Объявление пользовательских маршрутов для VPN-клиентов P2S

  • Статья

Вам может потребоваться объявить настраиваемые маршруты всем VPN-клиентам "точка — сеть". Например, если вы включили конечные точки хранилища в виртуальной сети и хотите, чтобы удаленные пользователи имели доступ к этим учетным записям хранения через VPN-подключение. Вы можете объявить IP-адрес конечной точки хранилища всем удаленным пользователям, чтобы трафик в учетной записи хранения перенаправлялся через туннель VPN, а не в общедоступный Интернет. Вы также можете использовать настраиваемые маршруты, чтобы настроить принудительное туннелирование для VPN-клиентов.

Схема объявления пользовательских маршрутов.

Портал Azure

Настраиваемые маршруты можно объявлять с помощью портала Azure на странице конфигурации "точка —сеть". С помощью этих действий вы также можете просматривать, изменять и удалять пользовательские маршруты по мере необходимости. Если вы хотите настроить принудительное туннелирование, см. раздел Принудительное туннелирование в этой статье.

Снимок экрана: дополнительные маршруты на портале.

  1. Перейдите к шлюзу виртуальной сети.
  2. На левой панели выберите Конфигурации "точка — сеть".
  3. На странице конфигурации "точка —сеть" добавьте маршруты. Не используйте пробелы.
  4. Щелкните Сохранить в верхней части страницы.

PowerShell

Используйте Set-AzVirtualNetworkGateway cmdlet, чтобы объявить настраиваемые маршруты. В следующем примере показано, как объявить IP-адрес для таблиц учетной записи хранения Contoso.

  1. Проверьте связь с contoso.table.core.windows.net и запишите IP-адрес. Пример:

    C:\>ping contoso.table.core.windows.net
Pinging table.by4prdstr05a.store.core.windows.net [13.88.144.250] with 32 bytes of data:

  2. Выполните следующие команды PowerShell:

    $gw = Get-AzVirtualNetworkGateway -Name <name of gateway> -ResourceGroupName <name of resource group>
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -CustomRoute 13.88.144.250/32

  3. Чтобы добавить несколько настраиваемых маршрутов, используйте для разделения адресов запятую и пробелы. Пример:

    Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -CustomRoute x.x.x.x/xx , y.y.y.y/yy

Просмотр настраиваемых маршрутов

Для просмотра настраиваемых маршрутов используйте следующий пример:

$gw = Get-AzVirtualNetworkGateway -Name <name of gateway> -ResourceGroupName <name of resource group>
$gw.CustomRoutes | Format-List

Удаление настраиваемых маршрутов

Для удаления настраиваемых маршрутов используйте следующий пример:

$gw = Get-AzVirtualNetworkGateway -Name <name of gateway> -ResourceGroupName <name of resource group>
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -CustomRoute @0

Принудительное туннелирование

Вы можете направить весь трафик в VPN-туннель, объявив 0.0.0.0/1 и 128.0.0.0/1 в качестве настраиваемых маршрутов для клиентов. Причина разбиения 0.0.0.0/0 на две меньшие подсети заключается в том, что эти небольшие префиксы более конкретны, чем маршрут по умолчанию, который может быть уже настроен на локальном сетевом адаптере, и поэтому будут предпочтительнее при маршрутизации трафика.

Примечание

Подключение к Интернету через VPN-шлюз не предоставляется. В результате удаляется весь трафик, привязанный к Интернету.

Чтобы включить принудительное туннелирование, используйте следующие команды:

$gw = Get-AzVirtualNetworkGateway -Name <name of gateway> -ResourceGroupName <name of resource group>
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -CustomRoute 0.0.0.0/1 , 128.0.0.0/1

Дальнейшие действия

Дополнительные сведения о маршрутизации P2S см. в статье О маршрутизации подключений типа "точка — сеть".