Azure client VPN : configurer le routage facultatif et les paramètres DNS

Cet article vous aide à configurer des paramètres facultatifs pour le client VPN Azure pour les connexions VPN utilisateur point à site de Virtual WAN. Vous pouvez configurer des suffixes DNS, des serveurs DNS personnalisés, des itinéraires personnalisés et un tunneling forcé côté client VPN.

Note

Le client VPN Azure n’est pris en charge que pour les connexions de protocole OpenVPN®.

Prerequisites

Les étapes décrites dans cet article supposent que vous avez configuré votre passerelle P2S et téléchargé le client VPN Azure pour connecter des ordinateurs clients. Pour connaître les étapes à suivre, consultez les articles de configuration de point à site suivants :

Pour télécharger le fichier de configuration du profil client VPN (fichier xml), consultez Télécharger un profil global ou hub.

Utilisation des fichiers de configuration de profil client VPN

Les étapes décrites dans cet article vous obligent à modifier et à importer le fichier de configuration du profil client VPN Azure. Les fichiers de configuration de profil suivants sont générés, en fonction des types d’authentification configurés pour votre passerelle VPN P2S.

  • azurevpnconfig.xml: ce fichier est généré quand un seul type d’authentification est sélectionné.
  • azurevpnconfig_aad.xml : ce fichier est généré pour l’authentification Microsoft Entra ID lorsqu’il existe plusieurs types d’authentification sélectionnés.
  • azurevpnconfig_cert.xml: ce fichier est généré pour l’authentification par certificat lorsqu’il existe plusieurs types d’authentification sélectionnés.

Pour utiliser des fichiers de configuration de profil client VPN (fichiers xml), procédez comme suit :

  1. Recherchez le fichier de configuration du profil et ouvrez-le à l’aide de l’éditeur de votre choix.
  2. À l’aide des exemples des sections suivantes, modifiez le fichier si nécessaire, puis enregistrez vos modifications.
  3. Importez le fichier pour configurer le client VPN Azure :
    • Windows
      • interface client VPN Azure : ouvrez le client VPN Azure, puis sélectionnez +, puis Import. Recherchez le fichier de .xml modifié. Configurez les paramètres supplémentaires dans l’interface du client VPN Azure (si nécessaire), puis sélectionnez Save.
      • invite de ligne de commande : placez le fichier xml de configuration téléchargé approprié dans le fichier xml de configuration %userprofile%\AppData\Local\Packages\Microsoft. AzureVpn_8wekyb3d8bbwe\LocalState dossier, puis exécutez la commande qui correspond au nom du fichier de configuration. Par exemple : azurevpn -i azurevpnconfig_aad.xml. Pour forcer l’importation, utilisez le -f commutateur.
    • macOS
      • Azure interface du client VPN : ouvrez le client VPN Azure, puis sélectionnez Import. Recherchez le fichier de .xml modifié. Configurez les paramètres supplémentaires dans l’interface du client VPN Azure (si nécessaire), puis sélectionnez Save.
      • Invite de ligne de commande : modifiez l’extrait de code suivant pour distribuer votre fichier de configuration. Exécutez-le avec des privilèges à l’aide de sudo sh ./script.sh. Un redémarrage peut être nécessaire si Azure VPN CLient a déjà été démarré dans la session utilisateur. 
        #!/bin/sh

# Change this path
sourcePath="UPDATE THIS PATH TO YOUR XML"
profileName="Azure VPN"

# These lines do not need changing
consoleuser=$(ls -l /dev/console | awk '{ print $3 }')
filePath="/Users/$consoleuser/Library/Containers/com.microsoft.AzureVpnMac/Data/Library/Application Support/com.microsoft.AzureVpnMac/$profileName.AzureVpnProfile.xml"
cp $sourcePath $filePath

DNS

Ajouter des suffixes DNS

Note

À ce stade, des suffixes DNS supplémentaires pour le client VPN Azure ne sont pas générés dans un format qui peut être utilisé correctement par macOS. Les valeurs spécifiées pour les suffixes DNS ne sont pas conservées pour macOS.

Pour ajouter des suffixes DNS, modifiez le fichier XML de profil téléchargé et ajoutez les <balises dnssuffixes><dnssufix></dnssufix></dnssuffixes> .

<azvpnprofile>
<clientconfig>

    <dnssuffixes>
          <dnssuffix>.mycorp.com</dnssuffix>
          <dnssuffix>.xyz.com</dnssuffix>
          <dnssuffix>.etc.net</dnssuffix>
    </dnssuffixes>

</clientconfig>
</azvpnprofile>

Ajouter des serveurs DNS personnalisés

Pour ajouter des serveurs DNS personnalisés, modifiez le fichier XML de profil téléchargé et ajoutez les <balises dnsservers><dnsserver/dnsserver><></dnsservers>.

