Cliente VPN do Azure – definir configurações opcionais de DNS e roteamento
Este artigo ajuda a definir configurações opcionais para o Cliente VPN do Azure para conexões P2S (ponto a site) do Gateway de VPN. Você pode configurar sufixos DNS, servidores DNS personalizados, rotas personalizadas e túnel forçado no lado do cliente VPN.
Observação
O cliente VPN do Azure só tem suporte para conexões de protocolo OpenVPN®.
Pré-requisitos
As etapas neste artigo pressupõem que você configurou o gateway P2S e baixou o Cliente VPN do Azure para conectar computadores cliente. Confira os seguintes artigos para conhecer as etapas:
Trabalhar com arquivos de configuração de perfil do cliente VPN
As etapas neste artigo exigem que você modifique e importe o arquivo de configuração de perfil de cliente VPN do Azure. Os seguintes arquivos de configuração de perfil são gerados, dependendo dos tipos de autenticação configurados para seu gateway P2S VPN.
- azurevpnconfig.xml: Esse arquivo é gerado quando apenas um tipo de autenticação é selecionado.
- azurevpnconfig_aad.xml: Esse arquivo é gerado para autenticação do Microsoft Entra ID quando há vários tipos de autenticação selecionados.
- azurevpnconfig_cert.xml: Esse arquivo é gerado para autenticação de certificado quando há vários tipos de autenticação selecionados.
Para trabalhar com arquivos de configuração de perfil de cliente VPN (arquivos xml), use as etapas s seguir:
Localize o arquivo de configuração de perfil e abra-o usando o editor de sua escolha.
Usando os exemplos nas seções a seguir, modifique o arquivo conforme necessário e salve as alterações.
Importe o arquivo para configurar o cliente VPN do Azure. Você pode importar o arquivo para o cliente VPN do Azure usando estes métodos:
Interface do cliente VPN do Azure: abra o cliente VPN do Azure e clique em + e, em seguida, em Importar. Localize o arquivo .xml modificado, configure quaisquer configurações adicionais na interface do cliente VPN do Azure (se necessário) e clique em Salvar.
Prompt de linha de comando: Coloque o arquivo xml de configuração baixado apropriado na pasta %userprofile%\AppData\Local\Packages\Microsoft.AzureVpn_8wekyb3d8bbwe\LocalState e execute o comando que corresponde ao nome do arquivo de configuração. Por exemplo,
azurevpn -i azurevpnconfig_aad.xml
. Para forçar a importação, use o comutador -f.
DNS
Adicionar sufixos DNS
Observação
No momento, sufixos DNS adicionais para o cliente VPN do Azure não são gerados em um formato que pode ser usado corretamente pelo macOS. Os valores especificados para sufixos DNS não persistem no macOS.
Para adicionar sufixos DNS, modificar o arquivo XML do perfil baixado e adicionar as marcas <dnssuffixes><dnssufix></dnssufix></dnssuffixes>.
<azvpnprofile>
<clientconfig>
<dnssuffixes>
<dnssuffix>.mycorp.com</dnssuffix>
<dnssuffix>.xyz.com</dnssuffix>
<dnssuffix>.etc.net</dnssuffix>
</dnssuffixes>
</clientconfig>
</azvpnprofile>
Adicionar servidores DNS personalizados
Para adicionar servidores DNS personalizados, modificar o arquivo XML do perfil baixado e adicionar as marcas <dnsserver><dnsserver></dnsserver></dnsservers>.
<azvpnprofile>
<clientconfig>
<dnsservers>
<dnsserver>x.x.x.x</dnsserver>
<dnsserver>y.y.y.y</dnsserver>
</dnsservers>
</clientconfig>
</azvpnprofile>
Observação
Ao usar a autenticação do Microsoft Entra ID, o cliente de VPN do Azure utiliza as entradas da Tabela de Políticas de Resolução de Nomes (NRPT) DNS, o que significa que os servidores DNS não serão listados na saída de ipconfig /all
. Para confirmar suas configurações de DNS em uso, confira Get-DnsClientNrptPolicy no PowerShell.
Roteamento
Túnel dividido
O túnel dividido é configurado por padrão para o cliente VPN.
Túnel forçado
Você pode configurar o túnel forçado para direcionar todo o tráfego para o túnel VPN. O túnel forçado pode ser configurado usando dois métodos diferentes; anunciando rotas personalizadas ou modificando o arquivo XML do perfil. Você poderá incluir 0/0 se estiver usando o cliente VPN do Azure versão 2.1900:39.0 ou superior.
Observação
A conectividade com a Internet não é fornecida por meio do gateway de VPN. Como resultado, todo o tráfego limitado à Internet é descartado.
Anunciar rotas personalizadas: você pode anunciar rotas personalizadas
0.0.0.0/1
and128.0.0.0/1
. Para saber mais, confira Anunciar rotas personalizadas para clientes VPN P2S.Profile XML: Você pode modificar o arquivo XML do perfil baixado e adicionar as marcas <includeroutes><route><destination><mask></destination></mask></route>< /includeroutes>.
<azvpnprofile> <clientconfig> <includeroutes> <route> <destination>0.0.0.0</destination><mask>1</mask> </route> <route> <destination>128.0.0.0</destination><mask>1</mask> </route> </includeroutes> </clientconfig> </azvpnprofile>
Observação
- O status padrão da marca clientconfig é
<clientconfig i:nil="true" />
e ela pode ser modificada com base no requisito. - Não há suporte para uma marca clientconfig duplicada no macOS, portanto, verifique se a marca clientconfig não está duplicada no arquivo XML.
Adicionar rotas personalizadas
Você pode adicionar rotas personalizadas. Modifique o arquivo XML do perfil baixado e adicione as marcas <includeroutes><route><destination><mask></destination></mask></route></includeroutes>.
<azvpnprofile>
<clientconfig>
<includeroutes>
<route>
<destination>x.x.x.x</destination><mask>24</mask>
</route>
<route>
<destination>y.y.y.y</destination><mask>24</mask>
</route>
</includeroutes>
</clientconfig>
</azvpnprofile>
Bloquear (excluir) rotas
A capacidade de bloquear rotas completamente não tem suporte do Cliente de VPN do Azure. O Cliente de VPN do Azure não dá suporte à remoção de rotas da tabela de roteamento local. Alternativamente, você pode excluir as rotas da interface da VPN. Modifique o arquivo XML do perfil baixado e adicione as marcas <excluderoutes><route><destination><mask></destination></mask></route></excluderoutes>.
<azvpnprofile>
<clientconfig>
<excluderoutes>
<route>
<destination>x.x.x.x</destination><mask>24</mask>
</route>
<route>
<destination>y.y.y.y</destination><mask>24</mask>
</route>
</excluderoutes>
</clientconfig>
</azvpnprofile>
Observação
- Para incluir/excluir várias rotas de destino, coloque cada endereço de destino em uma marca de rota separada (conforme mostrado nos exemplos acima), pois vários endereços de destino em uma única marca de rota não funcionarão.
- Se você encontrar o erro "O destino não pode estar vazio ou ter mais de uma entrada dentro da marca de rota", verifique o arquivo XML do perfil e verifique se a seção includeroutes/excluderoutes tem apenas um endereço de destino dentro de uma marca de rota.
Informações sobre a versão do Cliente VPN do Azure
Para obter informações sobre a versão do Cliente VPN do Azure, confira Versões do Cliente VPN do Azure.
Próximas etapas
Para obter mais informações sobre VPN P2S, consulte os seguintes artigos: