Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł ułatwia skonfigurowanie opcjonalnych ustawień klienta sieci VPN platformy Azure dla połączeń sieci VPN użytkownika usługi Virtual WAN typu punkt-lokacja. Można skonfigurować sufiksy DNS, niestandardowe serwery DNS, trasy niestandardowe i wymuszone tunelowanie po stronie klienta sieci VPN.
Uwaga
Klient sieci VPN platformy Azure jest obsługiwany tylko w przypadku połączeń protokołu OpenVPN®.
Wymagania wstępne
W krokach opisanych w tym artykule przyjęto założenie, że skonfigurowano bramę P2S i pobrano klienta sieci VPN platformy Azure w celu łączenia się z komputerami klienckimi. Aby uzyskać instrukcje, zobacz następujące artykuły dotyczące konfiguracji punkt-lokacja:
Aby pobrać plik konfiguracji profilu klienta sieci VPN (plik XML), zobacz Pobieranie profilu globalnego lub opartego na centrum.
Praca z plikami konfiguracji profilu klienta sieci VPN
Kroki opisane w tym artykule wymagają zmodyfikowania i zaimportowania pliku konfiguracji profilu klienta sieci VPN platformy Azure. Następujące pliki konfiguracji profilu są generowane w zależności od skonfigurowanych typów uwierzytelniania dla bramy VPN P2S.
- azurevpnconfig.xml: ten plik jest generowany w przypadku wybrania tylko jednego typu uwierzytelniania.
- azurevpnconfig_aad.xml: ten plik jest generowany dla uwierzytelniania identyfikatora Entra firmy Microsoft, jeśli wybrano wiele typów uwierzytelniania.
- azurevpnconfig_cert.xml: ten plik jest generowany na potrzeby uwierzytelniania certyfikatu w przypadku wybrania wielu typów uwierzytelniania.
Aby pracować z plikami konfiguracji profilu klienta sieci VPN (plikami XML), wykonaj następujące kroki:
Znajdź plik konfiguracji profilu i otwórz go przy użyciu wybranego edytora.
Korzystając z przykładów w poniższych sekcjach, zmodyfikuj plik zgodnie z potrzebami, a następnie zapisz zmiany.
Zaimportuj plik, aby skonfigurować klienta sieci VPN platformy Azure. Plik klienta sieci VPN platformy Azure można zaimportować przy użyciu następujących metod:
Interfejs klienta sieci VPN platformy Azure: Otwórz klienta sieci VPN platformy Azure, wybierz, a następnie Import. Znajdź zmodyfikowany plik .xml. Skonfiguruj wszelkie dodatkowe ustawienia w interfejsie klienta sieci VPN platformy Azure (w razie potrzeby), a następnie wybierz Zapisz.
Wiersz polecenia: Umieść odpowiedni pobrany plik XML konfiguracji w folderze %userprofile%\AppData\Local\Packages\Microsoft.AzureVpn_8wekyb3d8bbwe\LocalState, a następnie uruchom polecenie odpowiadające nazwie pliku konfiguracji. Na przykład
azurevpn -i azurevpnconfig_aad.xml. Aby wymusić import, użyj przełącznika-f.
System nazw domenowych (DNS)
Dodawanie sufiksów DNS
Uwaga
Obecnie dodatkowe sufiksy DNS dla klienta sieci VPN platformy Azure nie są generowane w formacie, który może być prawidłowo używany przez system macOS. Określone wartości sufiksów DNS nie są utrwalane w systemie macOS.
Aby dodać sufiksy DNS, zmodyfikuj pobrany plik XML profilu i dodaj tagi <dnssuffixes><dnssufix></dnssufix></dnssuffixes>.
<azvpnprofile>
<clientconfig>
<dnssuffixes>
<dnssuffix>.mycorp.com</dnssuffix>
<dnssuffix>.xyz.com</dnssuffix>
<dnssuffix>.etc.net</dnssuffix>
</dnssuffixes>
</clientconfig>
</azvpnprofile>
Dodawanie niestandardowych serwerów DNS
Aby dodać niestandardowe serwery DNS, zmodyfikuj pobrany plik XML profilu i dodaj <dnsservers><dnsserver></dnsserver></dnsservers>.
<azvpnprofile>
<clientconfig>
<dnsservers>
<dnsserver>x.x.x.x</dnsserver>
<dnsserver>y.y.y.y</dnsserver>
</dnsservers>
</clientconfig>
</azvpnprofile>
Uwaga
Podczas korzystania z uwierzytelniania za pomocą Microsoft Entra ID klient VPN platformy Azure wykorzystuje wpisy w tabeli zasad rozpoznawania nazw DNS (NRPT), co oznacza, że serwery DNS nie są wymienione w danych wyjściowych ipconfig /all. Aby potwierdzić aktualnie używane ustawienia DNS, zapoznaj się z Get-DnsClientNrptPolicy w programie PowerShell.
