Azure VPN Client: Konfigurieren optionaler DNS- und Routingeinstellungen

Dieser Artikel unterstützt Sie beim Konfigurieren optionaler Einstellungen für Azure VPN Client für P2S-Verbindungen von VPN Gateway. Sie können DNS-Suffixe, benutzerdefinierte DNS-Server, benutzerdefinierte Routen und clientseitige VPN-Tunnelerzwingung konfigurieren.

Hinweis

Der Azure VPN Client wird nur für OpenVPN-Protokollverbindungen unterstützt.

Voraussetzungen

Wenn dies noch nicht geschehen ist, stellen Sie sicher, dass Sie die folgenden Aufgaben ausgeführt haben:

• Generieren und Herunterladen der VPN-Clientprofil-Konfigurationsdateien für Ihre P2S-Bereitstellung. Führen Sie die folgenden Schritte durch:

  1. Navigieren Sie im Azure-Portal zum Gateway für virtuelle Netzwerke.
  2. Klicken Sie auf Point-to-Site-Konfiguration.
  3. Klicken Sie auf VPN-Client herunterladen.
  4. Wählen Sie den Client aus, und geben Sie alle erforderlichen Informationen an.
  5. Klicken Sie auf Herunterladen, um die ZIP-Datei zu generieren.
  6. Die ZIP-Datei wird heruntergeladen – in der Regel in Ihren Ordner für Downloads.

• Laden Sie den Azure VPN Client herunter, und installieren Sie ihn. Die erforderlichen Schritte finden Sie in den folgenden Artikeln:

  • Zertifikatauthentifizierung
  • Microsoft Entra-Authentifizierung

Arbeiten mit Profilkonfigurationsdateien für den VPN-Client

Die Schritte in diesem Artikel erfordern, dass Sie die Azure VPN Client-Profilkonfigurationsdatei ändern und importieren. Führen Sie folgende Schritte aus, um VPN-Client-Profilkonfigurationsdateien (XML-Dateien) zu verwenden:

1. Suchen Sie die Profilkonfigurationsdatei, und öffnen Sie sie mithilfe des Editors Ihrer Wahl.

2. Ändern Sie anhand der Beispiele in den folgenden Abschnitten die Datei nach Bedarf, und speichern Sie dann Ihre Änderungen.

3. Importieren Sie die Datei, um den Azure VPN-Client zu konfigurieren. Sie können die Datei für Azure VPN Client mit den folgenden Methoden importieren:

   • Azure VPN Client-Schnittstelle: Öffnen Sie die Azure VPN Client-Instanz, und klicken Sie auf + und dann auf Importieren. Suchen Sie die geänderte XML-Datei, konfigurieren Sie alle zusätzlichen Einstellungen in der Azure VPN Client-Schnittstelle (falls erforderlich), und klicken Sie dann auf Speichern.

   • Befehlszeilen-Eingabeaufforderung: Fügen Sie die heruntergeladene Datei azurevpnconfig.xml dem Ordner %userprofile%\AppData\Local\Packages\Microsoft.AzureVpn_8wekyb3d8bbwe\LocalState hinzu, und führen Sie dann den folgenden Befehl aus: azurevpn -i azurevpnconfig.xml. Um den Import zu erzwingen, verwenden Sie den Schalter -f.

DNS

Hinzufügen der DNS-Suffixe

Hinweis

Zu diesem Zeitpunkt werden zusätzliche DNS-Suffixe für den Azure VPN-Client nicht in einem Format generiert, das von macOS ordnungsgemäß verwendet werden kann. Die angegebenen Werte für DNS-Suffixe bleiben für macOS nicht erhalten.

Um DNS-Suffixe hinzuzufügen, ändern Sie die heruntergeladene XML-Profildatei und fügen die Tags <dnssuffixes><dnssufix></dnssufix></dnssuffixes> hinzu.

<azvpnprofile>
<clientconfig>

    <dnssuffixes>
          <dnssuffix>.mycorp.com</dnssuffix>
          <dnssuffix>.xyz.com</dnssuffix>
          <dnssuffix>.etc.net</dnssuffix>
    </dnssuffixes>

</clientconfig>
</azvpnprofile>

Benutzerdefinierte DNS-Server hinzufügen

Um benutzerdefinierte DNS-Server hinzuzufügen, ändern Sie die heruntergeladene XML-Profildatei und fügen die Tags <dnsservers><dnsserver></dnsserver></dnsservers> hinzu.

