VPN-клиент Azure— настройка дополнительных параметров DNS и маршрутизации

В этой статье описаны дополнительные параметры для VPN-клиента Azure для VPN-шлюз подключений P2S. Суффиксы DNS, пользовательские DNS-серверы, пользовательские маршруты и принудительное туннелирование НА стороне VPN-клиента.

Примечание.

VPN-клиент Azure поддерживается только для подключений по протоколу OpenVPN®.

Подготовка к работе

Если вы еще этого не сделали, убедитесь, что выполнены следующие элементы:

• Создайте и скачайте файлы конфигурации профиля VPN-клиента для развертывания P2S. Выполните указанные ниже действия.

  1. В портал Azure перейдите к шлюзу виртуальной сети.
  2. Щелкните Конфигурация точка-сеть.
  3. Щелкните Загрузить VPN-клиент.
  4. Выберите клиента и заполните любую запрашиваемую информацию.
  5. Щелкните Загрузить, чтобы создать файл .zip.
  6. Файл .zip будет загружен, как правило, в папку "Загрузки".

• Скачайте и установите VPN-клиент Azure. Инструкции см. в одной из следующих статей:

  • Проверка подлинности сертификата
  • Проверка подлинности Microsoft Entra

Работа с файлами конфигурации профиля VPN-клиента

Для выполнения действий, описанных в этой статье, необходимо изменить и импортировать файл конфигурации профиля VPN-клиента Azure. Чтобы работать с файлами конфигурации профиля VPN-клиента (XML-файлы), выполните следующие действия:

1. Найдите файл конфигурации профиля и откройте его с помощью любого выбранного редактора.

2. Используя примеры в следующих разделах, измените файл по мере необходимости, а затем сохраните изменения.

3. Импортируйте файл, чтобы настроить VPN-клиент Azure. Файл для VPN-клиента Azure можно импортировать с помощью следующих методов:

   • Интерфейс VPN-клиента Azure: откройте VPN-клиент Azure и нажмите кнопку "+Импорт". Найдите измененный xml-файл, настройте любые дополнительные параметры в интерфейсе VPN-клиента Azure (при необходимости), а затем щелкните Сохранить.

   • Командная строка: поместите скачанный файл azurevpnconfig.xml в папку %userprofile%\AppData\Local\Packages\Microsoft.AzureVpn_8wekyb3d8bbwe\LocalState, а затем выполните следующую команду: azurevpn -i azurevpnconfig.xml Чтобы принудительно выполнить импорт, используйте параметр -f.

DNS

Добавление DNS-суффиксов

Примечание.

В настоящее время дополнительные DNS-суффиксы для VPN-клиента Azure не создаются в формате, который можно правильно использовать macOS. Указанные значения dns-суффиксов не сохраняются для macOS.

Чтобы добавить суффиксы DNS, измените скачанный XML-файл профиля и добавьте теги dnssuffixes><dnssufix/dnssufix<>/dnssuffixes>><.<

<azvpnprofile>
<clientconfig>

    <dnssuffixes>
          <dnssuffix>.mycorp.com</dnssuffix>
          <dnssuffix>.xyz.com</dnssuffix>
          <dnssuffix>.etc.net</dnssuffix>
    </dnssuffixes>

</clientconfig>
</azvpnprofile>

Добавление пользовательских DNS-серверов

Чтобы добавить настраиваемые DNS-серверы, измените скачанный XML-файл профиля и добавьте теги dnsservers><dnsserver<>/dnsserver></dnsservers>.<

<azvpnprofile>
<clientconfig>

    <dnsservers>
        <dnsserver>x.x.x.x</dnsserver>
            <dnsserver>y.y.y.y</dnsserver>
    </dnsservers>

</clientconfig>
</azvpnprofile>

Примечание.

Клиент OpenVPN Microsoft Entra использует записи таблицы политик разрешения DNS (NRPT), что означает, что DNS-серверы не будут перечислены в выходных ipconfig /allданных. Чтобы подтвердить использование параметров DNS, см. раздел Get-DnsClientNrptPolicy в PowerShell.

Маршрутизация

Раздельное туннелирование

Раздельное туннелирование настраивается для VPN-клиента по умолчанию.

Принудительное туннелирование

Принудительное туннелирование можно настроить для перенаправления всего трафика в VPN-туннель. Принудительное туннелирование можно настроить с помощью двух различных методов; либо рекламируя пользовательские маршруты, либо изменяя XML-файл профиля. Вы можете включить 0/0 при использовании VPN-клиента Azure версии 2.1900:39.0 или выше.

Примечание.

Подключение к Интернету через VPN-шлюз не предоставляется. В результате удаляется весь трафик, привязанный к Интернету.

• Объявление настраиваемых маршрутов: можно объявлять настраиваемые маршруты 0.0.0.0/1 и 128.0.0.0/1. Дополнительные сведения см. в статье Объявление пользовательских маршрутов для VPN-клиентов P2S.

• XML профиля. Вы можете изменить скачанный XML-файл профиля и добавить <теги includeroutes><route destination mask/destination></mask><></route><><></includeroutes.> Обязательно обновите номер версии до 2.

  <azvpnprofile>
  <clientconfig>
  
    <includeroutes>
        <route>
            <destination>0.0.0.0</destination><mask>1</mask>
        </route>
        <route>
            <destination>128.0.0.0</destination><mask>1</mask>
        </route>
    </includeroutes>
  
  </clientconfig>
  </azvpnprofile>
  

Примечание.

• Состояние по умолчанию для тега clientconfig — <clientconfig i:nil="true" />это состояние, которое можно изменить на основе требования.
• Повторяющийся тег clientconfig не поддерживается в macOS, поэтому убедитесь, что тег clientconfig не дублируется в XML-файле.

Добавление пользовательских маршрутов

Можно добавить настраиваемые маршруты. Измените скачанный XML-файл профиля и добавьте <теги назначения маршрута><><<> includeroutes><, назначения, назначения><, маски><, маршрута>< или includeroutes.>

<azvpnprofile>
<clientconfig>

    <includeroutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
                <destination>y.y.y.y</destination><mask>24</mask>
            </route>
    </includeroutes>

</clientconfig>
</azvpnprofile>

Блокировка (исключение) маршрутов

Возможность полностью блокировать маршруты не поддерживается VPN-клиентом Azure. VPN-клиент Azure не поддерживает удаление маршрутов из локальной таблицы маршрутизации. Вместо этого можно исключить маршруты из VPN-интерфейса. Измените скачанный XML-файл профиля и добавьте <><теги назначения для><<> маршрутов><, назначения, назначения><, маски><, маршрута>< или исключения.>

<azvpnprofile>
<clientconfig>

    <excluderoutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
            <destination>y.y.y.y</destination><mask>24</mask>
        </route>
    </excluderoutes>

</clientconfig>
</azvpnprofile>

Примечание.

• Чтобы включить или исключить несколько маршрутов назначения, поместите каждый адрес назначения в отдельный тег маршрута (как показано в приведенных выше примерах), так как несколько адресов назначения в одном теге маршрута не будут работать.
• Если возникла ошибка "Назначение не может быть пустым или иметь несколько записей внутри тега маршрута", проверка XML-файл профиля и убедитесь, что раздел includeroutes/excluderoutes имеет только один адрес назначения внутри тега маршрута.

Сведения о версии VPN-клиента Azure

Сведения о версии VPN-клиента Azure см. в версиях VPN-клиента Azure.

Следующие шаги

Дополнительные сведения о VPN P2S см. в следующих статьях:

• Сведения о VPN типа "точка — сеть"
• Сведения о маршрутизации VPN типа "точка — сеть"