Cliente VPN do Azure – definir configurações opcionais de DNS e roteamento

  • Artigo

Este artigo ajuda a definir configurações opcionais para o Cliente VPN do Azure para conexões P2S do Gateway de VPN. Você pode configurar sufixos DNS, servidores DNS personalizados, rotas personalizadas e túnel forçado no lado do cliente VPN.

Observação

O cliente VPN do Azure só tem suporte para conexões de protocolo OpenVPN®.

Antes de começar

Se você ainda não fez isso, certifique-se de concluir os seguintes itens:

  • Gere e baixe os arquivos de configuração do perfil do cliente VPN para sua implantação P2S. Use as seguintes etapas:

    1. No portal do Azure, acesse a página do gateway de rede virtual.
    2. Clique em Configuração de ponto a site.
    3. Clique em Baixar cliente VPN.
    4. Selecione o cliente e preencha todas as informações solicitadas.
    5. Clique em Baixar para gerar o arquivo .zip.
    6. Geralmente o arquivo .zip é baixado na pasta Downloads.

  • Baixe e instale o cliente VPN do Azure. Para ver as etapas, consulte um dos seguintes artigos:

Trabalhar com arquivos de configuração de perfil do cliente VPN

As etapas neste artigo exigem que você modifique e importe o arquivo de configuração de perfil de cliente VPN do Azure. Para trabalhar com arquivos de configuração de perfil de cliente VPN (arquivos xml), use as etapas s seguir:

  1. Localize o arquivo de configuração de perfil e abra-o usando o editor de sua escolha.

  2. Usando os exemplos nas seções a seguir, modifique o arquivo conforme necessário e salve as alterações.

  3. Importe o arquivo para configurar o cliente VPN do Azure. Você pode importar o arquivo para o cliente VPN do Azure usando estes métodos:

    • Interface do cliente VPN do Azure: abra o cliente VPN do Azure e clique em + e, em seguida, em Importar. Localize o arquivo xml modificado, defina as configurações adicionais na interface do cliente VPN do Azure (se necessário) e clique em Salvar.

    • Prompt da linha de comando: coloque o arquivo azurevpnconfig.xml baixado na pasta %userprofile%\AppData\Local\Packages\Microsoft.AzureVpn_8wekyb3d8bbwe\LocalState e execute o comando a seguir: azurevpn -i azurevpnconfig.xml. Para forçar a importação, use o comutador -f.

DNS

Adicionar sufixos DNS

Observação

No momento, sufixos DNS adicionais para o cliente VPN do Azure não são gerados em um formato que pode ser usado corretamente pelo macOS. Os valores especificados para sufixos DNS não persistem no macOS.

Para adicionar sufixos DNS, modificar o arquivo XML do perfil baixado e adicionar as marcas <dnssuffixes><dnssufix></dnssufix></dnssuffixes>.

<azvpnprofile>
<clientconfig>

    <dnssuffixes>
          <dnssuffix>.mycorp.com</dnssuffix>
          <dnssuffix>.xyz.com</dnssuffix>
          <dnssuffix>.etc.net</dnssuffix>
    </dnssuffixes>

</clientconfig>
</azvpnprofile>

Adicionar servidores DNS personalizados

Para adicionar servidores DNS personalizados, modificar o arquivo XML do perfil baixado e adicionar as marcas <dnsserver><dnsserver></dnsserver></dnsservers>.

<azvpnprofile>
<clientconfig>

    <dnsservers>
        <dnsserver>x.x.x.x</dnsserver>
            <dnsserver>y.y.y.y</dnsserver>
    </dnsservers>

</clientconfig>
</azvpnprofile>

Observação

O cliente OpenVPN do Microsoft Entra utiliza as entradas da Tabela de Políticas de Resolução de Nomes (NRPT) DNS, o que significa que os servidores DNS não serão listados na saída de ipconfig /all. Para confirmar suas configurações de DNS em uso, confira Get-DnsClientNrptPolicy no PowerShell.

Roteamento

Túnel dividido

O túnel dividido é configurado por padrão para o cliente VPN.

Túnel forçado

Você pode configurar o túnel forçado para direcionar todo o tráfego para o túnel VPN. O túnel forçado pode ser configurado usando dois métodos diferentes; anunciando rotas personalizadas ou modificando o arquivo XML do perfil. Você poderá incluir 0/0 se estiver usando o cliente VPN do Azure versão 2.1900:39.0 ou superior.

Observação

A conectividade com a Internet não é fornecida por meio do gateway de VPN. Como resultado, todo o tráfego limitado à Internet é descartado.

  • Anunciar rotas personalizadas: você pode anunciar rotas personalizadas 0.0.0.0/1 and 128.0.0.0/1. Para saber mais, confira Anunciar rotas personalizadas para clientes VPN P2S.

  • Profile XML: Você pode modificar o arquivo XML do perfil baixado e adicionar as marcas <includeroutes><route><destination><mask></destination></mask></route>< /includeroutes>. Atualize o número de versão para 2.

    <azvpnprofile>
<clientconfig>

  <includeroutes>
      <route>
          <destination>0.0.0.0</destination><mask>1</mask>
      </route>
      <route>
          <destination>128.0.0.0</destination><mask>1</mask>
      </route>
  </includeroutes>

</clientconfig>
</azvpnprofile>

Observação

  • O status padrão da marca clientconfig é <clientconfig i:nil="true" /> e ela pode ser modificada com base no requisito.
  • Não há suporte para uma marca clientconfig duplicada no macOS, portanto, verifique se a marca clientconfig não está duplicada no arquivo XML.

Adicionar rotas personalizadas

Você pode adicionar rotas personalizadas. Modifique o arquivo XML do perfil baixado e adicione as marcas <includeroutes><route><destination><mask></destination></mask></route></includeroutes>.

<azvpnprofile>
<clientconfig>

    <includeroutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
                <destination>y.y.y.y</destination><mask>24</mask>
            </route>
    </includeroutes>

</clientconfig>
</azvpnprofile>

Bloquear (excluir) rotas

A capacidade de bloquear rotas completamente não tem suporte do Cliente de VPN do Azure. O Cliente de VPN do Azure não dá suporte à remoção de rotas da tabela de roteamento local. Alternativamente, você pode excluir as rotas da interface da VPN. Modifique o arquivo XML do perfil baixado e adicione as marcas <excluderoutes><route><destination><mask></destination></mask></route></excluderoutes>.

<azvpnprofile>
<clientconfig>

    <excluderoutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
            <destination>y.y.y.y</destination><mask>24</mask>
        </route>
    </excluderoutes>

</clientconfig>
</azvpnprofile>

Observação

  • Para incluir/excluir várias rotas de destino, coloque cada endereço de destino em uma marca de rota separada (conforme mostrado nos exemplos acima), pois vários endereços de destino em uma única marca de rota não funcionarão.
  • Se você encontrar o erro "O destino não pode estar vazio ou ter mais de uma entrada dentro da marca de rota", verifique o arquivo XML do perfil e verifique se a seção includeroutes/excluderoutes tem apenas um endereço de destino dentro de uma marca de rota.

Informações sobre a versão do Cliente VPN do Azure

Para obter informações sobre a versão do Cliente VPN do Azure, confira Versões do Cliente VPN do Azure.

Próximas etapas

Para obter mais informações sobre VPN P2S, consulte os seguintes artigos: