconfig>

    <dnssuffixes>
          <dnssuffix>.mycorp.com</dnssuffix>
          <dnssuffix>.xyz.com</dnssuffix>
          <dnssuffix>.etc.net</dnssuffix>
    </dnssuffixes>

</clientconfig>
</azvpnprofile>

Adicionar servidores DNS personalizados

Para adicionar servidores DNS personalizados, modifique o arquivo XML do perfil baixado e adicione as tags dnsservers><dnsserver></dnsserver/dnsservers><>.<

<azvpnprofile>
<clientconfig>

    <dnsservers>
        <dnsserver>x.x.x.x</dnsserver>
            <dnsserver>y.y.y.y</dnsserver>
    </dnsservers>

</clientconfig>
</azvpnprofile>

Nota

Ao usar a autenticação de ID do Microsoft Entra, o Cliente VPN do Azure utiliza entradas NRPT (Tabela de Políticas de Resolução de Nomes DNS), o que significa que os servidores DNS não serão listados na saída de ipconfig /all. Para confirmar suas configurações de DNS em uso, consulte Get-DnsClientNrptPolicy no PowerShell.

Encaminhamento

Túnel dividido

O túnel dividido é configurado por padrão para o cliente VPN.

Túnel forçado

Você pode configurar o túnel forçado para direcionar todo o tráfego para o túnel VPN. O tunelamento forçado pode ser configurado usando dois métodos diferentes; anunciando rotas personalizadas ou modificando o arquivo XML do perfil. Você pode incluir 0/0 se estiver usando o Cliente VPN do Azure versão 2.1900:39.0 ou superior.

Nota

A conectividade com a Internet não é fornecida através do gateway VPN. Como resultado, todo o tráfego destinado à Internet é descartado.

  • Anunciar rotas personalizadas: Você pode anunciar rotas 0.0.0.0/1 personalizadas e 128.0.0.0/1. Para obter mais informações, consulte Anunciar rotas personalizadas para clientes VPN P2S.

  • XML do perfil: você pode modificar o arquivo xml do perfil baixado e adicionar as <tags includeroutes><route><destination><mask></destination></mask></route></includeroutes> .

    <azvpnprofile>
    <clientconfig>
    
      <includeroutes>
          <route>
              <destination>0.0.0.0</destination><mask>1</mask>
          </route>
          <route>
              <destination>128.0.0.0</destination><mask>1</mask>
          </route>
      </includeroutes>
    
    </clientconfig>
    </azvpnprofile>
    

Nota

  • O status padrão para a tag clientconfig é <clientconfig i:nil="true" />, que pode ser modificado com base no requisito.
  • Uma tag clientconfig duplicada não é suportada no macOS, portanto, certifique-se de que a tag clientconfig não esteja duplicada no arquivo XML.

Adicionar rotas personalizadas

Você pode adicionar rotas personalizadas. Modifique o arquivo XML de perfil baixado e adicione as tags includeroutes><route><destination><mask<>/destination></mask></route></includeroutes>.<

<azvpnprofile>
<clientconfig>

    <includeroutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
                <destination>y.y.y.y</destination><mask>24</mask>
            </route>
    </includeroutes>

</clientconfig>
</azvpnprofile>

Bloquear (excluir) rotas

A capacidade de bloquear completamente rotas não é suportada pelo Cliente VPN do Azure. O Cliente VPN do Azure não suporta a eliminação de rotas da tabela de roteamento local. Em vez disso, você pode excluir rotas da interface VPN. Modifique o arquivo XML de perfil baixado e adicione as tags excluderoutes><route><destination><mask<>/destination></mask></route></excluderoutes>.<

<azvpnprofile>
<clientconfig>

    <excluderoutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
            <destination>y.y.y.y</destination><mask>24</mask>
        </route>
    </excluderoutes>

</clientconfig>
</azvpnprofile>

Nota

  • Para incluir/excluir várias rotas de destino, coloque cada endereço de destino sob uma tag de rota separada (como mostrado nos exemplos acima), porque vários endereços de destino em uma única tag de rota não funcionarão.
  • Se você encontrar o erro "O destino não pode estar vazio ou ter mais de uma entrada dentro da tag route", verifique o arquivo XML do perfil e verifique se a seção includeroutes/excluderoutes tem apenas um endereço de destino dentro de uma tag route.

Informações de versão do Cliente VPN do Azure

Para obter informações sobre a versão do Cliente VPN do Azure, consulte Versões do Cliente VPN do Azure.

Próximos passos

Para obter mais informações sobre P2S VPN, consulte os seguintes artigos: