Cliente VPN de Azure: definición de valores opcionales de DNS y enrutamiento

Este artículo le ayuda a configurar los valores opcionales para el cliente VPN de Azure para conexiones P2S de VPN Gateway. Puede configurar sufijos DNS, servidores DNS personalizados, rutas personalizadas y tunelización forzada del lado del cliente VPN.

Nota:

El cliente VPN de Azure solo se admite para conexiones de protocolo OpenVPN®.

Antes de empezar

Si aún no lo ha hecho, asegúrese de realizar las acciones siguientes:

• Genere y descargue los archivos de configuración del perfil del cliente VPN para la implementación de P2S. Siga estos pasos:

  1. En Azure Portal, vaya a la puerta de enlace de red virtual.
  2. Haga clic en Configuración de punto a sitio.
  3. Haga clic en Descargar cliente VPN.
  4. Seleccione el cliente y rellene toda la información que se pide.
  5. Haga clic en Descargar para generar el archivo ZIP.
  6. Se descargará el archivo ZIP, normalmente en la carpeta Descargas.

• Descargue e instale el cliente VPN de Azure. Consulte uno de los artículos siguientes para saber qué pasos debe llevar a cabo:

  • Autenticación de certificado
  • Autenticación de Microsoft Entra

Uso de archivos de configuración del perfil del cliente VPN

Los pasos de este artículo requieren que modifique e importe el archivo de configuración del perfil de cliente VPN de Azure. Para trabajar con archivos de configuración de perfiles de cliente VPN (archivos xml), siga estos pasos:

1. Busque el archivo de configuración del perfil y ábralo con el editor que prefiera.

2. Utilizando los ejemplos de las secciones siguientes, modifique el archivo según sea necesario, y luego, guarde los cambios.

3. Importe el archivo para configurar el cliente VPN de Azure. Puede importar el archivo para el Cliente VPN de Azure mediante estos métodos:

   • Interfaz del Cliente VPN de Azure: abra el Cliente VPN de Azure y haga clic en + y, luego, en Importar. Busque el archivo xml modificado, realice cualquier configuración adicional en la interfaz del cliente VPN de Azure (si es necesario) y, finalmente, haga clic en Guardar.

   • Símbolo de la línea de comandos: coloque el archivo azurevpnconfig.xml descargado en la carpeta %userprofile%\AppData\Local\Packages\Microsoft.AzureVpn_8wekyb3d8bbwe\LocalState y ejecute el comando siguiente: azurevpn -i azurevpnconfig.xml. Para forzar la importación, use el modificador -f.

DNS

Incorporación de sufijos DNS

Nota:

En este momento, los sufijos DNS adicionales para el cliente VPN de Azure no se generan en un formato que macOS pueda usar correctamente. Los valores especificados para los sufijos DNS no se conservan para macOS.

Para agregar sufijos DNS, modifique el archivo XML de perfil descargado y agregue las etiquetas <dnssuffixes><dnssufix></dnssufix></dnssuffixes>.

<azvpnprofile>
<clientconfig>

    <dnssuffixes>
          <dnssuffix>.mycorp.com</dnssuffix>
          <dnssuffix>.xyz.com</dnssuffix>
          <dnssuffix>.etc.net</dnssuffix>
    </dnssuffixes>

</clientconfig>
</azvpnprofile>

Incorporación de servidores DNS personalizados

Para agregar servidores DNS personalizados, modifique el archivo XML de perfil descargado y agregue las etiquetas <dnsservers><dnsserver></dnsserver></dnsservers>.

<azvpnprofile>
<clientconfig>

    <dnsservers>
        <dnsserver>x.x.x.x</dnsserver>
            <dnsserver>y.y.y.y</dnsserver>
    </dnsservers>

</clientconfig>
</azvpnprofile>

Nota:

El cliente OpenVPN de Microsoft Entra usa las entradas de la Tabla de directivas de resolución de nombres (NRPT) de DNS, lo que significa que los servidores DNS no se mostrarán en la salida de ipconfig /all. Para confirmar la configuración de DNS en uso, consulte Get-DnsClientNrptPolicy en PowerShell.

