Azure client VPN: configurare le impostazioni di routing e DNS facoltative

Questo articolo aiuta a configurare le opzioni facoltative per il client VPN di Azure per le connessioni punto a sito (P2S) su Gateway VPN. È possibile configurare suffissi DNS, server DNS personalizzati, route personalizzate e tunneling forzato lato client della VPN.

Nota

Il client VPN Azure è supportato solo per le connessioni al protocollo OpenVPN®.

Prerequisiti

I passaggi descritti in questo articolo presuppongono che il gateway P2S sia stato configurato e scaricato il client VPN Azure per la connessione dei computer client. Per la procedura, vedere gli articoli seguenti:

Uso dei file di configurazione del profilo client VPN

I passaggi descritti in questo articolo richiedono di modificare e importare il file di configurazione del profilo del client VPN Azure. Vengono generati i seguenti file di configurazione del profilo, a seconda dei tipi di autenticazione configurati per il gateway VPN Point-to-Site.

  • azurevpnconfig.xml: questo file viene generato quando viene selezionato un solo tipo di autenticazione.
  • azurevpnconfig_aad.xml: questo file viene generato per l'autenticazione Microsoft Entra ID quando sono selezionati più tipi di autenticazione.
  • azurevpnconfig_cert.xml: questo file viene generato per l'autenticazione del certificato quando sono selezionati più tipi di autenticazione.

Per usare i file di configurazione del profilo client VPN (file xml), seguire questa procedura:

  1. Individuare il file di configurazione del profilo e aprirlo usando l'editor preferito.
  2. Usando gli esempi nelle sezioni seguenti, modificare il file in base alle esigenze, quindi salvare le modifiche.
  3. Importare il file per configurare il client VPN Azure:
    • Windows
      • Interfaccia client VPN di Azure: aprire il client VPN di Azure e selezionare + e quindi Importa. Individuare il file di .xml modificato. Configurare eventuali impostazioni aggiuntive nell'interfaccia client VPN Azure (se necessario), quindi selezionare Salva.
      • Prompt della riga di comando: posizionare il file XML di configurazione scaricato appropriato nel %userprofile%\AppData\Local\Packages\Microsoft. AzureVpn_8wekyb3d8bbwe\LocalState cartella, quindi eseguire il comando corrispondente al nome del file di configurazione. Ad esempio: azurevpn -i azurevpnconfig_aad.xml. Per forzare l'importazione, usare l'opzione -f .
    • macOS
      • Interfaccia client VPN di Azure: aprire il client VPN Azure e selezionare Importa. Individuare il file di .xml modificato. Configurare eventuali impostazioni aggiuntive nell'interfaccia client VPN Azure (se necessario), quindi selezionare Salva.
      • Prompt della riga di comando: Modificare il seguente frammento di codice per distribuire il file di configurazione. Eseguirlo con privilegi usando sudo sh ./script.sh. Potrebbe essere necessario riavviare se Azure CLient VPN è già stato avviato nella sessione utente. 
        #!/bin/sh

# Change this path
sourcePath="UPDATE THIS PATH TO YOUR XML"
profileName="Azure VPN"

# These lines do not need changing
consoleuser=$(ls -l /dev/console | awk '{ print $3 }')
filePath="/Users/$consoleuser/Library/Containers/com.microsoft.AzureVpnMac/Data/Library/Application Support/com.microsoft.AzureVpnMac/$profileName.AzureVpnProfile.xml"
cp $sourcePath $filePath

DNS

Aggiungere i suffissi DNS

Nota

Al momento, i suffissi DNS aggiuntivi per il client VPN Azure non vengono generati in un formato che può essere usato correttamente da macOS. I valori specificati per i suffissi DNS non vengono mantenuti per macOS.

Per aggiungere suffissi DNS, modificare il file XML del profilo scaricato e aggiungere i tag <dnssuffixes><dnssufix></dnssufix></dnssuffixes>.

<azvpnprofile>
<clientconfig>

    <dnssuffixes>
          <dnssuffix>.mycorp.com</dnssuffix>
          <dnssuffix>.xyz.com</dnssuffix>
          <dnssuffix>.etc.net</dnssuffix>
    </dnssuffixes>

</clientconfig>
</azvpnprofile>

Aggiungere server DNS personalizzati

Per aggiungere server DNS personalizzati, modificare il file XML del profilo scaricato e aggiungere i tag <dnsservers><dnsserver></dnsserver></dnsservers>.

<azvpnprofile>
<clientconfig>

    <dnsservers>
        <dnsserver>x.x.x.x</dnsserver>
            <dnsserver>y.y.y.y</dnsserver>
    </dnsservers>

</clientconfig>
</azvpnprofile>

Nota

Quando si usa l'autenticazione Microsoft Entra ID, il client VPN Azure utilizza le voci NRPT (DNS Name Resolution Policy Table), il che significa che i server DNS non sono elencati nell'output di ipconfig /all. Per verificare le impostazioni DNS in uso, vedere Get-DnsClientNrptPolicy in PowerShell.

Definizione dei percorsi di trasferimento

Split tunneling

Il split tunneling è configurato per impostazione predefinita per il client VPN.

Tunneling forzato

È possibile configurare il tunneling forzato per indirizzare tutto il traffico al tunnel VPN. Il tunneling forzato può essere configurato utilizzando due metodi diversi: tramite l'annuncio di percorsi personalizzati o modificando il file XML del profilo.

Nota

La connettività Internet non viene fornita tramite il gateway VPN. Di conseguenza, tutto il traffico associato a Internet viene eliminato.

  • Pubblicizzare route personalizzate: è possibile annunciare route personalizzate 0.0.0.0/1 e 128.0.0.0/1.

  • XML del profilo: è possibile modificare il file XML del profilo scaricato e aggiungere i tag <includeroutes><route><destination><mask></destination></mask></route></includeroutes>.

Per Client VPN di Azure per Windows:

  • Versione 2.1900:39.0 o successiva. È possibile includere la route 0/0. Modificare il file XML del profilo scaricato e aggiungere il tag <includeroutes><route><destination><mask></destination></mask></route></includeroutes>. Assicurarsi di aggiornare il numero di versione a 2.
  • Versione precedente alla 2.1900:39.0: è necessario aggiungere due route personalizzate: 0.0.0.0/1 e 128.0.0.0/1.

Per Azure VPN Client su macOS:

  • macOS versione 14 o successiva. È supportata solo la route personalizzata 0/0. Le route 0.0.0.0/1 e 128.0.0.0/1 non sono supportate.

È possibile includere la route 0.0.0.0/0 personalizzata nel file xml:

 <azvpnprofile>
 <clientconfig>

   <includeroutes>
       <route>
           <destination>0.0.0.0</destination><mask>0</mask>
       </route>
   </includeroutes>

 </clientconfig>
 </azvpnprofile>

È possibile aggiungere le route 0.0.0.0/1 personalizzate e 128.0.0.0/1 nel file xml:

<azvpnprofile>
<clientconfig>

 <includeroutes>
     <route>
         <destination>0.0.0.0</destination><mask>1</mask>
     </route>
     <route>
         <destination>128.0.0.0</destination><mask>1</mask>
     </route>
 </includeroutes>

</clientconfig>
</azvpnprofile>

Nota

  • Lo stato predefinito per il tag clientconfig è <clientconfig i:nil="true" />, che può essere modificato in base al requisito.
  • Un tag clientconfig duplicato non è supportato in macOS, quindi assicurarsi che il tag clientconfig non sia duplicato nel file XML.

Aggiungere route personalizzate

È possibile aggiungere route personalizzate. Modificare il file XML del profilo scaricato e aggiungere il tag <includeroutes><route><destination><mask></destination></mask></route></includeroutes>.

<azvpnprofile>
<clientconfig>

    <includeroutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
                <destination>y.y.y.y</destination><mask>24</mask>
            </route>
    </includeroutes>

</clientconfig>
</azvpnprofile>

Blocca (escludi) percorsi

La possibilità di bloccare completamente le route non è supportata dal client VPN Azure. Il client VPN Azure non supporta l'eliminazione di route dalla tabella di routing locale. È invece possibile escludere route dall'interfaccia VPN. Modificare il file XML del profilo scaricato e aggiungere il tag <includeroutes><route><destination><mask></destination></mask></route></excluderoutes>.

<azvpnprofile>
<clientconfig>

    <excluderoutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
            <destination>y.y.y.y</destination><mask>24</mask>
        </route>
    </excluderoutes>

</clientconfig>
</azvpnprofile>

Nota

  • Per includere/escludere più route di destinazione, inserire ogni indirizzo di destinazione in un tag di route separato (come illustrato negli esempi precedenti), perché più indirizzi di destinazione in un singolo tag di route non funzioneranno.
  • Se viene visualizzato l'errore "La destinazione non può essere vuota o contenere più di una voce nel tag di route" verificare il file XML del profilo e accertarsi che la sezione includeroutes/excluderoutes comprenda solo un indirizzo di destinazione all’interno di un tag route.

informazioni sulla versione del client VPN Azure

Per informazioni sulla versione del client Azure VPN, vedere Azure VPN Client versioni.

Passaggi successivi

Per altre informazioni sulla VPN da sito a sito, vedere gli articoli seguenti:

  • Last updated on