Не удается разрешить внутренние имена через P2S, S2S в Azure

По какой-то причине наше разрешение DNS не работает правильно через SSTP VPN или S2S-соединение в лазурном.

Все отлично работает прямо в среде Azure. Кроме того, я получаю правильные DNS-серверы при установке SSTP-соединения, но разрешение не работает, DNS-запросы просто истекают.

Итак, что было протестировано до сих пор:

настроил P2S-соединение вручную и принудил туннель
добавленные суффиксы для конкретных подключений

Есть идеи, что мне следует изучить?

Тест адаптера PPP:

Connection-specific DNS Suffix . :  test.internal
Description . . . . . . . . . . . : test
Physical Address. . . . . . . . . :
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 10.10.10.4(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . :

DNS Servers . . . . . . . . . . . : 168.63.129.16

NetBIOS over Tcpip. . . . . . . . : Enabled

В IP-адрес 168.63.129.16 принадлежит MS. Это предоставленный Azure DNS-сервер в вашем сценарии, который Разрешение имен хостов Azure с локальных компьютеров.

Перенаправлять запросы на управляемый клиентом DNS-прокси-сервер в соответствующей виртуальной сети, прокси-сервер перенаправляет запросы в Azure для разрешения. Видеть Разрешение имен с использованием вашего собственного DNS-сервера.

Вы можете настроить свой DNS-сервер в вашей виртуальной сети Azure, после обновления VPN-соединения загрузите пакеты VPN-клиента.

Для получения дополнительной информации вы можете просмотреть похожая тема.

Новые соединения VPN на клиентских машинах Windows действительно используют метрику статической маршрутизации, которая устанавливает ваш шлюз по умолчанию (= маршрут по умолчанию) к конечной точке VPN. Пока это обычно правильно, в этом случае ваш DNS (168.) находится в сети, отличной от вашей среды (10.). 168. *, скорее всего, не является прозрачным доступным через ваш шлюз VPN.

Вы можете исправить это на стороне шлюза (и маршрутизации) вашей среды или позволить клиенту решать, что делать. Я бы просто отключил параметр «установить как шлюз по умолчанию» во вновь созданном адаптере VPN («Свойства»> «IPv4»> «Свойства»> «Улучшенный»> «Установить как шлюз по умолчанию #off»).

Вы также можете сделать это с помощью PowerShell:

Set-VpnConnection "CONNECTION NAME" -SplitTunneling $true

Чтобы добавить другие сети к вашему VPN-маршруту, используйте CMDlet Add-VpnConnectionRoute:

Add-VpnConnectionRoute -ConnectionName "CONNECTION NAME" -DestinationPrefix 10.42.42.0/24

Кроме того, ваш клиент будет использовать собственное подключение к Интернету для работы в Интернете и больше не будет использовать все в вашей VPN.