Enrutamiento

Tunelización dividida

La tunelización dividida está configurada de forma predeterminada para el cliente VPN.

Tunelización forzada

Puede configurar la tunelización forzada para dirigir todo el tráfico al túnel VPN. La tunelización forzada puede configurarse mediante dos métodos distintos: el anuncio de rutas personalizadas o la modificación del archivo XML de perfil. Puede incluir 0/0 si usa la versión 2.1900:39.0 o posterior del cliente VPN de Azure.

Nota:

No se proporciona conectividad a Internet a través de VPN Gateway. Como resultado, se anula todo el tráfico enlazado a Internet.

• Anuncio de rutas personalizadas: puede anunciar las rutas personalizadas 0.0.0.0/1 y 128.0.0.0/1. Para obtener más información, consulte Anuncio de rutas personalizadas para clientes VPN de P2S.

• Perfil XML: puede modificar el archivo XML de perfil descargado y agregar las etiquetas <includeroutes><route><destination><mask></destination></mask></route></includeroutes>. Asegúrese de actualizar el número de la versión a 2.

  <azvpnprofile>
  <clientconfig>
  
    <includeroutes>
        <route>
            <destination>0.0.0.0</destination><mask>1</mask>
        </route>
        <route>
            <destination>128.0.0.0</destination><mask>1</mask>
        </route>
    </includeroutes>
  
  </clientconfig>
  </azvpnprofile>
  

Nota

• El estado predeterminado de la etiqueta clientconfig es <clientconfig i:nil="true" />, el cual se puede modificar según sea necesario.
• No es compatible la etiqueta clientconfig si está duplicada en macOS, por lo que asegúrese de que la etiqueta clientconfig no está duplicada en el archivo XML.

Incorporación de rutas personalizadas

Puede agregar rutas personalizadas. Modifique el archivo XML de perfil descargado y agregue las etiquetas <includeroutes><route><destination><mask></destination></mask></route></includeroutes>.

<azvpnprofile>
<clientconfig>

    <includeroutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
                <destination>y.y.y.y</destination><mask>24</mask>
            </route>
    </includeroutes>

</clientconfig>
</azvpnprofile>

Bloqueo (exclusión) de rutas

La capacidad de bloquear completamente las rutas no es compatible con el cliente VPN de Azure. El cliente VPN de Azure no admite la eliminación de rutas de la tabla de enrutamiento local. En su lugar, puede excluir rutas de la interfaz VPN. Modifique el archivo XML de perfil descargado y agregue las etiquetas <excluderoutes><route><destination><mask></destination></mask></route></excluderoutes>.

<azvpnprofile>
<clientconfig>

    <excluderoutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
        <route>
            <destination>y.y.y.y</destination><mask>24</mask>
        </route>
    </excluderoutes>

</clientconfig>
</azvpnprofile>

Nota:

• Para incluir o excluir varias rutas de destino, coloque cada dirección de destino en una etiqueta de ruta independiente (como se muestra en los ejemplos anteriores), ya que no funcionarán varias direcciones de destino en una sola etiqueta de ruta.
• Si encuentra el error "El destino no puede estar vacío ni tener más de una entrada dentro de la etiqueta de rutas", compruebe el archivo XML del perfil y asegúrese de que la sección includeroutes/excluderoutes tiene solo una dirección de destino dentro de una etiqueta de rutas.

Información sobre las versiones de cliente VPN de Azure

Para más información sobre las versiones del cliente VPN de Azure, consulte Versiones de cliente VPN de Azure.

Pasos siguientes

Para obtener más información sobre VPN P2S, consulte los artículos siguientes:

• Acerca de las conexiones VPN de punto a sitio
• Información sobre el enrutamiento de VPN de punto a sitio