Azure VPN-Client – Konfigurieren optionaler Routing- und DNS-Einstellungen

Dieser Artikel hilft Ihnen beim Konfigurieren optionaler Einstellungen für den Azure VPN-Client für Virtual WAN Benutzer-VPN-Point-to-Site-Verbindungen. Sie können DNS-Suffixe, benutzerdefinierte DNS-Server, benutzerdefinierte Routen und clientseitiges erzwungenes VPN-Tunneln konfigurieren.

Hinweis

Der Azure VPN-Client wird nur für OpenVPN-Protokollverbindungen® unterstützt.

Voraussetzungen

Bei den Schritten in diesem Artikel wird davon ausgegangen, dass Sie Ihr P2S-Gateway konfiguriert und den Azure VPN-Client heruntergeladen haben, um Clientcomputer zu verbinden. Schritte finden Sie in den folgenden Artikeln zur Point-to-Site-Konfiguration:

Informationen zum Herunterladen der VPN-Clientprofilkonfigurationsdatei ( XML-Datei) finden Sie unter Herunterladen eines globalen oder hubbasierten Profils.

Arbeiten mit VPN-Clientprofilkonfigurationsdateien

Die Schritte in diesem Artikel erfordern, dass Sie die Konfigurationsdatei des Azure VPN-Clientprofils ändern und importieren. Die folgenden Profilkonfigurationsdateien werden je nach den für Ihr P2S-VPN-Gateway konfigurierten Authentifizierungstypen generiert.

  • azurevpnconfig.xml: Diese Datei wird generiert, wenn nur ein Authentifizierungstyp ausgewählt ist.
  • azurevpnconfig_aad.xml: Diese Datei wird für Microsoft Entra ID Authentifizierung generiert, wenn mehrere Authentifizierungstypen ausgewählt sind.
  • azurevpnconfig_cert.xml: Diese Datei wird für die Zertifikatauthentifizierung generiert, wenn mehrere Authentifizierungstypen ausgewählt sind.

Führen Sie die folgenden Schritte aus, um mit VPN-Clientprofilkonfigurationsdateien (XML-Dateien) zu arbeiten:

  1. Suchen Sie die Profilkonfigurationsdatei, und öffnen Sie sie mit dem Editor Ihrer Wahl.
  2. Ändern Sie die Datei mit den Beispielen in den folgenden Abschnitten nach Bedarf, und speichern Sie dann Ihre Änderungen.
  3. Importieren Sie die Datei, um den Azure VPN-Client zu konfigurieren:
    • Windows
      • Azure VPN-Clientschnittstelle: Öffnen Sie den Azure VPN-Client, und wählen Sie + und dann Import aus. Suchen Sie die geänderte .xml Datei. Konfigurieren Sie alle zusätzlichen Einstellungen in der Azure VPN-Clientschnittstelle (falls erforderlich), und wählen Sie dann Speichern aus.
      • Befehlszeilenaufforderung: Platzieren Sie die entsprechende heruntergeladene XML-Konfigurationsdatei in der %userprofile%\AppData\Local\Packages\Microsoft. AzureVpn_8wekyb3d8bbwe\LocalState Ordner, führen Sie dann den Befehl aus, der dem Konfigurationsdateinamen entspricht. Beispiel: azurevpn -i azurevpnconfig_aad.xml. Verwenden Sie die -f Option, um den Import zu erzwingen.
    • macOS
      • Azure VPN-Clientschnittstelle: Öffnen Sie den Azure VPN-Client, und wählen Sie Import aus. Suchen Sie die geänderte .xml Datei. Konfigurieren Sie alle zusätzlichen Einstellungen in der Azure VPN-Clientschnittstelle (falls erforderlich), und wählen Sie dann Speichern aus.
      • Eingabeaufforderung: Ändern Sie den folgenden Codeausschnitt, um Ihre Konfigurationsdatei zu verteilen. Führen Sie es mit Administratorrechten mithilfe von sudo sh ./script.sh aus. Ein Neustart kann erforderlich sein, wenn Azure VPN CLient bereits in der Benutzersitzung gestartet wurde. 
        #!/bin/sh

# Change this path
sourcePath="UPDATE THIS PATH TO YOUR XML"
profileName="Azure VPN"

# These lines do not need changing
consoleuser=$(ls -l /dev/console | awk '{ print $3 }')
filePath="/Users/$consoleuser/Library/Containers/com.microsoft.AzureVpnMac/Data/Library/Application Support/com.microsoft.AzureVpnMac/$profileName.AzureVpnProfile.xml"
cp $sourcePath $filePath

DNS

Hinzufügen von DNS-Suffixen

Hinweis

Zu diesem Zeitpunkt werden zusätzliche DNS-Suffixe für den Azure VPN-Client nicht in einem Format generiert, das von macOS ordnungsgemäß verwendet werden kann. Die angegebenen Werte für DNS-Suffixe bleiben für macOS nicht erhalten.

Um DNS-Suffixe hinzuzufügen, ändern Sie die heruntergeladene Profil-XML-Datei, und fügen Sie die <dnssuffixes><dnssufix></dnssuffixes-Tags><> hinzu.

<azvpnprofile>
<clientconfig>

    <dnssuffixes>
          <dnssuffix>.mycorp.com</dnssuffix>
          <dnssuffix>.xyz.com</dnssuffix>
          <dnssuffix>.etc.net</dnssuffix>
    </dnssuffixes>

</clientconfig>
</azvpnprofile>

Hinzufügen von benutzerdefinierten DNS-Servern

Um benutzerdefinierte DNS-Server hinzuzufügen, ändern Sie die heruntergeladene Profil-XML-Datei, und fügen Sie die <dnsservers><dnsserver></dnsserver></dnsservers> Tags hinzu.

<azvpnprofile>
<clientconfig>

    <dnsservers>
        <dnsserver>x.x.x.x</dnsserver>
            <dnsserver>y.y.y.y</dnsserver>
    </dnsservers>

</clientconfig>
</azvpnprofile>

Hinweis

Bei der Verwendung von Microsoft Entra ID-Authentifizierung nutzt der Azure VPN-Client die Einträge der DNS Name Resolution Policy Table (NRPT), was bedeutet, dass DNS-Server nicht in der Ausgabe von ipconfig /all enthalten sind. Um Ihre in-Use-DNS-Einstellungen zu bestätigen, lesen Sie Get-DnsClientNrptPolicy in PowerShell.

Routing

Getrenntes Tunneln

Die geteilte Tunnelung ist standardmäßig für den VPN-Client konfiguriert.

Erzwungenes Tunneln

Sie können die erzwungene Tunnelung konfigurieren, um den gesamten Datenverkehr an den VPN-Tunnel zu leiten. Erzwungenes Tunneln kann mit zwei verschiedenen Methoden konfiguriert werden; entweder durch Anzeigen von benutzerdefinierten Routen oder durch Ändern der PROFIL-XML-Datei.

Hinweis

Die Internetverbindung wird nicht über das VPN-Gateway bereitgestellt. Daher wird der für das Internet gebundene Datenverkehr verworfen.

  • Benutzerdefinierte Routen ankündigen: Sie können benutzerdefinierte Routen 0.0.0.0/1 und 128.0.0.0/1.

  • XML-Profildatei: Sie können die heruntergeladene XML-Profildatei ändern und die Tags <includeroutes><route><destination><mask></destination></mask></route></includeroutes> hinzufügen.

