Decisioni per il routing VPN

• Si applica a:

  ✅ Windows 11, ✅ Windows 10

Le route di rete sono necessarie per consentire allo stack di capire quale interfaccia usare per il traffico in uscita. Una delle decisioni più importanti per la configurazione di reti VPN è stabilire se vuoi inviare tutti i dati tramite VPN (imposizione del tunneling) o solo alcuni dati (split tunneling). La decisione influisce sulla configurazione, sulla pianificazione della capacità e sulle aspettative di sicurezza dalla connessione.

Configurazione con split tunneling

In una configurazione con split tunneling è possibile specificare il passaggio delle route sulla VPN e tutto il resto del traffico attraverserà l'interfaccia fisica.

Le route possono essere configurate usando l'impostazione VPNv2/<ProfileName>/RouteList nel provider di servizi di configurazione VPNv2 (CSP).

Per ogni elemento della route nell'elenco, è possibile configurare le opzioni seguenti:

• Indirizzo: VPNv2/<ProfileName>/RouteList/<routeRowId>/Address
• Dimensioni del prefisso: VPNv2/<ProfileName>/RouteList/<routeRowId>/Prefix
• Route di esclusione: VVPNv2/<ProfileName>/RouteList/<routeRowId>/ExclusionRoute

Con LA VPN di Windows è possibile specificare route di esclusione che non devono passare attraverso l'interfaccia fisica.

È anche possibile aggiungere le route al momento della connessione tramite il server per le app VPN UWP.

Configurazione con imposizione del tunneling

In una configurazione con imposizione del tunneling tutto il traffico passa attraverso la VPN. Force tunnel è la configurazione predefinita e diventa effettiva quando non vengono specificate route.

L'unica implicazione del tunnel di forza è la manipolazione delle voci di routing: le route vpn V4 e V6 predefinite (ad esempio 0.0.0.0/0) vengono aggiunte alla tabella di routing con una metrica inferiore rispetto a quelle per altre interfacce. Questa configurazione invia il traffico attraverso la VPN purché non sia presente una route specifica nell'interfaccia fisica:

• Per la VPN predefinita, la decisione viene controllata usando l'impostazione MDM VPNv2/ProfileName/NativeProfile/RoutingPolicyType
• Per un plug-in VPN UWP, l'app controlla la proprietà . Se il plug-in VPN indica la route predefinita per IPv4 e IPv6 come le uniche due route di inclusione, la piattaforma VPN contrassegna la connessione come Force Tunneled

Configurare il routing

Vedi Opzioni del profilo VPN e CSP VPNv2 per la configurazione XML.

Quando si configura un profilo VPN in Microsoft Intune, è possibile abilitare la configurazione del tunnel diviso:

Una volta abilitata, è possibile aggiungere le route che devono usare la connessione VPN.

Articoli correlati

• Guida tecnica alle reti VPN
• Tipi di connessione VPN
• Opzioni di autenticazione VPN
• VPN e accesso condizionale
• Risoluzione dei nomi VPN
• Opzioni del profilo ad attivazione automatica VPN
• Funzionalità di sicurezza della rete VPN
• Opzioni del profilo VPN