<azvpnprofile>
<clientconfig>

    <dnsservers>
        <dnsserver>x.x.x.x</dnsserver>
            <dnsserver>y.y.y.y</dnsserver>
    </dnsservers>

</clientconfig>
</azvpnprofile>

Hinweis

Der OpenVPN-Microsoft Entra-Client verwendet DNS-Einträge der Richtlinientabelle für die Namensauflösung (Name Resolution Policy Table, NRPT). Dies bedeutet, dass in der Ausgabe von ipconfig /all keine DNS-Server aufgeführt werden. Verwenden Sie Get-DnsClientNrptPolicy in PowerShell, um die von Ihnen derzeit verwendeten DNS-Einstellungen zu überprüfen.

Routing

Getrenntes Tunneln

Getrenntes Tunneln ist standardmäßig für den VPN-Client konfiguriert.

Tunnelerzwingung

Sie können Tunnelerzwingung konfigurieren, um den gesamten Datenverkehr an den VPN-Tunnel weiterzuleiten. Tunnelerzwingung kann mit zwei verschiedenen Methoden konfiguriert werden: durch Ankündigen benutzerdefinierter Routen oder durch Ändern der XML-Profildatei. Sie können 0/0 einschließen, wenn Sie die Azure VPN Client-Version 2.1900:39.0 oder höher verwenden.

Hinweis

Internetkonnektivität wird nicht über das VPN-Gateway bereitgestellt. Daher wird der für das Internet gebundene Datenverkehr verworfen.

• Ankündigen benutzerdefinierter Routen: Sie können benutzerdefinierte Routen 0.0.0.0/1 und 128.0.0.0/1 ankündigen. Weitere Informationen finden Sie unter Ankündigung benutzerdefinierter Routen für P2S-VPN-Clients.

• XML-Profildatei: Sie können die heruntergeladene XML-Profildatei ändern und die Tags <includeroutes><route><destination><mask></destination></mask></route></includeroutes> hinzufügen. Stellen Sie sicher, dass Sie die Versionsnummer auf 2 aktualisieren.

  <azvpnprofile>
  <clientconfig>
  
    <includeroutes>
        <route>
            <destination>0.0.0.0</destination><mask>1</mask>
        </route>
        <route>
            <destination>128.0.0.0</destination><mask>1</mask>
        </route>
    </includeroutes>
  
  </clientconfig>
  </azvpnprofile>
  

Hinweis

• Der Standardstatus für das clientconfig-Tag ist <clientconfig i:nil="true" />. Er kann basierend auf der Anforderung geändert werden.
• Doppelt vorhandene clientconfig-Tags werden unter macOS nicht unterstützt. Stellen Sie daher sicher, dass das clientconfig-Tag in der XML-Datei nicht dupliziert wird.

Benutzerdefinierte Routen hinzufügen

Sie können benutzerdefinierte Routen hinzufügen. Ändern Sie die heruntergeladene XML-Profildatei, und fügen Sie die Tags <includeroutes><route><destination><mask></destination></mask></route></includeroutes> hinzu.

<azvpnprofile>
<clientconfig>

    <includeroutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
                <destination>y.y.y.y</destination><mask>24</mask>
            </route>
    </includeroutes>

</clientconfig>
</azvpnprofile>

Blockieren (ausschließen) von Routen

Die Möglichkeit, Routen vollständig zu blockieren, wird vom Azure VPN Client nicht unterstützt. Der Azure VPN Client unterstützt das Löschen von Routen aus der lokalen Routingtabelle nicht. Stattdessen können Sie Routen von der VPN-Schnittstelle ausschließen. Ändern Sie die heruntergeladene XML-Profildatei, und fügen Sie die Tags <excluderoutes><route><destination><mask></destination></mask></route></excluderoutes> hinzu.

<azvpnprofile>
<clientconfig>

    <excluderoutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
            <destination>y.y.y.y</destination><mask>24</mask>
        </route>
    </excluderoutes>

</clientconfig>
</azvpnprofile>

Hinweis

• Um mehrere Zielrouten ein- bzw. auszuschließen, platzieren Sie jede Zieladresse unter einem separaten Routentag (wie in den obigen Beispielen gezeigt), da mehrere Zieladressen in einem einzelnen Routentag nicht funktionieren.
• Wenn der Fehler Ziel darf nicht leer sein oder mehrere Einträge innerhalb des Routentags enthalten auftritt, überprüfen Sie die XML-Profildatei, und stellen Sie sicher, dass der Abschnitt includeroutes/excluderoutes nur eine Zieladresse innerhalb eines Routentags enthält.

Informationen zur Azure VPN-Clientversion

Informationen zur Version von Azure VPN Client finden Sie unter Azure VPN Client-Versionen.

Nächste Schritte

Weitere Informationen zu P2S-VPN finden Sie in den folgenden Artikeln:

• Informationen zu Point-to-Site-VPN
• Informationen zu Point-to-Site-VPN-Routing