Trasowanie
Tunelowanie podzielone
Tunelowanie podzielone jest domyślnie skonfigurowane dla klienta sieci VPN.
Wymuszone tunelowanie
Możesz skonfigurować wymuszone tunelowanie w celu kierowania całego ruchu do tunelu VPN. Wymuszone tunelowanie można skonfigurować przy użyciu dwóch różnych metod; anonsując trasy niestandardowe lub modyfikując plik XML profilu.
Uwaga
Łączność z Internetem nie jest zapewniana za pośrednictwem bramy sieci VPN. W związku z tym cały ruch związany z Internetem zostanie porzucony.
Anonsuj trasy niestandardowe: możesz anonsować trasy
0.0.0.0/1niestandardowe i128.0.0.0/1.Plik XML profilu: możesz zmodyfikować pobrany plik XML profilu i dodać tagi cel maska .
W przypadku klienta sieci VPN platformy Azure dla systemu Windows:
- Wersja 2.1900:39.0 lub nowsza. Możesz dołączyć trasę 0/0. Zmodyfikuj pobrany plik XML profilu i dodaj tagi . Pamiętaj, aby zaktualizować numer wersji do 2.
- Wersja niższa niż 2.1900:39.0: Musisz dodać dwie trasy niestandardowe: 0.0.0.0/1 i 128.0.0.0/1.
W przypadku klienta sieci VPN platformy Azure w systemie macOS:
- System macOS w wersji 14 lub nowszej. Obsługiwana jest tylko trasa niestandardowa 0/0. Trasy 0.0.0.0/1 i 128.0.0.0/1 nie są obsługiwane.
Trasę niestandardową można uwzględnić 0.0.0.0/0 w pliku XML.
<azvpnprofile>
<clientconfig>
<includeroutes>
<route>
<destination>0.0.0.0</destination><mask>0</mask>
</route>
</includeroutes>
</clientconfig>
</azvpnprofile>
Możesz dodać trasy niestandardowe 0.0.0.0/1 i 128.0.0.0/1 w pliku XML:
<azvpnprofile>
<clientconfig>
<includeroutes>
<route>
<destination>0.0.0.0</destination><mask>1</mask>
</route>
<route>
<destination>128.0.0.0</destination><mask>1</mask>
</route>
</includeroutes>
</clientconfig>
</azvpnprofile>
Uwaga
- Domyślny stan tagu clientconfig to
<clientconfig i:nil="true" />, który można zmodyfikować na podstawie wymagania. - Zduplikowany tag clientconfig nie jest obsługiwany w systemie macOS, dlatego upewnij się, że tag clientconfig nie został zduplikowany w pliku XML.
Dodawanie tras niestandardowych
Możesz dodać trasy niestandardowe. Zmodyfikuj pobrany plik XML profilu i dodaj <includeroutes><route><destination><mask></destination></mask></route></includeroutes>.
<azvpnprofile>
<clientconfig>
<includeroutes>
<route>
<destination>x.x.x.x</destination><mask>24</mask>
</route>
<route>
<destination>y.y.y.y</destination><mask>24</mask>
</route>
</includeroutes>
</clientconfig>
</azvpnprofile>
Blokuj (wykluczanie) tras
Możliwość całkowitego blokowania tras nie jest obsługiwana przez klienta sieci VPN platformy Azure. Klient sieci VPN platformy Azure nie obsługuje usuwania tras z lokalnej tabeli routingu. Zamiast tego można wykluczyć trasy z interfejsu sieci VPN. Zmodyfikuj pobrany plik XML profilu i dodaj tagi <excluderoutes><route><destination><mask></destination></mask></route></excluderoutes>.
<azvpnprofile>
<clientconfig>
<excluderoutes>
<route>
<destination>x.x.x.x</destination><mask>24</mask>
</route>
<route>
<destination>y.y.y.y</destination><mask>24</mask>
</route>
</excluderoutes>
</clientconfig>
</azvpnprofile>
Uwaga
- Aby uwzględnić/wykluczyć wiele tras docelowych, umieść każdy adres docelowy w osobnym tagu trasy (jak pokazano w powyższych przykładach), ponieważ wiele adresów docelowych w jednym tagu trasy nie będzie działać.
- Jeśli wystąpi błąd "Miejsce docelowe nie może być puste lub ma więcej niż jeden wpis wewnątrz tagu trasy", sprawdź plik XML profilu i upewnij się, że sekcja includeroutes/excluderoutes ma tylko jeden adres docelowy wewnątrz tagu trasy.
Wersje klienta sieci VPN platformy Azure
Aby uzyskać informacje o wersji klienta sieci VPN platformy Azure, zobacz Wersje klienta sieci VPN platformy Azure.
Następne kroki
Aby uzyskać więcej informacji na temat sieci VPN typu punkt-lokacja, zobacz Informacje o sieci VPN typu punkt-lokacja.