Compartir a través de


Cliente VPN de Azure: definición de valores opcionales de DNS y enrutamiento

Este artículo le ayuda a configurar opciones opcionales para el cliente VPN de Azure para conexiones de punto a sitio (P2S) de VPN Gateway. Puede configurar sufijos DNS, servidores DNS personalizados, rutas personalizadas y tunelización forzada del lado del cliente VPN.

Nota:

El cliente VPN de Azure solo se admite para conexiones de protocolo OpenVPN®.

Requisitos previos

En los pasos de este artículo, se supone que ha configurado la puerta de enlace de P2S y que ha descargado el cliente VPN de Azure para conectar equipos cliente. Para conocer los pasos, consulte los siguientes artículos:

Uso de archivos de configuración del perfil del cliente VPN

Los pasos de este artículo requieren que modifique e importe el archivo de configuración del perfil de cliente VPN de Azure. Se generan los siguientes archivos de configuración de perfil, en función de los tipos de autenticación configurados para la puerta de enlace de VPN P2S.

  • azurevpnconfig.xml: este archivo se genera cuando solo se selecciona un tipo de autenticación.
  • azurevpnconfig_aad.xml: este archivo se genera para la autenticación de Microsoft Entra ID cuando hay varios tipos de autenticación seleccionados.
  • azurevpnconfig_cert.xml: este archivo se genera para la autenticación de certificados cuando hay varios tipos de autenticación seleccionados.

Para trabajar con archivos de configuración de perfiles de cliente VPN (archivos xml), siga estos pasos:

  1. Busque el archivo de configuración del perfil y ábralo con el editor que prefiera.

  2. Utilizando los ejemplos de las secciones siguientes, modifique el archivo según sea necesario, y luego, guarde los cambios.

  3. Importe el archivo para configurar el cliente VPN de Azure. Puede importar el archivo para el Cliente VPN de Azure mediante estos métodos:

    • Interfaz del Cliente VPN de Azure: abra el Cliente VPN de Azure y haga clic en + y, luego, en Importar. Busque el archivo xml modificado, realice cualquier configuración adicional en la interfaz del cliente VPN de Azure (si es necesario) y, finalmente, haga clic en Guardar.

    • Símbolo de la línea de comandos: coloque el archivo XML de configuración descargado adecuado en la carpeta %userprofile%\AppData\Local\Packages\Microsoft.AzureVpn_8wekyb3d8bbwe\LocalState y, a continuación, ejecute el comando correspondiente al nombre del archivo de configuración. Por ejemplo, azurevpn -i azurevpnconfig_aad.xml. Para forzar la importación, use el modificador -f.

DNS

Incorporación de sufijos DNS

Nota:

En este momento, los sufijos DNS adicionales para el cliente VPN de Azure no se generan en un formato que macOS pueda usar correctamente. Los valores especificados para los sufijos DNS no se conservan para macOS.

Para agregar sufijos DNS, modifique el archivo XML de perfil descargado y agregue las etiquetas <dnssuffixes><dnssufix></dnssufix></dnssuffixes>.

<azvpnprofile>
<clientconfig>

    <dnssuffixes>
          <dnssuffix>.mycorp.com</dnssuffix>
          <dnssuffix>.xyz.com</dnssuffix>
          <dnssuffix>.etc.net</dnssuffix>
    </dnssuffixes>

</clientconfig>
</azvpnprofile>

Incorporación de servidores DNS personalizados

Para agregar servidores DNS personalizados, modifique el archivo XML de perfil descargado y agregue las etiquetas <dnsservers><dnsserver></dnsserver></dnsservers>.