Für Azure VPN-Client für Windows:

  • Version 2.1900:39.0 oder höher. Sie können die Route 0/0 einschließen. Ändern Sie die heruntergeladene XML-Profildatei und fügen Sie die Tags <includeroutes><route><destination><mask></destination></mask></route></includeroutes> hinzu. Stellen Sie sicher, dass Sie die Versionsnummer auf 2 aktualisieren.
  • Version unter 2.1900:39.0: Sie müssen zwei benutzerdefinierte Routen hinzufügen: 0.0.0.0/1 und 128.0.0.0/1.

Für Azure VPN-Client unter macOS:

  • macOS, Version 14 oder höher. Nur die benutzerdefinierte Route 0/0 wird unterstützt. Die Routen 0.0.0.0/1 und 128.0.0.0/1 werden nicht unterstützt.

Sie können die benutzerdefinierte Route 0.0.0.0/0 in die XML-Datei einschließen:

 <azvpnprofile>
 <clientconfig>

   <includeroutes>
       <route>
           <destination>0.0.0.0</destination><mask>0</mask>
       </route>
   </includeroutes>

 </clientconfig>
 </azvpnprofile>

Sie können die benutzerdefinierten 0.0.0.0/1 Routen und 128.0.0.0/1 in der XML-Datei hinzufügen:

<azvpnprofile>
<clientconfig>

 <includeroutes>
     <route>
         <destination>0.0.0.0</destination><mask>1</mask>
     </route>
     <route>
         <destination>128.0.0.0</destination><mask>1</mask>
     </route>
 </includeroutes>

</clientconfig>
</azvpnprofile>

Hinweis

  • Der Standardstatus für das Clientconfig-Tag ist <clientconfig i:nil="true" />, der basierend auf der Anforderung geändert werden kann.
  • Ein dupliziertes Clientconfig-Tag wird unter macOS nicht unterstützt. Stellen Sie daher sicher, dass das Clientconfig-Tag in der XML-Datei nicht dupliziert ist.

Hinzufügen von benutzerdefinierten Routen

Sie können benutzerdefinierte Routen hinzufügen. Ändern Sie die heruntergeladene XML-Profildatei, und fügen Sie die Tags <includeroutes><route><destination><mask></destination></mask></route></includeroutes> hinzu.

<azvpnprofile>
<clientconfig>

    <includeroutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
                <destination>y.y.y.y</destination><mask>24</mask>
            </route>
    </includeroutes>

</clientconfig>
</azvpnprofile>

Blockieren (Ausschließen) von Routen

Die Möglichkeit, Routen vollständig zu blockieren, wird vom Azure VPN-Client nicht unterstützt. Der Azure VPN-Client unterstützt das Ablegen von Routen aus der lokalen Routingtabelle nicht. Stattdessen können Sie Routen von der VPN-Schnittstelle ausschließen. Ändern Sie die heruntergeladene XML-Profildatei, und fügen Sie die Tags <excluderoutes><route><destination><mask></destination></mask></route></excluderoutes> hinzu.

<azvpnprofile>
<clientconfig>

    <excluderoutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
            <destination>y.y.y.y</destination><mask>24</mask>
        </route>
    </excluderoutes>

</clientconfig>
</azvpnprofile>

Hinweis

  • Um mehrere Zielrouten einzuschließen/auszuschließen, platzieren Sie jede Zieladresse unter einem separaten Routentag (wie in den obigen Beispielen dargestellt), da mehrere Zieladressen in einem einzelnen Routentag nicht funktionieren.
  • Wenn der Fehler "Ziel kann nicht leer sein oder mehrere Einträge innerhalb des Routentags enthalten" auftritt, überprüfen Sie die XML-Profildatei und stellen Sie sicher, dass der Abschnitt "includeroutes/excluderoutes" nur eine Zieladresse in einem Routentag enthält.

Azure VPN-Clientversionen

Informationen zu Azure VPN-Clientversion finden Sie unter Azure VPN Client-Versionen.

Nächste Schritte

Weitere Informationen zu P2S VPN finden Sie unter "Informationen zum Point-to-Site-VPN".

  • Last updated on