<azvpnprofile>
<clientconfig>

    <dnsservers>
        <dnsserver>x.x.x.x</dnsserver>
            <dnsserver>y.y.y.y</dnsserver>
    </dnsservers>

</clientconfig>
</azvpnprofile>

Note

Lors de l’utilisation de l’authentification Microsoft Entra ID, Azure VPN Client s’appuie sur les entrées de la table NRPT (Name Resolution Policy Table), ce qui implique que les serveurs DNS ne figurent pas dans la sortie de ipconfig /all. Pour confirmer vos paramètres DNS en cours d'utilisation, consultez Get-DnsClientNrptPolicy dans PowerShell.

Routage

Tunneling fractionné

Le tunneling fractionné est configuré par défaut pour le client VPN.

Tunnel forcé

Vous pouvez configurer le tunneling forcé pour diriger tout le trafic vers le tunnel VPN. Le tunneling forcé peut être configuré à l’aide de deux méthodes différentes ; soit en publiant des itinéraires personnalisés, soit en modifiant le fichier XML de profil.

Note

La connectivité Internet n’est pas fournie via la passerelle VPN. Par conséquent, tout le trafic lié à Internet est supprimé.

  • Publier des itinéraires personnalisés : Vous pouvez publier des itinéraires 0.0.0.0/1 personnalisés et 128.0.0.0/1.

  • XML du profil : il est possible de modifier le fichier XML du profil téléchargé en y ajoutant les balises <includeroutes><route><destination><mask></destination></mask></route></includeroutes.>

Pour Azure client VPN pour Windows :

  • Version 2.1900:39.0 ou ultérieure. Vous pouvez inclure l’itinéraire 0/0. Modifiez le fichier XML du profil téléchargé en y ajoutant les balises <includeroutes><route><destination><mask></destination></mask></route></includeroutes.> Veillez à mettre à jour le numéro de version sur 2.
  • Version antérieure à 2.1900:39.0 : Vous devez ajouter deux itinéraires personnalisés : 0.0.0.0/1 et 128.0.0.0/1.

Pour Azure client VPN sur macOS :

  • macOS version 14 ou ultérieure. Seul l’itinéraire personnalisé 0/0 est pris en charge. Les routes 0.0.0.0/1 et 128.0.0.0/1 ne sont pas prises en charge.

Vous pouvez inclure l’itinéraire 0.0.0.0/0 personnalisé dans le fichier xml :

 <azvpnprofile>
 <clientconfig>

   <includeroutes>
       <route>
           <destination>0.0.0.0</destination><mask>0</mask>
       </route>
   </includeroutes>

 </clientconfig>
 </azvpnprofile>

Vous pouvez ajouter les itinéraires 0.0.0.0/1 personnalisés et 128.0.0.0/1 dans le fichier xml :

<azvpnprofile>
<clientconfig>

 <includeroutes>
     <route>
         <destination>0.0.0.0</destination><mask>1</mask>
     </route>
     <route>
         <destination>128.0.0.0</destination><mask>1</mask>
     </route>
 </includeroutes>

</clientconfig>
</azvpnprofile>

Note

  • L’état par défaut de la balise clientconfig est <clientconfig i:nil="true" />, qui peut être modifié en fonction de l’exigence.
  • Une balise clientconfig en double n’est pas prise en charge sur macOS. Assurez-vous que la balise clientconfig n’est pas dupliquée dans le fichier XML.

Ajouter des itinéraires personnalisés

Vous pouvez ajouter des itinéraires personnalisés. Modifiez le fichier XML du profil téléchargé en y ajoutant les balises <includeroutes><route><destination><mask></destination></mask></route></includeroutes.>

<azvpnprofile>
<clientconfig>

    <includeroutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
                <destination>y.y.y.y</destination><mask>24</mask>
            </route>
    </includeroutes>

</clientconfig>
</azvpnprofile>

Bloquer (exclure) les itinéraires

La possibilité de bloquer complètement les itinéraires n'est pas prise en charge par le client VPN Azure. Le client VPN Azure ne prend pas en charge la suppression d'itinéraires à partir de la table de routage locale. Au lieu de cela, vous pouvez exclure des itinéraires de l’interface VPN. Modifiez le fichier XML du profil téléchargé en y ajoutant les balises <excluderoutes><route><destination><mask></destination></mask></route></excluderoutes.>

<azvpnprofile>
<clientconfig>

    <excluderoutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
            <destination>y.y.y.y</destination><mask>24</mask>
        </route>
    </excluderoutes>

</clientconfig>
</azvpnprofile>

Note

  • Pour inclure/exclure plusieurs itinéraires de destination, placez chaque adresse de destination sous une balise de routage distincte (comme indiqué dans les exemples ci-dessus), car plusieurs adresses de destination dans une seule balise de routage ne fonctionneront pas.
  • Si vous rencontrez l’erreur « La destination ne peut pas être vide ou avoir plusieurs entrées à l’intérieur de la balise de routage », vérifiez le fichier XML de profil et vérifiez que la section includeroutes/excluderoutes n’a qu’une seule adresse de destination à l’intérieur d’une balise de routage.

versions du client VPN Azure

Pour plus d’informations sur Azure version du client VPN, consultez Azure versions du client VPN.

Étapes suivantes

Pour plus d’informations sur le VPN P2S, consultez À propos du VPN point à site.

  • Last updated on