<azvpnprofile>
<clientconfig>

    <dnsservers>
        <dnsserver>x.x.x.x</dnsserver>
            <dnsserver>y.y.y.y</dnsserver>
    </dnsservers>

</clientconfig>
</azvpnprofile>

Nota:

Cuando se usa la autenticación de Microsoft Entra ID, el cliente VPN de Azure utiliza entradas de tabla de directivas de resolución de nombres DNS (NRPT), lo que significa que los servidores DNS no se mostrarán en la salida de ipconfig /all. Para confirmar la configuración de DNS en uso, consulte Get-DnsClientNrptPolicy en PowerShell.

Enrutamiento

Tunelización dividida

La tunelización dividida está configurada de forma predeterminada para el cliente VPN.

Tunelización forzada

Puede configurar la tunelización forzada para dirigir todo el tráfico al túnel VPN. La tunelización forzada puede configurarse mediante dos métodos distintos: el anuncio de rutas personalizadas o la modificación del archivo XML de perfil. Puede incluir 0/0 si usa la versión 2.1900:39.0 o posterior del cliente VPN de Azure.

Nota:

No se proporciona conectividad a Internet a través de VPN Gateway. Como resultado, se anula todo el tráfico enlazado a Internet.

  • Anuncio de rutas personalizadas: puede anunciar las rutas personalizadas 0.0.0.0/1 y 128.0.0.0/1. Para obtener más información, consulte Anuncio de rutas personalizadas para clientes VPN de P2S.

  • Perfil XML: puede modificar el archivo XML de perfil descargado y agregar las etiquetas <includeroutes><route><destination><mask></destination></mask></route></includeroutes>.

    <azvpnprofile>
    <clientconfig>
    
      <includeroutes>
          <route>
              <destination>0.0.0.0</destination><mask>1</mask>
          </route>
          <route>
              <destination>128.0.0.0</destination><mask>1</mask>
          </route>
      </includeroutes>
    
    </clientconfig>
    </azvpnprofile>
    

Nota:

  • El estado predeterminado de la etiqueta clientconfig es <clientconfig i:nil="true" />, el cual se puede modificar según sea necesario.
  • No es compatible la etiqueta clientconfig si está duplicada en macOS, por lo que asegúrese de que la etiqueta clientconfig no está duplicada en el archivo XML.

Incorporación de rutas personalizadas

Puede agregar rutas personalizadas. Modifique el archivo XML de perfil descargado y agregue las etiquetas <includeroutes><route><destination><mask></destination></mask></route></includeroutes>.

<azvpnprofile>
<clientconfig>

    <includeroutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
                <destination>y.y.y.y</destination><mask>24</mask>
            </route>
    </includeroutes>

</clientconfig>
</azvpnprofile>

Bloqueo (exclusión) de rutas

La capacidad de bloquear completamente las rutas no es compatible con el cliente VPN de Azure. El cliente VPN de Azure no admite la eliminación de rutas de la tabla de enrutamiento local. En su lugar, puede excluir rutas de la interfaz VPN. Modifique el archivo XML de perfil descargado y agregue las etiquetas <excluderoutes><route><destination><mask></destination></mask></route></excluderoutes>.

<azvpnprofile>
<clientconfig>

    <excluderoutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
            <destination>y.y.y.y</destination><mask>24</mask>
        </route>
    </excluderoutes>

</clientconfig>
</azvpnprofile>

Nota:

  • Para incluir o excluir varias rutas de destino, coloque cada dirección de destino en una etiqueta de ruta independiente (como se muestra en los ejemplos anteriores), ya que no funcionarán varias direcciones de destino en una sola etiqueta de ruta.
  • Si encuentra el error "El destino no puede estar vacío ni tener más de una entrada dentro de la etiqueta de rutas", compruebe el archivo XML del perfil y asegúrese de que la sección includeroutes/excluderoutes tiene solo una dirección de destino dentro de una etiqueta de rutas.

Información sobre las versiones de cliente VPN de Azure

Para más información sobre las versiones del cliente VPN de Azure, consulte Versiones de cliente VPN de Azure.

Pasos siguientes

Para obtener más información sobre VPN P2S, consulte los artículos siguientes: