Azure VPN 用戶端 - 設定選擇性 DNS 和路由設定
本文可協助您為適用於 VPN 閘道點對站 (P2S) 連線的 Azure VPN 用戶端設定選擇性設定。 您可以設定 DNS 尾碼、自訂 DNS 伺服器、自訂路由和 VPN 用戶端強制通道。
注意
僅針對 OpenVPN® 通訊協定連線支援 Azure VPN Client。
必要條件
本文中的步驟假設您已設定 P2S 閘道,並已下載 Azure VPN 用戶端來連線客戶端電腦。 如需步驟,請參閱下列文章:
使用 VPN 用戶端設定檔的組態檔
本文中的步驟會要求您修改和匯入 Azure VPN Client 設定檔組態檔。 系統會根據針對 P2S VPN 閘道設定的驗證類型,產生下列設定檔組態檔。
- azurevpnconfig.xml:僅在選取一個驗證類型時,才會產生此檔案。
- azurevpnconfig_aad.xml:選取多個驗證類型時,會針對 Microsoft Entra ID 驗證產生此檔案。
- azurevpnconfig_cert.xml:選取多個驗證類型時,會針對憑證驗證產生此檔案。
若要使用 VPN 用戶端設定檔組態檔 (XML 檔案),請使用下列步驟:
尋找設定檔組態檔,並使用您選擇的編輯器開啟。
使用下列各節中的範例,視需要修改檔案,然後儲存您的變更。
匯入檔案以設定 Azure VPN 用戶端。 您可以使用下列方法匯入 Azure VPN 用戶端的檔案:
Azure VPN 用戶端介面:開啟 Azure VPN 用戶端並按一下 +,然後按一下 [匯入]。 尋找已修改的 .xml 檔案,(視需要) 在 Azure VPN Client 介面中設定任何其他設定,然後按一下 [儲存]。
命令列提示:將適當下載的組態 xml 檔案放 %userprofile%\AppData\Local\Packages\Microsoft.AzureVpn_8wekyb3d8bbwe\LocalState 資料夾,然後執行對應至組態檔案名稱的命令。 例如:
azurevpn -i azurevpnconfig_aad.xml。 若要強制匯入,請使用 -f 參數。
DNS
新增 DNS 尾碼
注意
目前,Azure VPN 用戶端的其他 DNS 後綴不會以 macOS 正確使用的格式產生。 DNS 後綴的指定值不會針對 macOS 保存。
若要新增 DNS 尾碼,請修改下載的設定檔 XML 檔案,並新增 <dnssuffixes><dnssufix></dnssufix></dnssuffixes> 標記。
<azvpnprofile>
<clientconfig>
<dnssuffixes>
<dnssuffix>.mycorp.com</dnssuffix>
<dnssuffix>.xyz.com</dnssuffix>
<dnssuffix>.etc.net</dnssuffix>
</dnssuffixes>
</clientconfig>
</azvpnprofile>
新增自訂 DNS 伺服器
若要新增自訂 DNS 伺服器,請修改下載的設定檔 XML 檔案並新增 <dnsservers><dnsserver></dnsserver></dnsservers> 標記。
<azvpnprofile>
<clientconfig>
<dnsservers>
<dnsserver>x.x.x.x</dnsserver>
<dnsserver>y.y.y.y</dnsserver>
</dnsservers>
</clientconfig>
</azvpnprofile>
注意
使用 Microsoft Entra ID 驗證時,Azure VPN 用戶端會利用 DNS 名稱解析原則資料表 (NRPT) 項目,這表示 DNS 伺服器不會列在 ipconfig /all 的輸出之下。 若要確認您使用中的 DNS 設定,請參閱 PowerShell 中的 Get-DnsClientNrptPolicy。
路由
分割通道
預設會針對 VPN 用戶端設定分割通道。
已強制進行通道作業
您可以設定強制通道,以便將所有流量導向 VPN 通道。 您可使用兩種不同的方法來設定強制通道:藉由通告自訂路由,或藉由修改設定檔 XML 檔案。 如果您正在使用 Azure VPN Client 版本 2.1900:39.0 或以上版本,則可以包含 0/0。
注意
不提供透過 VPN 閘道的網際網路連線。 因此,前往網際網路的所有流量都會遭到捨棄。
公告自訂路由:您可以公告自訂路由
0.0.0.0/1和128.0.0.0/1。 如需詳細資訊,請參閱公告 P2S VPN 用戶端的自訂路由。設定檔 XML:您可以修改下載的設定檔 xml 檔案,並新增 <includeroutes><route><destination><mask></destination></mask></route></includeroutes> 標記。
<azvpnprofile> <clientconfig> <includeroutes> <route> <destination>0.0.0.0</destination><mask>1</mask> </route> <route> <destination>128.0.0.0</destination><mask>1</mask> </route> </includeroutes> </clientconfig> </azvpnprofile>
注意
- clientconfig 標記的預設狀態為
<clientconfig i:nil="true" />,可根據需求加以修改。 - macOS 不支援重複的 clientconfig 標記,因此請確定 clientconfig 標記不會在 XML 檔案中重複。
新增自訂路由
您可以新增自訂路由。 請修改下載的設定檔 XML 檔案,並新增 <includeroutes><route><destination><mask></destination></mask></route></includeroutes> 標記。
<azvpnprofile>
<clientconfig>
<includeroutes>
<route>
<destination>x.x.x.x</destination><mask>24</mask>
</route>
<route>
<destination>y.y.y.y</destination><mask>24</mask>
</route>
</includeroutes>
</clientconfig>
</azvpnprofile>
封鎖 (排除) 路由
Azure VPN 用戶端不支援完全封鎖路由的功能。 Azure VPN 用戶端不支援從本機路由表卸除路由。 相反地,您可以從 VPN 介面排除路由。 您可以修改下載的設定檔 XML 檔案,並新增 <excluderoutes><route><destination><mask></destination></mask></route></excluderoutes> 標記。
<azvpnprofile>
<clientconfig>
<excluderoutes>
<route>
<destination>x.x.x.x</destination><mask>24</mask>
</route>
<route>
<destination>y.y.y.y</destination><mask>24</mask>
</route>
</excluderoutes>
</clientconfig>
</azvpnprofile>
注意
- 若要包含/排除多個目的地路由,請將每個目的地位址放在個別的路由標記下 (如上述範例所示),因為單一路由標記中的多個目的地位址將無法運作。
- 如果您遇到「目的地不得為空白,或路由標記內有多個項目」,請檢查設定檔 XML 檔案,並確定 includeroutes/excluderoutes 區段在路由標記內只有一個目的地位址。
Azure VPN Client 版本資訊
如需 Azure VPN Client 版本資訊,請參閱 Azure VPN Client 版本。
下一步
如需 P2S VPN 的詳細資訊,請參閱下列文章: