Azure VPN Client: Konfigurieren optionaler DNS- und Routingeinstellungen

In diesem Artikel erhalten Sie Hilfe beim Konfigurieren optionaler Einstellungen für Azure VPN Client für P2S-Verbindungen (Point-to-Site-Verbindungen) von VPN Gateway. Sie können DNS-Suffixe, benutzerdefinierte DNS-Server, benutzerdefinierte Routen und clientseitige VPN-Tunnelerzwingung konfigurieren.

Hinweis

Der Azure VPN Client wird nur für OpenVPN-Protokollverbindungen unterstützt.

Voraussetzungen

Bei den Schritten in diesem Artikel wird davon ausgegangen, dass Sie Ihr P2S-Gateway konfiguriert und Azure VPN Client heruntergeladen haben, um Clientcomputer zu verbinden. Informationen zu den entsprechenden Schritten finden Sie in den folgenden Artikeln:

Arbeiten mit Profilkonfigurationsdateien für den VPN-Client

Die Schritte in diesem Artikel erfordern, dass Sie die Azure VPN Client-Profilkonfigurationsdatei ändern und importieren. Die folgenden Profilkonfigurationsdateien werden je nach den für Ihr P2S-VPN-Gateway konfigurierten Authentifizierungstypen generiert.

  • azurevpnconfig.xml: Diese Datei wird generiert, wenn nur ein Authentifizierungstyp ausgewählt ist.
  • azurevpnconfig_aad.xml: Diese Datei wird für die Microsoft Entra ID-Authentifizierung generiert, wenn mehrere Authentifizierungstypen ausgewählt sind.
  • azurevpnconfig_cert.xml: Diese Datei wird für die Zertifikatauthentifizierung generiert, wenn mehrere Authentifizierungstypen ausgewählt sind.

Führen Sie folgende Schritte aus, um VPN-Client-Profilkonfigurationsdateien (XML-Dateien) zu verwenden:

  1. Suchen Sie die Profilkonfigurationsdatei, und öffnen Sie sie mithilfe des Editors Ihrer Wahl.

  2. Ändern Sie anhand der Beispiele in den folgenden Abschnitten die Datei nach Bedarf, und speichern Sie dann Ihre Änderungen.

  3. Importieren Sie die Datei, um den Azure VPN-Client zu konfigurieren. Sie können die Datei für Azure VPN Client mit den folgenden Methoden importieren:

    • Azure VPN Client-Schnittstelle: Öffnen Sie die Azure VPN Client-Instanz, und klicken Sie auf + und dann auf Importieren. Suchen Sie die geänderte XML-Datei, konfigurieren Sie alle zusätzlichen Einstellungen in der Azure VPN Client-Schnittstelle (falls erforderlich), und klicken Sie dann auf Speichern.

    • Befehlszeilen-Eingabeaufforderung: Fügen Sie die entsprechende heruntergeladene XML-Konfigurationsdatei dem Ordner %userprofile%\AppData\Local\Packages\Microsoft.AzureVpn_8wekyb3d8bbwe\LocalState hinzu, und führen Sie dann den Befehl aus, der dem Namen der Konfigurationsdatei entspricht. Beispiel: azurevpn -i azurevpnconfig_aad.xml. Um den Import zu erzwingen, verwenden Sie den Schalter -f.

DNS

Hinzufügen der DNS-Suffixe

Hinweis

Zu diesem Zeitpunkt werden zusätzliche DNS-Suffixe für den Azure VPN-Client nicht in einem Format generiert, das von macOS ordnungsgemäß verwendet werden kann. Die angegebenen Werte für DNS-Suffixe bleiben für macOS nicht erhalten.

Um DNS-Suffixe hinzuzufügen, ändern Sie die heruntergeladene XML-Profildatei und fügen die Tags <dnssuffixes><dnssufix></dnssufix></dnssuffixes> hinzu.

<azvpnprofile>
<clientconfig>

    <dnssuffixes>
          <dnssuffix>.mycorp.com</dnssuffix>
          <dnssuffix>.xyz.com</dnssuffix>
          <dnssuffix>.etc.net</dnssuffix>
    </dnssuffixes>

</clientconfig>
</azvpnprofile>

Benutzerdefinierte DNS-Server hinzufügen

Um benutzerdefinierte DNS-Server hinzuzufügen, ändern Sie die heruntergeladene XML-Profildatei und fügen die Tags <dnsservers><dnsserver></dnsserver></dnsservers> hinzu.

<azvpnprofile>
<clientconfig>

    <dnsservers>
        <dnsserver>x.x.x.x</dnsserver>
            <dnsserver>y.y.y.y</dnsserver>
    </dnsservers>

</clientconfig>
</azvpnprofile>

Hinweis

Bei Verwendung der Microsoft Entra ID-Authentifizierung verwendet Azure VPN Client DNS-NRPT-Einträge (Name Resolution Policy Table). Das bedeutet, dass DNS-Server nicht unter der Ausgabe von ipconfig /all aufgeführt werden. Verwenden Sie Get-DnsClientNrptPolicy in PowerShell, um die von Ihnen derzeit verwendeten DNS-Einstellungen zu überprüfen.

Routing

Getrenntes Tunneln

Getrenntes Tunneln ist standardmäßig für den VPN-Client konfiguriert.

Tunnelerzwingung

Sie können Tunnelerzwingung konfigurieren, um den gesamten Datenverkehr an den VPN-Tunnel weiterzuleiten. Tunnelerzwingung kann mit zwei verschiedenen Methoden konfiguriert werden: durch Ankündigen benutzerdefinierter Routen oder durch Ändern der XML-Profildatei. Sie können 0/0 einschließen, wenn Sie die Azure VPN Client-Version 2.1900:39.0 oder höher verwenden.

Hinweis

Internetkonnektivität wird nicht über das VPN-Gateway bereitgestellt. Daher wird der für das Internet gebundene Datenverkehr verworfen.

  • Ankündigen benutzerdefinierter Routen: Sie können benutzerdefinierte Routen 0.0.0.0/1 und 128.0.0.0/1 ankündigen. Weitere Informationen finden Sie unter Ankündigung benutzerdefinierter Routen für P2S-VPN-Clients.

  • XML-Profildatei: Sie können die heruntergeladene XML-Profildatei ändern und die Tags <includeroutes><route><destination><mask></destination></mask></route></includeroutes> hinzufügen.

    <azvpnprofile>
    <clientconfig>
    
      <includeroutes>
          <route>
              <destination>0.0.0.0</destination><mask>1</mask>
          </route>
          <route>
              <destination>128.0.0.0</destination><mask>1</mask>
          </route>
      </includeroutes>
    
    </clientconfig>
    </azvpnprofile>
    

Hinweis

  • Der Standardstatus für das clientconfig-Tag ist <clientconfig i:nil="true" />. Er kann basierend auf der Anforderung geändert werden.
  • Doppelt vorhandene clientconfig-Tags werden unter macOS nicht unterstützt. Stellen Sie daher sicher, dass das clientconfig-Tag in der XML-Datei nicht dupliziert wird.

Benutzerdefinierte Routen hinzufügen

Sie können benutzerdefinierte Routen hinzufügen. Ändern Sie die heruntergeladene XML-Profildatei, und fügen Sie die Tags <includeroutes><route><destination><mask></destination></mask></route></includeroutes> hinzu.

<azvpnprofile>
<clientconfig>

    <includeroutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
                <destination>y.y.y.y</destination><mask>24</mask>
            </route>
    </includeroutes>

</clientconfig>
</azvpnprofile>

Blockieren (ausschließen) von Routen

Die Möglichkeit, Routen vollständig zu blockieren, wird vom Azure VPN Client nicht unterstützt. Der Azure VPN Client unterstützt das Löschen von Routen aus der lokalen Routingtabelle nicht. Stattdessen können Sie Routen von der VPN-Schnittstelle ausschließen. Ändern Sie die heruntergeladene XML-Profildatei, und fügen Sie die Tags <excluderoutes><route><destination><mask></destination></mask></route></excluderoutes> hinzu.

<azvpnprofile>
<clientconfig>

    <excluderoutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
            <destination>y.y.y.y</destination><mask>24</mask>
        </route>
    </excluderoutes>

</clientconfig>
</azvpnprofile>

Hinweis

  • Um mehrere Zielrouten ein- bzw. auszuschließen, platzieren Sie jede Zieladresse unter einem separaten Routentag (wie in den obigen Beispielen gezeigt), da mehrere Zieladressen in einem einzelnen Routentag nicht funktionieren.
  • Wenn der Fehler Ziel darf nicht leer sein oder mehrere Einträge innerhalb des Routentags enthalten auftritt, überprüfen Sie die XML-Profildatei, und stellen Sie sicher, dass der Abschnitt includeroutes/excluderoutes nur eine Zieladresse innerhalb eines Routentags enthält.

Informationen zur Azure VPN-Clientversion

Informationen zur Version von Azure VPN Client finden Sie unter Azure VPN Client-Versionen.

Nächste Schritte

Weitere Informationen zu P2S-VPN finden Sie in den folgenden Artikeln: